Какой вид обработки персональных данных применяется в банке
Перейти к содержимому

Какой вид обработки персональных данных применяется в банке

  • автор:

Какой вид обработки персональных данных применяется в банке

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Носова Екатерина Евгеньевна

Программа разработана совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Обзор документа

Приказ Банка России от 22 августа 2018 г. № ОД-2189 “Об Основных направлениях политики обработки персональных данных в Центральном банке Российской Федерации (Банке России)”

В целях повышения уровня информационной безопасности персональных данных при их обработке в Банке России приказываю:

1. Структурным подразделениям Банка России руководствоваться Основными направлениями политики обработки персональных данных в Центральном банке Российской Федерации (Банке России) (далее — Политика обработки ПД) (приложение к приказу).

2. Департаменту по связям с общественностью Банка России (Рыклина М.В.) разместить на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" Политику обработки ПД.

3. Возложить на Департамент информационной безопасности Банка России (Уваров В.А.) методологическое руководство по вопросам применения Политики обработки ПД.

4. Контроль за исполнением приказа возложить на заместителя Председателя Банка России Скобелкина Д.Г.

Председатель Банка России Э.С. Набиуллина

Приложение
к приказу Банка России
от 22 августа 2018 г. № ОД-2189

Основные направления политики обработки персональных данных в Центральном банке Российской Федерации (Банке России)

1. Общие положения

1.1. Документ "Основные направления политики обработки персональных данных в Центральном банке Российской Федерации (Банке России)" (далее — Политика обработки ПД) является основополагающим, декларирующим концептуальные основы деятельности Банка России при обработке и защите персональных данных (далее также — ПД) в условиях наличия угроз безопасности, актуальных при обработке ПД.

1.2. В Политике обработки ПД используются термины и определения в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", а также следующее определение:

ресурс ПД — объединенная общими целями обработки база данных или иная совокупность ПД многих субъектов ПД, обрабатываемых в структурных подразделениях Банка России с использованием или без использования средств вычислительной техники и информационных систем ПД (далее — ИСПД).

2. Цели обработки персональных данных

Банк России осуществляет обработку ПД в целях выполнения функций, возложенных на Банк России согласно законодательству Российской Федерации, в соответствии с нормативными и иными актами Банка России.

3. Правовые основания обработки персональных данных

Обработка ПД в Банке России осуществляется на основании Положения Банка России от 11.04.2014 N 418-П "Об обработке персональных данных в Банке России" и других нормативных и иных актов Банка России, в соответствии с которыми Банком России проводится обработка ПД.

4. Категории субъектов, персональные данные которых обрабатываются в Банке России

Категории субъектов, ПД которых обрабатываются в Банке России:

субъекты ПД, являющиеся должностными лицами кредитных организаций (кандидатами на указанные должности), учредителями (акционерами, участниками), владельцами (контролерами) кредитной организации, а также приобретателями акций (долей) кредитной организации;

субъекты ПД, участвующие в деятельности аудиторской организации;

субъекты ПД, совершившие противоправное деяние;

субъекты ПД, совершающие валютные операции;

субъекты ПД, участвующие в операциях с ценными бумагами, производными финансовыми инструментами и товарами;

работники Банка России, кандидаты на вакантные должности в Банк России и бывшие работники Банка России;

субъекты ПД, состоящие в родственных отношениях с работником Банка России, — родители (в том числе отчим, мачеха и усыновители), супруги, дети (в том числе приемные), братья, сестры (в том числе неполнородные), а также братья, сестры, родители супругов и супруги детей;

субъекты ПД, являющиеся учредителями (участниками), органами управления и должностными лицами некредитных финансовых организаций, органами управления саморегулируемых организаций в сфере финансового рынка, саморегулируемых организаций актуариев, в том числе организаций, намеревающихся осуществлять деятельность некредитных финансовых организаций, саморегулируемых организаций в сфере финансового рынка, саморегулируемых организаций актуариев;

субъекты ПД, являющиеся кандидатами на должности в некредитной финансовой организации, саморегулируемой организации в сфере финансового рынка, саморегулируемой организации актуариев;

субъекты ПД, участвующие в деятельности информационных агентств, которые осуществляют действия по раскрытию информации о ценных бумагах и об иных финансовых инструментах, в том числе организаций, намеревающихся осуществлять деятельность по раскрытию информации о ценных бумагах и об иных финансовых инструментах;

субъекты ПД, участвующие в деятельности организаций, осуществляющих функции оператора товарных поставок, в том числе организаций, намеревающихся осуществлять деятельность оператора товарных поставок;

субъекты ПД, участвующие в деятельности операторов платежных систем, операторов услуг платежной инфраструктуры, не являющихся кредитными организациями;

субъекты ПД, являющиеся единоличным исполнительным органом и главным бухгалтером некредитной организации, являющейся оператором платежной системы, в том числе некредитной организации, намеревающейся стать оператором платежной системы;

субъекты ПД, прямо или косвенно установившие контроль в отношении оператора платежной системы и оператора услуг платежной инфраструктуры, за исключением расчетного центра платежной системы;

субъекты ПД, являющиеся участниками Пенсионной программы Банка России, а также дети умерших (погибших) работников Банка России, получающие ежемесячную материальную помощь за счет средств Социального фонда Банка России;

субъекты ПД, являющиеся потребителями финансовых услуг, предоставляемых поднадзорными Банку России организациями, и (или) обратившиеся с запросом (жалобой) в Банк России;

субъекты ПД, которые сделали свои ПД общедоступными, обработка ПД которых не нарушает прав субъектов ПД и соответствует требованиям, установленным законодательством Российской Федерации о ПД;

субъекты ПД, имеющие открытые счета в кредитных организациях;

субъекты ПД, являющиеся студентами учебных заведений, направляемые на производственную/преддипломную практику в Банк России, а также субъекты ПД, для которых организована стажировка в Банке России;

субъекты ПД, являющиеся инсайдерами Банка России;

субъекты, обработка ПД которых необходима для достижения целей, предусмотренных международными договорами Российской Федерации, или для осуществления и выполнения возложенных законодательством Российской Федерации на Банк России функций, полномочий и обязанностей;

иные субъекты ПД, выразившие согласие на обработку Банком России их ПД.

5. Перечень обрабатываемых персональных данных

5.1. ПД, обрабатываемые в Банке России и используемые для идентификации (определения) физического лица (далее — субъект ПД):

а) фамилия, имя, отчество (при наличии), пол субъекта ПД (в том числе предыдущие);

б) данные паспорта (общегражданского, служебного, дипломатического, заграничного) или иного документа, удостоверяющего личность субъекта ПД;

в) дата и место рождения, гражданство, место регистрации и место фактического пребывания (текущее и предыдущее);

г) данные документов, дающих право на пребывание и трудовую деятельность на территории Российской Федерации;

д) идентификационный номер налогоплательщика;

е) страховой номер индивидуального лицевого счета;

ж) номер телефона, адрес электронной почты субъекта ПД.

При этом для идентификации (определения) субъекта ПД фамилия, имя и отчество обязательно должны быть использованы совместно с ПД, приведенными в подпунктах "б", и/или "в", и/или "г", и/или "д", и/или "е" настоящего пункта.

