Политика в отношении персональных данных

1. Общие положения
1.1. ООО «ЖИВАГО БАНК» (далее – Банк), являясь оператором персональных данных определяет цели, основные принципы, условия и способы обработки персональных данных, перечни субъектов и категории обрабатываемых персональных данных в Банке, функции Банка при обработке персональных данных, а также реализуемые в Банке требования к защите персональных данных.
1.2. Положения Политики обработки персональных данных в ООО «ЖИВАГО БАНК» (далее – Политика) служат основой для разработки локальных нормативных актов, регламентирующих в Банке вопросы обработки персональных данных.
1.3. Политика действует в отношении всех персональных данных, которые Банк может получить, на законном основании, от субъектов персональных данных.
1.4. Персональные данные относятся к категории «конфиденциальная информация» и на них распространяются все требования, установленные внутренними документами Банка к защите такой информации.
1.5. В настоящей Политике используются следующие основные понятия:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Участники Банка – граждане (физические лица) и юридические лица, владеющие долями в уставном капитале Банка.
Аффилированные лица – физические и юридические лица, способные оказывать влияние на деятельность Банка: члены совета директоров (наблюдательного совета); члены коллегиального исполнительного органа (Правление Банка); лицо, осуществляющее полномочия единоличного исполнительного органа (Председатель Правления Банка); лица, принадлежащие к той же группе лиц, к которой принадлежит Банк; лица, которые имеют право распоряжаться более чем 20 процентами общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал Банка и/или имеющие право давать этой кредитной организации обязательные для исполнения указания на основании учредительных документов кредитной организации или заключенного с кредитной организацией договора; физические лица, по предложению которых назначен или избран единоличный исполнительный орган кредитной организации и/или более чем пятьдесят процентов количественного состава коллегиального исполнительного органа либо совета директоров (наблюдательного совета) кредитной организации; близкие родственники (супруг, родители (в том числе усыновители), дети (в том числе усыновленные), полнородные и неполнородные братья и сестры), если они входят в ту же группу лиц, к которой принадлежит Банк.
Инсайдеры – физические лица, способные воздействовать на принятие решения о выдаче кредита Банком: аффилированные лица Банка; члены кредитного совета (комитета) Банка; главный бухгалтер Банка (лицо, его замещающее); иные сотрудники Банка, способные в силу своего служебного положения воздействовать на принятие решения о выдаче кредита Банком, и которые определены во внутренних документах Банка; близкие родственники лиц, перечисленных выше.
Связанные с Банком лица – физические лица (а также их его близкие родственники: супруг (супруга), родители, дети, усыновители, усыновленные, родные братья и родные сестры, дедушка, бабушка, внуки), контролирующие Банк или оказывающие на него значительное влияние, являющиеся членом совета директоров (наблюдательного совета), единоличным исполнительным органом, его заместителем, главным бухгалтером Банка, членом коллегиального исполнительного органа и иным руководителем (работником), принимающим решения (в том числе коллегиально) об осуществлении Банком операций (сделок), результаты которых могут повлиять на соблюдение Банком обязательных нормативов или возникновение оснований для осуществления мер по предупреждению несостоятельности (банкротства) Банка.
Персональные данные участников, аффилированных лиц, инсайдеров и лиц, связанных с Банком – информация, необходимая Банку в связи с выполнением им функций по ведению и хранению списков участников, аффилированных лиц, инсайдеров и лиц, связанных с Банком, в соответствии с требованиями федерального законодательства и положений Банка России.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном действующим законодательством Российской Федерации.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Файл cookie – небольшой фрагмент данных, отправленный сайтом (веб-сервером) и хранимый на компьютере пользователя.
2. Правовые основания обработки персональных данных
2.1. Настоящая политика разработана в соответствии с требованиями Федерального Закона от 20.07.2006 г. № 152-ФЗ «О персональных данных».
3. Цели обработки персональных данных
3.1. Персональные данные в Банке обрабатываются в целях:
3.1.1. Регулирования трудовых (гражданско-правовых) отношений субъекта персональных данных с Банком (содействие в трудоустройстве; обучение и продвижение по работе; ведение кадрового делопроизводства; ведение воинского учета; обеспечение личной безопасности; контроль количества и качества выполняемой работы; обеспечение сохранности имущества).
3.1.2. Предоставления работникам Банка дополнительных гарантий и компенсаций и других видов социального обеспечения.
3.1.3. Подготовки, заключения, исполнения и прекращения договоров с контрагентами.
3.1.4. Обеспечения пропускного и внутриобъектового режимов в зданиях и помещениях Банка.
3.1.5. Формирования справочных материалов для внутреннего информационного обеспечения деятельности.
3.1.6. Исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательском Российской Федерации об исполнительном производстве.