5.2. ПД, обрабатываемые в Банке России и не используемые для идентификации (определения) субъекта ПД:

5.2.1. Данные об участии субъекта ПД в деятельности кредитной организации:

в качестве кандидата на должность единоличного исполнительного органа, его заместителя, члена коллегиального исполнительного органа, главного бухгалтера кредитной организации, его заместителя, руководителя, заместителя руководителя, главного бухгалтера филиала кредитной организации;

об участии субъекта ПД (в том числе временно) в качестве единоличного исполнительного органа, его заместителя, члена коллегиального исполнительного органа кредитной организации, руководителя (заместителя руководителя) филиала кредитной организации;

в качестве члена совета директоров (наблюдательного совета) кредитной организации;

об участии субъекта ПД (в том числе временно) в качестве руководителя службы управления рисками, руководителя службы внутреннего контроля и руководителя службы внутреннего аудита кредитной организации;

в качестве руководителя и главного бухгалтера (при наличии) внутреннего структурного подразделения, кроме передвижного пункта кассовых операций;

об участии субъекта ПД (в том числе временно) в качестве главного бухгалтера (заместителя главного бухгалтера) кредитной организации (его филиала);

в качестве должностного лица (должностных лиц) кредитной организации (ее филиала), на которое (которых) возложена обязанность по руководству и контролю за деятельностью передвижного пункта кассовых операций;

в качестве учредителя (акционера, участника) кредитной организации;

в качестве доверительного управляющего акциями (долями) кредитной организации;

в качестве лица, на которого возлагаются (предполагается возложить) отдельные обязанности единоличного исполнительного органа, его заместителей, членов коллегиального исполнительного органа, главного бухгалтера, заместителей главного бухгалтера кредитной организации, руководителя, главного бухгалтера филиала кредитной организации, предусматривающие право распоряжения денежными средствами, находящимися на открытых в Банке России счетах кредитной организации;

в качестве ответственного работника внутреннего структурного подразделения кредитной организации (ее филиала);

в качестве отнесенных к аффилированным лицам кредитной организации;

в качестве уполномоченного лица кредитной организации (ее филиала), которому предоставлено право подписи расчетных (платежных) документов;

в качестве лиц, осуществляющих руководство дочерней организации кредитной организации на территории иностранного государства;

в качестве руководителя, работника представительства иностранной кредитной организации, аккредитуемой Банком России;

в качестве уполномоченного лица формировать заявки и получать аналитические материалы;

в качестве кредитора (вкладчика) и клиента кредитной организации;

в качестве приобретателя акций (долей), недвижимого имущества и других активов кредитной организации и (или) в качестве лица, установившего контроль в отношении акционеров (участников) кредитной организации;

в качестве клиента кредитной организации, поручителя, залогодателя, собственника и иного лица, значимого для целей проверки кредитной организации (ее филиала);

иные данные об участии субъекта ПД в деятельности кредитной организации, которые получены Банком России при осуществлении им контрольных и надзорных функций.

5.2.2. Данные Книги государственной регистрации кредитных организаций.

5.2.3. Данные о бюро кредитных историй, в которых сформированы кредитные истории субъектов ПД — субъектов кредитных историй (титульная часть кредитной истории).

5.2.4. Данные о противоправной деятельности субъекта ПД:

об участии субъекта ПД в экстремистской деятельности;

о нарушении субъектом ПД норм валютного законодательства;

о проведении субъектом ПД финансовых операций, обладающих признаками незаконных.

5.2.5. Данные о валютных операциях субъекта ПД — о получении субъектом ПД от нерезидента или предоставлении нерезиденту займов (кредитов).

5.2.6. Данные об участии субъекта ПД в операциях с ценными бумагами:

об участии субъекта ПД в качестве инвестора рынка государственных ценных бумаг и в выплатах купонных доходов и сумм от погашения государственных ценных бумаг;

данные субъекта ПД, включенные в документы, необходимые для осуществления государственной регистрации выпусков (дополнительных выпусков) эмиссионных ценных бумаг эмитентов;

данные субъекта ПД, включенные в отчеты или уведомления об итогах выпусков (дополнительных выпусков) эмиссионных ценных бумаг эмитентов.

5.2.7. Данные о субъектах ПД — работниках Банка России, кандидатах на вакантные должности в Банк России и бывших работниках Банка России:

об образовании, повышении квалификации, знании иностранных языков, трудовой деятельности субъекта ПД;

о привлечении к уголовной ответственности;

о доходах, полученных субъектом ПД за отчетный период, и расчете налогов на доход;

о доходах, об имуществе и обязательствах имущественного характера, перечень сведений которых установлен формой справки о доходах, расходах, об имуществе и обязательствах имущественного характера, утвержденной Указом Президента Российской Федерации от 23.06.2014 N 460;

о семейном положении субъекта ПД;

военно-учетные данные субъекта ПД;

о наличии у субъекта ПД государственных наград (медалей, орденов и др.);

о родственниках работника Банка России (родители, супруги, братья, сестры, дети, в том числе усыновленные, усыновители, а также братья, сестры, родители и дети супругов, в том числе усыновленные, усыновители), а также о наличии родственных отношений работника Банка России с акционерами (участниками), членами совета директоров (наблюдательного совета) кредитной организации, руководителем кредитной организации (ее филиала), главным бухгалтером или заместителем главного бухгалтера кредитной организации (ее филиала), а также с руководителем службы внутреннего аудита, руководителем службы внутреннего контроля или руководителем иного подразделения кредитной организации (ее филиала), на которое возложены функции внутреннего контроля, если перечисленные лица могут оказывать значительное влияние на решения, принимаемые органами управления кредитной организации;

о наличии родственных отношений работника Банка России (родители, супруги, братья, сестры, дети, в том числе усыновленные, усыновители, а также братья, сестры, родители и дети супругов, в том числе усыновленные, усыновители) с акционерами (участниками), членами совета директоров (наблюдательного совета) (при его наличии) некредитной финансовой организации, саморегулируемой организации в сфере финансового рынка; с лицами, осуществляющими прямой или косвенный контроль за акционерами (участниками) некредитной финансовой организации, саморегулируемой организации в сфере финансового рынка; с руководителем некредитной финансовой организации, саморегулируемой организации в сфере финансового рынка, главным бухгалтером или заместителем главного бухгалтера некредитной финансовой организации, саморегулируемой организации в сфере финансового рынка (иным лицом, на которое возлагается ведение бухгалтерского учета), если перечисленные лица самостоятельно или в силу существующего между ними соглашения, а также с помощью иных способов прямого или косвенного взаимодействия имеют возможность оказывать влияние на решения, принимаемые органами управления некредитной финансовой организации, саморегулируемой организации в сфере финансового рынка; с руководителем службы внутреннего контроля (контролером); с руководителем службы внутреннего аудита (внутренним аудитором) некредитной финансовой организации, саморегулируемой организации в сфере финансового рынка, организации в Банке России;

о представительстве субъекта ПД по делам третьих лиц, в том числе некредитной финансовой организации, саморегулируемой организации в сфере финансового рынка, в Банке России;

о кредитных договорах, заключенных с работниками Банка России, и договорах поручительства по ним;

о владении субъектом ПД паями, долями участия, акциями или об ином участии в уставном капитале кредитных и иных организаций;

о финансовом, имущественном положении субъекта ПД, проведенных им финансовых операциях, операциях с ценными бумагами, кредитных операциях, а также о размещении лицами, состоящими в родственных отношениях с субъектом ПД (родители, супруги, братья, сестры, дети, в том числе усыновленные, усыновители, а также братья, сестры, родители и дети супругов, в том числе усыновленные, усыновители), денежных средств в кредитной организации (ее филиале) (вклады, депозиты) и о получении ими в кредитной организации (ее филиале) денежных средств и иного имущества;

о финансовом, имущественном положении субъекта ПД, проведенных им финансовых операциях, операциях с ценными бумагами, а также о размещении лицами, состоящими в родственных отношениях с субъектом ПД (родители, супруги, братья, сестры, дети, в том числе усыновленные, усыновители, а также братья, сестры, родители и дети супругов, в том числе усыновленные, усыновители), денежных средств в некредитной финансовой организации и о получении ими в некредитной финансовой организации денежных средств и иного имущества;

о включении субъекта ПД — работника Банка России в перечень инсайдеров Банка России;

о наличии у субъекта ПД — работника Банка России либо у лиц, по отношению к которым он является аффилированным лицом, договорных отношений с проверяемой кредитной организацией;

о возбужденных в отношении субъекта ПД уголовных делах;

о наличии у субъекта ПД допуска к сведениям, составляющим государственную тайну.

5.2.8. Данные о состоянии здоровья субъектов ПД — работников Банка России и членов их семей.

5.2.9. Данные о субъектах ПД, взаимодействующих с Банком России:

о гражданах, обратившихся в Банк России;

о представителях клиентов Банка России, подрядных организаций, субъектов ПД, прибывающих в командировку в Банк России;

о посетителях Банка России;

об иностранных гражданах, прибывающих в Российскую Федерацию по приглашению Банка России;

об иностранных гражданах аккредитованных при Банке России представительств иностранных кредитных организаций;

об арбитражных управляющих, аккредитованных при Банке России в качестве конкурсных управляющих при банкротстве кредитных организаций;

о служащих государственной корпорации "Агентство по страхованию вкладов";

о поручителях работников Банка России, об их финансовом положении;

о лицах, открывших счета в полевых учреждениях Банка России;

о работниках клиентов полевых учреждений Банка России;

о лицах, участвующих в исполнительном производстве;

о лицах, подлежащих учету при администрировании Банком России поступлений в бюджетную систему Российской Федерации отдельных видов доходов;

о лицах, проживающих в зданиях и сооружениях Банка России;

о лицах, являющихся работниками Пенсионного фонда Российской Федерации;

о лицах, являющихся работниками аудиторской организации.

5.2.10. Данные о субъекте ПД, участвующем в деятельности некредитной финансовой организации, саморегулируемой организации в сфере финансового рынка, саморегулируемой организации актуариев, или данные о субъекте ПД, осуществляющем деятельность на финансовом рынке:

об участии субъекта ПД в качестве учредителя (участника), должностного лица некредитной финансовой организации, лица, входящего в состав органа управления некредитной финансовой организации, органа управления саморегулируемой организации в сфере финансового рынка, саморегулируемой организации актуариев, в том числе организаций, намеревающихся осуществлять деятельность некредитных финансовых организаций, саморегулируемых организаций в сфере финансового рынка, саморегулируемых организаций актуариев;

об участии субъекта ПД в качестве кандидата на должность в некредитной финансовой организации, саморегулируемой организации в сфере финансового рынка, саморегулируемой организации актуариев;

об образовании субъекта ПД;

об отнесении субъекта ПД к аффилированным лицам некредитной финансовой организации;

о получении субъектом ПД квалификационного аттестата специалиста финансового рынка, содержащиеся в реестре аттестованных лиц;

о включении субъекта ПД в реестр профессиональных участников рынка ценных бумаг;

об участии субъекта ПД в деятельности бирж и торговых систем, содержащиеся в реестре лицензий бирж и торговых систем;

об участии субъекта ПД в деятельности клиринговых организаций, содержащиеся в реестре лицензий клиринговых организаций;

об участии субъекта ПД в деятельности центрального депозитария;

об участии субъекта ПД в деятельности центральных контрагентов, содержащиеся в базе данных центральных контрагентов;

об участии субъекта ПД в деятельности репозитария, содержащиеся в базе данных лицензий репозитариев;

об участии субъекта ПД в деятельности саморегулируемых организаций в сфере финансового рынка, содержащиеся в едином реестре саморегулируемых организаций в сфере финансового рынка;

об участии субъекта ПД в деятельности филиалов и представительств иностранных кредитных рейтинговых агентств, содержащиеся в реестре филиалов и представительств иностранных кредитных рейтинговых агентств;

об участии субъекта ПД в деятельности микрофинансовых организаций, содержащиеся в Государственном реестре микрофинансовых организаций;

об участии субъекта ПД в деятельности кредитных потребительских кооперативов, содержащиеся в Государственном реестре кредитных потребительских кооперативов;

об участии субъекта ПД в деятельности сельскохозяйственных кредитных потребительских кооперативов, содержащиеся в Государственном реестре сельскохозяйственных кредитных потребительских кооперативов;

об участии субъекта ПД в деятельности жилищных накопительных кооперативов, содержащиеся в реестре жилищных накопительных кооперативов;

об участии субъекта ПД в деятельности ломбардов, содержащиеся в Государственном реестре ломбардов;

об участии субъекта ПД в деятельности кредитных рейтинговых агентств, содержащиеся в реестре кредитных рейтинговых агентств;

о деятельности субъекта ПД в качестве ответственного актуария, содержащиеся в Едином реестре ответственных актуариев;

об участии субъекта ПД в деятельности саморегулируемых организаций актуариев, содержащиеся в Государственном реестре саморегулируемых организаций актуариев;

об участии субъекта ПД в деятельности управляющих компаний, содержащиеся в реестре лицензий управляющих компаний;

об участии субъекта ПД в деятельности специализированных депозитариев, содержащиеся в реестре лицензий специализированных депозитариев;

об участии субъекта ПД в деятельности акционерных инвестиционных фондов, содержащиеся в реестре лицензий акционерных инвестиционных фондов;

об участии субъекта ПД в деятельности негосударственных пенсионных фондов, содержащиеся в Книге государственной регистрации негосударственных пенсионных фондов и реестре лицензий негосударственных пенсионных фондов;

об участии субъекта ПД (в том числе временно) в качестве контролера (руководителя службы внутреннего контроля) или лица, ответственного за организацию системы управления рисками (руководителя отдельного структурного подразделения, ответственного за организацию системы управления рисками) негосударственного пенсионного фонда;

об участии субъекта ПД (в том числе временно) в качестве лица, осуществляющего функции ревизора (руководителя ревизионной комиссии) страховой организации, сотрудника службы внутреннего контроля, осуществляющего внутренний контроль в некредитной финансовой организации;

об участии субъекта ПД в качестве специального должностного лица, ответственного за реализацию правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансирования терроризма финансовой организации;

о деятельности субъекта ПД в качестве субъекта страхового дела, содержащиеся в едином государственном реестре субъектов страхового дела;

о деятельности субъекта ПД в качестве объединения субъектов страхового дела, содержащиеся в реестре объединений субъектов страхового дела;

о субъектах ПД — претендентах на сдачу квалификационного экзамена для лиц, желающих вступить в саморегулируемую организацию;

о деятельности субъекта ПД в качестве руководящего органа аудиторской организации или оценщика (юридического лица);

о деятельности субъекта ПД в качестве индивидуального предпринимателя;

об участии субъекта ПД в деятельности бюро кредитных историй, содержащиеся в государственном реестре бюро кредитных историй;

о стаже работы субъекта ПД.

5.2.11. Данные об участии субъекта ПД в деятельности операторов платежных систем и операторов услуг платежной инфраструктуры, не являющихся кредитными организациями.

5.2.12. Данные об участии субъекта ПД в качестве единоличного исполнительного органа и главного бухгалтера оператора платежной системы, не являющейся кредитной организацией, в том числе организации, намеревающейся стать оператором платежной системы, не являющейся кредитной организацией.

5.2.13. Данные о субъекте ПД, участвующем в деятельности информационных агентств, которые осуществляют действия по раскрытию информации о ценных бумагах и об иных финансовых инструментах, в том числе организаций, намеревающихся осуществлять деятельность по раскрытию информации о ценных бумагах и об иных финансовых инструментах.

5.2.14. Данные о субъекте ПД, участвующем в деятельности организаций, осуществляющих функции оператора товарных поставок, в том числе организаций, намеревающихся осуществлять функции оператора товарных поставок.

5.2.15. Данные о субъектах ПД — сведения об участниках Пенсионной программы Банка России и их родственниках, а также о детях, получающих ежемесячную материальную помощь за счет средств Социального фонда Банка России (с указанием фамилий, имен, отчеств, дат рождения).

5.2.16. Данные о субъектах ПД, прямо или косвенно установивших контроль в отношении оператора платежной системы и оператора услуг платежной инфраструктуры, за исключением расчетного центра платежной системы.