3.1.7. Осуществления банковских операций и иной деятельности, предусмотренной Уставом и лицензиями Банка, а также нормативными актами Банка России (осуществления банковских операций с клиентами; идентификация лиц, осуществляющих операции с денежными средствами или иным имуществом; исполнение договорных отношений об участии в международных и иных системах денежных переводов с открытием либо без открытия банковского счета; получение условий и использование международных банковских карт; повышение оперативности и качества обслуживания клиентов, ведение учета и представления информации об участниках и аффилированных лицах Банка, согласно требованиям действующего законодательства РФ; рассмотрение заявок на предоставление кредита и заключения, в дальнейшем, договора (по предоставлению кредита, залога, поручительства); привлечение денежных средств во вклады физических лиц; открытие и ведение банковских счетов физических и юридических лиц; осуществление расчетов по поручению физических лиц; осуществление кассового обслуживания физических лиц; выдача банковских гарантий; проведение и учет операций с ценными бумагами; предоставление в аренду физическим лицам сейфов для хранения документов и ценностей, ведение и хранение списка участников Банка в соответствии с требованиями федерального законодательства, ведение учета и предоставления информации об аффилированных лицах Банка в соответствии с требованиями  положений Банка России, совершения сделок со связанными с Банком лицами, начисление дивидендов участникам Банка).
3.1.8. Подбора и найма персонала.
3.1.9. Проведения маркетинговых акций, продвижения продуктов и услуг клиентам Банка, оценки качества обслуживания клиентов.
3.1.10. Улучшения качества работы сайта Банка в сети Интернет, анализа статистики использования сайта Банка в сети Интернет с использованием файлов cookie.
3.1.11. В иных законных целях.
4. Перечень субъектов, персональные данные которых обрабатываются в Банке
4.1. В Банке обрабатываются персональные данные следующих категорий субъектов:
4.1.1. Субъекты персональных данных, состоящие с Банком в отношениях, регулируемых трудовым законодательством (далее – работники Банка).
4.1.2. Субъекты персональных данных – физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Банком (далее – клиенты Банка).
4.1.3. Субъекты персональных данных – физические лица аффилированные и связанные с Банком, а также инсайдеры Банка.
4.1.4. Субъекты персональных данных – физические лица, использующие продукты и сервисы Банка, в том числе сайт Банка в сети Интернет (далее – пользователи сайта Банка).
4.1.5. Другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в разделе 3 Политики).
4.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Банке не осуществляется.
5. Состав персональных данных
5.1. Банком обрабатываются следующие категории персональных данных:
5.1.1. В отношении работников: фамилия, имя, отчество, включая сведения об их изменении; фотографическое изображение; пол; дата и место рождения; биографические сведения; сведения об образовании (образовательное учреждение, время обучения, присвоенная квалификация, специальность, данные документа об образовании); сведения о местах работы (город, название организации, должность, сроки работы); сведения о семейном положении, детях (фамилия, имя, отчество, дата рождения), о составе семьи, которые могут понадобиться работодателю для предоставления льгот, предусмотренных трудовым и налоговым законодательством; сведения об отношении к воинской обязанности, данные документа о воинской обязанности; сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы; сведения о месте регистрации, проживания; контактная информация (номер телефона, электронная почта); сведения о постановке на налоговый учет (ИНН); сведения о регистрации в системе индивидуального (персонифицированного) учета (номер страхового свидетельства государственного пенсионного страхования); сведения об открытых банковских счетах; данные документа, удостоверяющего личность; информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности в ООО «ЖИВАГО БАНК»; сведения о доходах в ООО «ЖИВАГО БАНК»; сведения о деловых и личных качествах, носящие оценочный характер; медицинское заключение при прохождении медицинского осмотра и в других случаях, предусмотренных законодательством; дополнительные документы – в отдельных случаях, предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.
5.1.2. В отношении клиентов: фамилия, имя и отчество, год, месяц, дата и место рождения, реквизиты документов, удостоверяющих личность субъекта персональных данных, определяющих его социальное положение (пенсионное удостоверение), сведения о регистрации по месту жительства или временной регистрации по месту пребывания, о месте проживания, контактные телефоны, данные о месте работы, данные, характеризующие имущественное положение, сведения о доходах, сведения о семейном положении, иные сведения в соответствии с федеральным законодательством, положениями Банка России и описанные в  Положении о работе с персональными данными клиентов и контрагентов в ООО «ЖИВАГО БАНК» утвержденного решением Правления ООО «МКБ. им. С. ЖИВАГО» от 13 февраля 2017 года.
5.1.3. В отношении аффилированных и связанных с Банком лиц, а также инсайдеров Банка: фамилия, имя, отчество, реквизиты документа, удостоверяющего личность, сведения о регистрации по месту жительства, о месте проживания, гражданство, контактные телефоны, сведения о принадлежащих участнику/аффилированному лицу в долях Банка, иные сведения в соответствии с федеральным законодательством, положениями Банка России и описанные в Положении о работе с персональными данными участников, аффилированных лиц, инсайдеров и лиц, связанных с ООО «МКБ им. С. ЖИВАГО» утвержденного решением Правления ООО «МКБ им. С. ЖИВАГО» от 13 февраля 2017 года.
5.1.4. В отношении пользователей сайта Банка:
5.1.4.1. Яндекс.Метрика: URL страницы, реферер страницы, заголовок страницы, браузер и его версия, операционная система и ее версия, устройство, высота и ширина экрана, наличие cookie, наличие JavaScript, часовой пояс, язык браузера, глубина цвета экрана, ширина и высота клиентской части окна браузера, пол и возраст посетителей, интересы посетителей, географические данные, JavaScript-события (учет взаимодействий посетителя с сайтом, в том числе использование на сайте методов JavaScript API, например, отправка формы, скроллинг страницы), параметры загрузки страницы, просмотр страницы, визит, переход по внешней ссылке, скачивание файла, отказ, время на сайте, глубина просмотра.
5