5.2.17. Данные о субъектах ПД — работниках аудиторских организаций, участвующих в предварительном и (или) конкурсном отборе для проведения проверки кредитных организаций (их филиалов) по поручению Совета директоров Банка России:

о единоличном исполнительном органе, руководителях (заместителях руководителей) аудиторской организации, членах коллегиального исполнительного органа (при наличии), главном бухгалтере аудиторской организации с указанием их должности, фамилии, имени и отчества (при наличии);

о лицах, уполномоченных аудиторской организацией на взаимодействие с Банком России, с указанием их должности, фамилии, имени и отчества (при наличии);

сведения, содержащиеся в квалификационных аттестатах аудиторов, выданных субъектам ПД, предлагаемым для участия в проверках кредитной организации (ее филиала);

об опыте и стаже работы субъектов ПД, предлагаемых для участия в проверках кредитной организации (ее филиала), в области аудиторской деятельности и банковского аудита;

сведения, содержащиеся в документах о прохождении ежегодного обучения по программам повышения квалификации субъектами ПД, предлагаемыми для участия в проверках кредитной организации (ее филиала);

информация об обстоятельствах, препятствующих участию субъекта ПД в проведении проверки кредитной организации (ее филиала), в том числе о личной заинтересованности при исполнении обязанностей члена группы аудиторов, которая может привести к конфликту интересов, включая следующие сведения:

о том, состоит ли субъект ПД (состоял ли в течение трех лет, предшествовавших году проведения проверки кредитной организации (ее филиала)) в трудовых отношениях с проверяемой кредитной организацией и (или) является (являлся) членом совета директоров (наблюдательного совета) проверяемой кредитной организации, должностным лицом проверяемой кредитной организации (ее филиала), в том числе бухгалтером или иным лицом, несущим ответственность за организацию и ведение бухгалтерского учета и составление бухгалтерской (финансовой) отчетности проверяемой кредитной организации (ее филиала);

о наличии родственных отношений субъекта ПД (родители, братья, сестры, в том числе неполнородные, супруги, дети, в том числе усыновленные, усыновители, дедушки, бабушки, внуки и родители, братья, сестры, в том числе неполнородные, дети, в том числе усыновленные, усыновители, дедушки, бабушки, внуки супругов) с акционерами (участниками), членами совета директоров (наблюдательного совета) проверяемой кредитной организации, а также с лицом, осуществляющим функции единоличного исполнительного органа проверяемой кредитной организации, его заместителями, членами коллегиального исполнительного органа проверяемой кредитной организации; с руководителями обособленных подразделений проверяемой кредитной организации, их заместителями; с главными бухгалтерами кредитной организации и обособленных подразделений проверяемой кредитной организации либо их заместителями; с руководителями и главными бухгалтерами (при их наличии) внутренних структурных подразделений проверяемой кредитной организации; с руководителем службы внутреннего контроля или руководителем иного подразделения кредитной организации (ее филиала), на которое возложены функции внутреннего контроля, если перечисленные лица могут контролировать либо значительно влиять на проверяемую кредитную организацию;

о владении субъектом ПД паями, долями участия, акциями или об ином участии в уставном капитале проверяемой кредитной организации;

о наличии у субъекта ПД либо у лиц, по отношению к которым он является аффилированным лицом, договорных отношений с проверяемой кредитной организацией;

о наличии родственных отношений (родители, братья, сестры, в том числе неполнородные, супруги, дети, в том числе усыновленные, усыновители, дедушки, бабушки, внуки и родители, братья, сестры, в том числе неполнородные, дети, в том числе усыновленные, усыновители, дедушки, бабушки, внуки супругов) с лицами, разместившими денежные средства в проверяемой кредитной организации (ее филиале) и получившими в проверяемой кредитной организации денежные средства и иное имущество в течение пяти лет, предшествующих году проведения проверки кредитной организации (за исключением случая наличия договора банковского счета, предусматривающего осуществление расчетов по операциям, совершаемым с использованием банковских карт);

о членстве субъекта ПД в саморегулируемых организациях аудиторов.

5.2.18. Данные о субъектах ПД — работниках аудиторских организаций, участвующих в предварительном и (или) конкурсном отборе для проведения проверки некредитных финансовых организаций по поручению Банка России:

сведения об единоличном исполнительном органе, заместителях, членах коллегиального исполнительного органа (при наличии), главном бухгалтере аудиторской организации с указанием их должности, фамилии, имени и отчества (при наличии);

сведения о работниках аудиторской организации, уполномоченных аудиторской организацией на взаимодействие с Банком России, с указанием их должности, фамилии, имени и отчества (при наличии);

сведения, содержащиеся в квалификационных аттестатах аудиторов, выданных работникам аудиторской организации, предлагаемым для участия в проверках некредитных финансовых организаций;

сведения об опыте и стаже работы субъектов ПД в области аудиторской деятельности, в том числе в области оказания аудиторских и (или) иных связанных с аудиторской деятельностью услуг некредитным финансовым организациям;

сведения, содержащиеся в документах о прохождении ежегодного обучения по программам повышения квалификации работниками аудиторской организации, предлагаемыми для участия в проверках некредитных финансовых организаций;

информация об обстоятельствах, препятствующих участию работника аудиторской организации в проведении проверки некредитной финансовой организации, в том числе о личной заинтересованности при исполнении обязанностей члена группы аудиторов, которая может привести к конфликту интересов, включая следующие сведения:

о том, состоит ли субъект ПД (состоял ли в течение трех лет, предшествовавших дате представления сведений) в трудовых отношениях с проверяемой некредитной финансовой организацией;

о том, является ли субъект ПД учредителем проверяемой некредитной финансовой организации, членом совета директоров (наблюдательного совета) (при наличии), членом коллегиального исполнительного органа (при наличии) проверяемой некредитной финансовой организации;

о том, оказывает ли субъект ПД (оказывал ли в течение трех лет, предшествовавших дате представления сведений) некредитной финансовой организации аудиторские и (или) иные связанные с аудиторской деятельностью услуги;

о наличии родственных отношений субъекта ПД (супруги, родители, дети, в том числе усыновленные, усыновители, братья, сестры (полнородные и неполнородные), дедушки, бабушки, внуки) с акционерами (участниками), членами совета директоров (наблюдательного совета) (при наличии) проверяемой некредитной финансовой организации, а также с лицом, осуществляющим функции единоличного исполнительного органа проверяемой некредитной финансовой организации, его заместителями, членами коллегиального исполнительного органа (при наличии) проверяемой некредитной финансовой организации; с руководителями обособленных подразделений проверяемой некредитной финансовой организации, главным бухгалтером, его заместителями либо лицом, на которое возлагается ведение бухгалтерского учета некредитной финансовой организации и обособленных подразделений проверяемой некредитной финансовой организации (при наличии), если перечисленные лица самостоятельно или в силу существующего между ними соглашения, а также с помощью иных способов прямого или косвенного взаимодействия имеют возможность оказывать влияние на решения, принимаемые органами управления некредитной финансовой организации; с контролером (руководителем службы внутреннего контроля) некредитной финансовой организации;

о владении субъектом ПД долями (акциями) проверяемой некредитной финансовой организации;

о наличии у субъекта ПД лиц, с которыми он состоит в родственных отношениях (родители, супруги, братья, сестры, дети, в том числе усыновленные, усыновители, а также братья, сестры, родители и дети супругов, в том числе усыновленные, усыновители), либо у лиц, по отношению к которым он является аффилированным лицом, договорных отношений с проверяемой некредитной финансовой организацией;

о том, является ли субъект ПД лицом, осуществляющим прямой или косвенный контроль за акционерами (участниками) некредитной финансовой организации, лицами, осуществляющими доверительное управление акциями (долями) некредитной финансовой организации;

о членстве субъекта ПД в саморегулируемых организациях аудиторов.

5.2.19. Данные о субъектах ПД — работниках подразделения кредитной организации (ее филиала), ответственных за регистрацию, прием входящей корреспонденции и направление исходящей корреспонденции (в рамках оказания содействия кредитной организации (ее филиалу) в проведении проверки в соответствии с пунктом 3.1 Инструкции Банка России от 05.12.2013 N 147-И "О порядке проведения проверок кредитных организаций (их филиалов) уполномоченными представителями Центрального банка Российской Федерации (Банка России)").

5.2.20. Данные о субъектах ПД — работниках подразделения некредитной финансовой организации, саморегулируемой организации в сфере финансового рынка, ответственных за регистрацию, прием входящей корреспонденции и направление исходящей корреспонденции (в рамках оказания содействия некредитной финансовой организации, саморегулируемой организации в сфере финансового рынка в проведении проверки в соответствии с пунктом 3.1 Инструкции Банка России от 24.04.2014 N 151-И "О порядке проведения проверок деятельности некредитных финансовых организаций и саморегулируемых организаций некредитных финансовых организаций уполномоченными представителями Центрального банка Российской Федерации (Банка России)").

5.2.21. Данные о субъектах ПД — членах временной администрации по управлению кредитной организацией, некредитной финансовой организацией, назначаемой Банком России.

5.2.22. Данные о субъекте ПД, необходимые для предотвращения, выявления и пресечения недобросовестных практик, в том числе нарушений требований законодательства о противодействии неправомерному использованию инсайдерской информации и манипулированию рынком:

об участии субъекта ПД в качестве органа управления российского или иностранного юридического лица, органа государственной власти или некоммерческой организации;

об участии субъекта ПД в качестве сотрудника российского или иностранного юридического лица, органа государственной власти или некоммерческой организации;

об участии субъекта ПД в качестве аффилированного лица российского или иностранного юридического лица или некоммерческой организации;

об участии субъекта ПД в качестве учредителя (участника) российского или иностранного юридического лица или некоммерческой организации;

об участии субъекта ПД в качестве лица, имеющего признаки взаимосвязей российских и иностранных юридических лиц, органов государственной власти или некоммерческих организаций;

об участии субъекта ПД в качестве одной из сторон по договору, заключенному с российским или иностранным юридическим лицом, органом государственной власти или некоммерческой организацией;

об участии субъекта ПД в качестве доверителя/доверенного лица по договору, заключенному с российским или иностранным юридическим лицом, органом государственной власти или некоммерческой организацией;

об операциях субъекта ПД, совершенных в рамках договора, заключенного с российским или иностранным юридическим лицом, органом государственной власти или некоммерческой организацией;

полученные от органов государственной власти в рамках системы межведомственного документооборота — в отношении субъекта ПД;

содержащиеся в записях актов гражданского состояния.

5.2.23. Данные о субъектах ПД, являющихся инсайдерами Банка России и не являющихся работниками Банка России.

5.2.24. Иные сведения о субъектах ПД, необходимые Банку России для осуществления им функций, возложенных на него законодательством Российской Федерации, в том числе в соответствии с нормативными и иными актами Банка России, принятыми для осуществления Банком России указанных функций.

5.3. В Банке России не осуществляется обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, если иное не установлено законодательством Российской Федерации.

6. Технология и условия обработки персональных данных

6.1. При обработке ПД Банк России принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных (несанкционированных) действий в отношении ПД.

6.2. Обеспечение безопасности ПД при их обработке в Банке России достигается применением таких мер, как:

назначение ответственных за организацию обработки и защиты ПД;

определение угроз безопасности ПД при их обработке в ИСПД;

издание нормативных и иных актов Банка России по вопросам обработки ПД, а также нормативных и иных актов Банка России, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

документальное определение перечня ресурсов ПД, эксплуатируемых в структурных подразделениях Банка России;

документальное определение порядка обработки ПД при доступе к ресурсам ПД (утверждение регламентов обработки ПД, составляемых для каждого ресурса ПД, эксплуатируемого в структурных подразделениях Банка России);

документальное определение круга работников Банка России, имеющих доступ к ПД;

ознакомление работников Банка России, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации, нормативными и иными актами Банка России по вопросам обработки ПД, регламентами обработки ПД, а также обучение указанных работников;

обеспечение учета и хранения материальных носителей ПД в условиях, обеспечивающих сохранность и предотвращение несанкционированного доступа к ним;

реализация разрешительной системы доступа пользователей к ресурсам ПД, программно-аппаратным средствам обработки и защиты информации;

регистрация и учет действий пользователей в ИСПД;

применение средств разграничения и контроля доступа к ресурсам ПД, коммуникационным портам, устройствам ввода-вывода информации, съемным машинным носителям и внешним накопителям информации;

реализация парольной защиты при осуществлении доступа пользователей к ресурсам, обрабатываемым в ИСПД;

применение средств защиты информации, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации;

применение средств межсетевого экранирования;

организация защиты ресурсов ПД от воздействия вредоносного кода (при наличии технической возможности);

применение средств криптографической защиты информации для обеспечения безопасности ПД при их передаче по открытым каналам связи;

применение средств гарантированного стирания информации при уничтожении ПД на машинных носителях информации;

обнаружение фактов несанкционированного доступа к ПД и принятие соответствующих мер, изложенных в документах Банка России по вопросам обеспечения безопасности ПД и направленных на предотвращение несанкционированного доступа к ПД;

резервное копирование информации, отнесенной к ПД;

обеспечение в ИСПД восстановления ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним или ошибочных действий пользователей ресурсов ПД;

управление системой защиты ПД;

обучение работников Банка России, использующих средства защиты информации, применяемые в ИСПД, правилам работы с ними;

оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;

внутренний контроль соответствия принятых мер по защите ПД требованиям нормативных правовых актов Российской Федерации, нормативных и иных актов Банка России по вопросам обработки и обеспечения безопасности ПД;

размещение технических средств обработки ПД в пределах границ охраняемой территории, а также зон ограничения доступа, определенных ведомственными нормами проектирования;

обеспечение пропускного и внутриобъектового режимов на объектах Банка России.

6.3. Обработка ПД в Банке России осуществляется с согласия субъекта ПД на обработку его ПД, если иное не предусмотрено законодательством Российской Федерации в области ПД.

6.4. Условиями прекращения обработки ПД являются достижение целей обработки ПД, истечение срока действия или отзыв согласия субъекта ПД на их обработку, а также выявление неправомерности обработки ПД.

7. Внесение изменений в информацию, содержащую персональные данные, удаление либо обезличивание персональных данных, подготовка ответов на запросы субъектов на доступ к их персональным данным

Внесение изменений в информацию, содержащую ПД, удаление либо обезличивание ПД, подготовка ответов на запросы субъектов на доступ к их ПД осуществляются в соответствии с требованиями, изложенными в нормативных правовых актах Российской Федерации, нормативных и иных актах Банка России по вопросам обработки ПД.

8. Заключительные положения

Политика обработки ПД подлежит размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".

Обзор документа

В частности, определены категории субъектов, чьи персональные данные обрабатываются в Банке России. Это, например, потребители финансовых услуг, оказываемых поднадзорными организациями, и (или) обратившиеся с запросом (жалобой) в мегарегулятор; субъекты, имеющие открытые счета в кредитных организациях; лица, совершившие противоправное деяние.

Приведен перечень обрабатываемых сведений. Отдельно указаны данные, используемые и не используемые для идентификации субъекта.

Установлено, как обеспечивается безопасность персональных данных при их обработке.

Зачем банк использует биометрические данные

Раньше мы хранили и использовали биометрические данные в банке. Теперь они должны храниться в Единой биометрической системе. Эти данные мы используем для защиты вас и ваших счетов от мошенников. По закону, чтобы и дальше так же надежно вас защищать, мы обязаны получить ваше согласие на обработку данных и передать их в ЕБС. Рассказываем, что такое биометрическая информация и как банк ее использует.

На этой странице

Что такое биометрические данные?

Биометрические данные — это уникальная информация о человеке, с помощью которой можно установить его личность. Например, голос, отпечаток пальца, радужная оболочка глаза, изображение лица или ДНК. В Тинькофф используют только специально обработанное изображение лица и голос — и только совершеннолетних клиентов. Биометрические данные детей банк не собирает и не обрабатывает.

Как банк использует биометрические данные?

Изображение или голос человека можно использовать для защиты счетов от мошенников.

Например, если мы подозреваем, что кто‑то получил несанкционированный доступ к вашему телефону или данным в Тинькофф, то попросим вас сделать в приложении селфи — как при разблокировке некоторых телефонов. Так мы можем достоверно определить, кто пользуется устройством.

А если мы сомневаемся, что по телефону разговариваем именно с вами, а не с мошенником, то для подтверждения сверяем голоса. Если подозрения подтвердятся, банк вовремя закроет мошеннику доступ к счету.

В отличие от пароля, изображение лица или голос нельзя украсть или сообщить мошенникам. Цифровые алгоритмы не получится обмануть при помощи старой фотографии, видео или других способов имитации внешности или голоса. Даже если ваша внешность изменилась — например, вы отрастили усы или изменили стрижку, — алгоритмы вас распознают.

Если у мошенников окажутся ваши изображения, записи вашего голоса, персональные данные или документы, у них не получится обмануть систему защиты.

Чтобы этот механизм защиты работал, банку необходим доступ к биометрическим данным клиента.

Почему вы отправляете мои биометрические данные в ЕБС?

По закону № 572-ФЗ все биометрические данные, нужные для проверки личности клиента, теперь должны храниться в Единой биометрической системе — на специальной защищенной государственной платформе. Чтобы банк мог и дальше использовать изображение и голос клиента для подтверждения личности, клиент должен дать на это разрешение.

Тогда банк сможет передать информацию в ЕБС и затем сверяться с ней, если заподозрит мошенничество против клиента.

Без согласия клиента ни один банк, в том числе Тинькофф, не имеет права использовать биометрические данные клиентов и передавать их в ЕБС. Что делать, если я не хочу передавать свои данные

Что будет, если я откажусь передавать биометрические данные в ЕБС?

Мы не сможем определять по селфи или голосу, что приложением и банковским счетом пользуетесь именно вы, а не мошенники.

Но в любом случае вы не останетесь без защиты: в случае подозрений свяжемся с вами по телефону и зададим вопросы, ответы на которые может знать только владелец счета. Такой способ проверки личности может занимать десятки минут, в то время как на проверку по биометрии обычно уходит гораздо меньше времени — иногда всего 15 секунд.

Как оформить отказ от передачи биометрических данных?

По закону банки могут использовать и передавать в ЕБС биометрические данные клиентов только с их разрешения.

Если вы не хотите, чтобы мы обрабатывали данные и передавали их в ЕБС, достаточно написать об этом в чат службы поддержки.

Если вы уже разрешили передавать данные, но передумали, вы можете отозвать согласие. Как это сделать

Я уже дал другому банку согласие на передачу данных в ЕБС. Нужно ли повторять это в Тинькофф?

Да, вы даете согласие на обработку и передачу данных каждому банку отдельно. Если не передать разрешение банку напрямую, он не сможет использовать информацию из ЕБС и подтверждать с ее помощью личность клиента.

Можно ли отозвать разрешение на передачу данных в ЕБС?

Да, вы можете отозвать согласие, если дали его ранее. Чтобы отозвать разрешение у Тинькофф, напишите в чат службы поддержки или позвоните по номеру 8 800 333‑33‑33 .

Вы также можете удалить информацию о себе в ЕБС через Госуслуги.

Какие еще данные клиентов хранит банк?

Мы храним и защищаем банковские, персональные и биометрические данные клиентов.

Банковские данные — это вся информация о состоянии и действиях со счетами. Эти данные охраняются нашей системой защиты и законом о банковской тайне.

Персональные данные — это ФИО, дата и место рождения клиента, его адрес, номер телефона и другая информация. Без них банк не может оказывать услуги: эти данные нужны для заключения договоров и обслуживания счетов. Такая информация охраняется банком и законом о персональных данных.

Заемщик вправе решать, кому доступны его персональные данные, считают в ЦБ. Что теперь изменится?

Юлия Лищенко, автор статей Банки.ру

Кредитные организации являются операторами персональных данных. Для клиента это значит, что они имеют право собирать и обрабатывать личную информацию о нем, например, для заключения и исполнения кредитного договора. Такие действия с личной информацией возможны только с согласия клиента. Клиент может «согласиться», поставив галочку в бумажном договоре, электронной форме или даже — сюрприз-сюрприз! — просто изучая информацию на сайте.

Последний вариант реализовал на своем веб-ресурсе, в частности, СберБанк. Он предупреждает посетителей, что при работе с сайтом они автоматически дают банку согласие на обработку своих персональных данных. Конечно, перечень данных, к которым банк в этом случае получит доступ, будет ограниченным и обезличенным, но в дальнейшем они могут быть использованы для дополнения цифрового профиля пользователя.

Финансовые организации любят включать текст соглашения на обработку и использование персональных данных в другие документы, что не позволяет ограничить использование этих сведений: отказываясь делиться своими персональными данными, клиент фактически отказывается от услуги.

«Часто в банках вы не получаете договор или соглашение на руки, а просто принимаете оферту, даете свое согласие на присоединение к общим условиям, а там вы всё автоматически разрешаете. Конечно, это несправедливо, особенно по отношению к социально значимому населению», — считает председатель правления потребительского кооператива «Инвестиционный капитал» Андрей Каредин.

Обычно организации запрашивают у клиентов следующие сведения: пол, возраст, семейное положение, e-mail и т. п., но это лишь видимая часть айсберга, считает основатель DBX Digital Ecosystem Игорь Захаров. Помимо этих сведений, финансовые организации фиксируют и анализируют и другую информацию: время и длительность активности пользователей на сайте и в личном кабинете (оценивается системами CRM и сервисами веб-аналитики), операции по счетам, направления движения средств, назначения переводов и платежей и др.

Можно ли отозвать согласие на обработку персональных данных?

Кому и зачем банки передают наши персональные данные

Финансовые организации собирают и используют наши персональные данные непосредственно для заключения и исполнения договора и для собственных нужд, например в рекламных целях. По мнению Андрея Каредина, особенно этим грешат крупные игроки, имеющие собственные экосистемы. «Получается уже фактически спамерская атака, вот ЦБ и Роскомнадзор и вмешиваются», — отмечает Каредин.

Помимо этого, в рамках своих бизнес-процессов банки могут передавать личную информацию о клиентах другим организациям. Как правило, это бюро кредитных историй, страховые компании, операторы связи, коллекторские агентства и партнеры банка.

Причина, по которой личная информация так свободно передается организациям, не имеющим прямого отношения к банковской деятельности, — в размытости формулировок, которые кредитные организации зачастую используют в соглашениях о передаче и использовании персональных данных.

«В настоящее время на практике кредитные организации включают максимально расплывчатые и широкие формулировки, касающиеся обработки персональных данных клиентов, что позволяет им передавать эти данные достаточно широкому кругу лиц, напрямую никак не связанных с банковской деятельностью. Такая информация может использоваться, в частности, для рекламы и других целей, не связанных с выдачей и обслуживанием кредита, в том числе спустя долгое время после фактического прекращения кредитных отношений между банком и клиентом», — поясняет партнер коллегии адвокатов Pen & Paper Сергей Учитель.

Что рекомендуют ЦБ и Роскомнадзор

В начале августа Центробанк и Роскомнадзор опубликовали совместное письмо, в котором рекомендовали финансовым организациям изменить подход к обработке персональных данных клиентов. Регуляторы считают, что банкам следует запрашивать у клиентов отдельное согласие в отношении каждого оператора, которому могут передаваться их персональные данные, включая биометрические. Помимо этого, в документах стоит указывать конкретную дату или период времени, в течение которых допускается обработка персональных данных, без возможности автоматической пролонгации этого срока. При этом обрабатывать данные, согласно закону, значит в том числе собирать, хранить и передавать их.

Роскомнадзор совместно с Банком России напоминает, что обработка персональных данных должна ограничиваться достижением заранее определенных целей, например исполнением обязательств по кредитному договору.

Помогут ли рекомендации ЦБ и Роскомнадзора избавиться от партнерского спама

Стандартный текст заявления о согласии на обработку персональных данных обычно содержит формулировку, разрешающую передавать данные другим организациям. При этом большинство банков не утруждает себя перечислением этих организаций, отделываясь упоминанием загадочных «третьих лиц» или «партнеров». Что это значит на практике, большинство из нас знает на личном опыте: порой стоит один раз дать такое согласие, как на следующий день по «случайному» стечению обстоятельств телефон начинают обрывать эти самые «третьи лица» с предложениями взять кредит, подключить новый тариф сотовой связи или оформить страховку.

Конечно, исполнение рекомендаций регуляторов вряд ли полностью избавило бы нас от партнерского спама, однако необходимость получать от клиентов согласие на передачу их персональных данных каждому возможному партнеру, безусловно, существенно снизила бы энтузиазм финансовых организаций в части распространения этой информации. Кроме того, такая мера помогла бы сузить «круг подозреваемых» в поиске источников утечек личных данных, а заодно и вероятность таких утечек.

Обязаны ли банки исполнять рекомендации ЦБ и Роскомнадзора

Комментируемые рекомендации, изданные в виде информационного письма, не являются нормативным актом ЦБ РФ, имеющим общеобязательный характер и содержащий норму права, поясняет Сергей Учитель. Но необходимо принять во внимание, что рекомендации исходят от главного регулятора банковского сектора, что влечет необходимость для кредитных организаций следовать этим рекомендациям или как минимум учитывать их в своей работе и в разрабатываемых внутренних документах, регламентах и процедурах. Нередко участники банковского сектора России придерживаются позиции, что издаваемые Центробанком рекомендации, комментарии и ответы на наиболее часто встречающиеся вопросы с точки зрения правового значения все равно имеют «силу закона».

Письмо носит рекомендательный характер, однако уже большинство финансовых учреждений могло убедиться по опыту, что отказ следовать рекомендациям регулятора в последующем приводит к более серьезным мерам, добавляет инвестиционный советник ООО «ПФО Холдинг» Руслан Исмаилов.

При этом эксперты считают, что исполнение содержащихся в информационном письме рекомендаций может существенно усложнить процесс оформления банковских договоров и сделать его громоздким как для клиента, так и для банка.

Кто должен отвечать за безопасность персональных данных

Согласно федеральному закону № 152-ФЗ, кредитная организация является оператором персональных данных и непосредственно несет перед клиентами ответственность за сохранность этих данных.

«Оператор персональных данных вправе поручить обработку данных другому лицу. Это делается на основании договора, в котором должны быть предусмотрены объемы передаваемых сведений, перечень действий с ними и прочее. При этом важно учитывать, что ответственной перед заемщиком за любые действия с личной информацией остается кредитная организация», — разъясняет Сергей Учитель.

Другой вопрос — как доказать, что в утечке данных виноват конкретный банк? «В 2020 году Центробанк заблокировал более 25 тысяч мошеннических телефонных номеров, — отмечает Исмаилов. — Тут мы имеем четкое понимание, что базы для обзвона формируются путем «слива» персональных данных из финансовых учреждений. Из федерального закона № 152-ФЗ следует, что максимальный срок хранения сведений, имеющихся в тех же самых банках, четко не определен, но в основном данные должны храниться на протяжении пяти лет с даты исполнения по ним обязательств или же до момента, когда клиент сам их отзовет».

На вопрос Банки.ру о том, как и кому передаются персональные данные клиентов, СберБанк, МКБ, Россельхозбанк, Газпромбанк и УБРиР ответили, что обрабатывают эти данные в соответствии с положениями федерального закона № 152-ФЗ. Другие опрошенные нами банки воздержались от комментариев.

Обработка персональных данных

Industra Bank заботится о защите персональных данных своих клиентов и обрабатывает персональные данные физических лиц, уважая их право на приватность.

Принципы обработки и защиты персональных данных соблюдаются во всех процессах обработки данных. Industra Bank присваивает высокий уровень конфиденциальности персональным данным и осуществляет защиту данных, обеспечивая законную, честную и наглядную обработку данных.

В отношении персональных данных, которые становятся доступными Industra Bank в рамках правоотношений, банк является контролером персональных данных.

Вопросы, связанные с обработкой персональных данных, вы можете задать специалисту по защите персональных данных банка, написав на электронную почту dpo(abols)industra.finance или отправив письмо по адресу улица Элизабетес 57, Рига, Латвия, LV-1772, с пометкой «Специалисту по защите персональных данных». Если ответ, предоставленный специалистом по защите персональных данных, вам кажется неудовлетворительным, вы имеете право обратиться в Государственную инспекцию данных.

Что такое персональные данные?

Персональные данные – это любая информация, с помощью которой можно идентифицировать физическое лицо. Выполняя свои обязанности, определенные правовыми актами, предоставляя услуги клиентам, реализуя разного рода легитимные интересы, заботясь о качестве обслуживания клиентов, Industra Bank обрабатывает разного рода персональные данные. Вот несколько примеров из персональных данных, которые мы обрабатываем:

  • Имя и фамилия, дата рождения, персональный код, паспортные данные или данные удостоверения личности, гражданство, место налоговой регистрации;
  • Контактная информация (номер телефона, адрес электронной почты, адрес, язык общения);
  • Финансовые данные лица — доходы, финансовые обязательства, источник дохода, займы, оборот финансовых средств, другая финансовая информация;
  • Информация, необходимая для выполнения и обработки платежей, например, номер расчетного счета лица в банке, информация о платежной карте, история платежей;
  • Информация об опыте работы и образовании лица (обработка данных сотрудников или потенциальных сотрудников банка);
  • Информация о пользователях веб-сайта Industra Bank (куки-файлы, IP-адрес);
  • Информация о членах семьи, связанных лицах;
  • Внешний вид лица (видеонаблюдение).

В каких случаях банк запрашивает или получает персональные данные?

В процессе своей деятельности Industra Bank обрабатывает различные виды персональных данных, объем и характер которых различен, принимая во внимание различные цели обработки данных. Industra Bank не обрабатывает информацию, которая не является необходимой для достижения установленных законных целей.

Персональные данные попадают в распоряжение Industra Bank различными способами, например:

  • при проведении идентификации и исследования потенциального клиента;
  • при заключении договорных отношений с клиентом и выполнении договорных обязательств;
  • при предоставлении разового обслуживания лицу, не являющемуся клиентом банка;
  • при рассмотрении заявлений, полученных в ответ на объявления о работе, при приеме на работу нового работника;
  • при предоставлении консультаций лицу по телефону или в местах обслуживания клиентов;
  • при получении письма или сообщения электронной почты от лица;
  • при использовании лицом домашней страницы банка, интернет-банка или аккаунтов банка в социальных сетях;
  • при осуществлении видеонаблюдения в помещениях или за пределами помещений Industra Bank;
  • при использовании информации о лице из интернет-ресурсов, запрашивании информации о лице из различных регистров и из других общедоступных источников.

Каковы возможные юридические обоснования для обработки данных?

Industra Bank может инициировать обработку персональных данных только в том случае, если обработка имеет конкретную цель (например, заключение договора, предоставление определенной услуги, выполнение требования правовых актов и т. д.) и если обработка имеет соответствующее юридическое обоснование.

Юридические обоснования для обработки персональных данных могут быть следующими:

1. Установление и выполнение договорных отношений

В случае данного юридического обоснования Industra Bank обрабатывает данные для заключения и выполнения договора. Примеры обработки данных в рамках этого юридического обоснования:

  • Industra Bank запрашивает всю необходимую информацию для заключения договора (юридическое обоснование также действует в случаях, если по какой-либо причине договор не заключается);
  • банк передает информацию другим сторонам запланированного договора (например, при заключении трехстороннего соглашения);
  • Industra Bank направляет информацию в международные организации платежных карт (MasterCard, VISA и др.) для обеспечения выполнения операций с платежной картой (если это предусмотрено заключенным договором между банком и клиентом);
  • банк передает информацию банкам-корреспондентам для обеспечения выполнения платежа (если это предусмотрено заключенным договором между Industra Bank и клиентом).

2. Выполнение юридических обязательств
Это юридическое обоснование применяется для обработки данных тогда, когда у Industra Bank нет свободного выбора действий — соответствующее действие регулируется положениями действующих правовых актов ЕС или Латвии.

Например, предоставляя информацию в Комиссию рынка финансов и капитала или Службу государственных доходов выполняя требования правовых актов, запрашивая информацию от потенциального клиента с целью его идентификации и т. д.

3. Защита жизненно-важных интересов лица (субъекта данных) или третьего лица
Это юридическое обоснование применяется в исключительных случаях, когда обработка данных осуществляется, например, с целью защиты жизни или здоровья человека.

4. Соблюдение общественных интересов или осуществление официальных полномочий
Это юридическое обоснование применяется редко и схоже c выполнением юридических обязательств, поскольку общественные интересы или официальные полномочия Industra Bank должны быть оговорены в правовых актах, в отличии от юридического обязательства, у банка в данном случае может быть возможность свободного (или частично свободного) выбора.

5. Легитимные интересы Industra Bank или третьего лица
Довольно часто применяемое юридическое обоснование. Его применяют, например:

  • указывая в заявлениях информацию о третьих лицах, (гаранты, залогодатели, участвующие в сделке лица при открытии счета-сделки и т. д.), существенную для использования Industra Bank продуктов,
  • записывая телефонные разговоры в целях контроля за качеством обслуживания, и т. д

Перед тем, как начать обработку данных в соответствии с этим юридическим обоснованием, банк оценивает влияние на субъект данных, проводит проверку баланса интересов.

6. Согласие лица (Субъекта данных)
Согласие лица в качестве юридического обоснования используется, например, в маркетинговых целях, когда лицо подает заявку на участие в лотерее или для получения информационного материала.

У лица есть свободный выбор — дать свое согласие на обработку данных, а также лицо имеет право отозвать это согласие в любое время — таким образом, прекратив данную обработку.

Как обрабатываются и защищаются персональные данные?

Industra Bank не запрашивает от лица и не обрабатывает больше информации, чем необходимо для достижения определенных целей, соблюдая таким образом так называемый принцип минимизации данных.

Банк постоянно развивает информационные технологии для обеспечения безопасности персональных данных.

Industra Bank гарантирует, что доступ к персональным данным будет только у тех работников, которым он необходим для выполнения своих должностных обязанностей.

Банк заботится о том, чтобы в его распоряжении были только правильные и точные данные. Если у Industra Bank есть сомнения относительно актуальности или правильности информации, представленной лицом, банк должен связаться с данным лицом для уточнения обрабатываемой информации. Обязанностью каждого клиента является сообщать в Industra Bank в случае изменения информации, которую он предоставил в банк (например, номер телефона, адрес и т. д.).

Персональные данные обрабатываются не дольше, чем это необходимо для достижения определенной цели. После выполнения поставленных целей персональные данные уничтожаются.

Банк уважает права лица, позволяя ему контролировать и отслеживать обработку своих данных.

Industra Bank регулярно проводит обучение своих сотрудников, в т. ч. по вопросам обработки персональных данных, защиты, соблюдения конфиденциальности и этических норм.

Автоматизированное принятие решений

Автоматизированное решение – это решение, которое принимается только за счет автоматизированной обработки без вмешательства в процесс человека. При обработке персональных данных Industra Bank использует автоматизированные системы, но не принимает индивидуальные решения без участия специалистов банка.

Банк использует автоматизированные системы, например, для контроля за платежами, изучения клиентов, обнаружения подозрительных сделок, управления санкционным риском, в соответствии с действующими законодательными актами Латвии.

В каких случаях персональные данные могут быть переданы третьим лицам?

При обработке персональных данных, приоритетом Industra Bank является соблюдение конфиденциальности информации. Информация может быть передана третьим лицам только в том объеме и тех случаях, которые предусмотрены действующими нормативными актами Латвии и ЕС, а также для обеспечения предоставления высококачественных и эффективных услуг, или когда это необходимо для выполнения договорных обязательств с клиентом.

Персональные данные могут быть переданы:

  • Комиссии рынка финансов и капитала, Службе государственных доходов, Государственной инспекции данных, Банку Латвии и другим государственным учреждениям, Службе финансовой разведки, присяжным судебным приставам и следственным органам;
  • держателям различных регистров (например, кредитный регистр, коммерческий регистр и т. д.);
  • внешнему аудитору Industra Bank;
  • дочернему предприятию Industra Bank;
  • лицам, являющимися гарантами обязательств клиента Industra Bank (поручители, залогодатели);
  • реальному получателю платежа или сделки;
  • страховым компаниям;
  • партнерам Industra Bank, в т. ч. которые предоставляют банку следующие услуги: телекоммуникационные услуги, информационные технологии, услуги платежных компаний и др.;
  • партнерам, которые предоставляют клиентам и работникам программы лояльности и различные привилегии;
  • другим кредитным учреждениям, финансовым учреждениям, компаниям платежных карт, посредникам финансовых услуг и т. д.

Перед передачей данных третьему лицу, Industra Bank заключает с ним соглашение, в котором подробно описывается порядок, в котором партнер будет обрабатывать и защищать персональные данные. Во время сотрудничества партнеру будет передаваться информация, необходимая только для указанной цели, и, если существует такая возможность, Industra Bank передает анонимизированную информацию, по которой партнер не может идентифицировать конкретное лицо. Банк может не заключать договор с третьим лицом только в том случае, когда передача соответствующих данных регулируется действующими нормативными актами Латвии и ЕС.

Могут ли персональные данные пересылаться за пределы ЕС/ЕЭЗ?

Персональные данные могут пересылаться за пределы ЕС/ЕЭЗ, если это необходимо для обеспечения конкретной услуги или цели, в случае если деловой партнер Industra Bank находится за пределами ЕС/ЕЭЗ. При пересылке персональных данных за пределы ЕС/ЕЭЗ обеспечивается установленный уровень защиты данных в Общем регулировании защиты данных (General Data Protection Regulation).

Какие права есть у физических лиц?

Физическое лицо имеет следующие права в отношении обработки информации о себе:

  • получать информацию о виде, цели и юридическом обосновании обработки своих данных;
  • получить доступ к своим данным и получить подтверждение обработки своих данных. С помощью интернет-банка Industra Bank клиент может ознакомиться с информацией о заключенных договорах с банком, остатках на счетах, о персональных данных, предоставленных банку, историей платежей и т.д. По получению от физического лица запроса на предоставление информации об обработке персональных данных, Industra Bank может попросить уточнить к какой информации и к каким действиям по обработке запрос относится.
  • исправлять свои данные, если они неправильные или неточные;
  • удалить свои данные или «быть забытыми», например, если данные больше не нужны для целей, для которых они были собраны, или если лицо отозвало свое согласие, на основании которого были обработаны данные;
  • ограничить обработку данных, например, если лицо оспаривает точность данных, или если данные больше не нужны банку для реализации установленных целей, а лицо возражает против удаления данных для предъявления, соблюдения или защиты правовых требований и т. д;
  • возражать против обработки данных (основываясь на причинах, связанных с особой ситуацией лица), если обработка основана на легитимных интересах Industra Bank или общественных интересах. Право на возражение не может быть реализовано, если юридическим обоснованием для обработки является согласие лица, установление и исполнение договорных отношений, выполнение юридического обязательства, защита жизненно важных интересов субъекта данных или третьих лиц;
  • право на переносимость или передачу данных для их сохранения или создания возможности повторного использования данных, например, для передачи другому поставщику услуг. Данное право не может быть реализовано в отношении всей информации. Право можно реализовать в отношении данных, предоставленных лицом, например, при заполнении бланков и форм, при согласии на использование продуктов и услуг Industra Bank, а также данных, обрабатываемых автоматизированными средствами (за исключением бумажных документов), и юридическим обоснованием обработки является либо согласие лица, либо установление и выполнение договорных отношений;
  • право на подачу жалобы о нарушениях обработки персональных данных в Государственную инспекцию данных:
      о возможной незаконной обработке персональных данных
    • отправив в электронном виде, подписанное безопасной электронной подписью, на адрес электронной почты info(abols)dvi.gov, или
    • отправив почтой по адресу Elijas iela 17, Rīga, LV-1050.

    Industra Bank рассматривает следующие запросы без неоправданной задержки и информирует лицо о совершенных действиях в течение месяца. Срок выполнения запроса банк может продлить еще на два месяца, при наличии обоснования (например, большое количество запросов или сложность запросов).

    Банк отвечает на запросы физических лиц, а также выполняет любые другие действия, связанные с выполнением запросов лиц, не взимая плату. Если запрос явно необоснованный или чрезмерный, если необходимы значительные дополнительные ресурсы для обработки запроса может взимать разумную плату принимая во внимание административные расходы, связанные с предоставлением информации или связи или выполнением запрошенного действия, или отказаться выполнить запрос.

    Похожие публикации:
    1. За какую стоимость можно продать долю в ооо
    2. Как получить ипотеку на дом
    3. Как получить пароль смс банкинга через интернет банкинг
    4. Что делает бухгалтер в конце года

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *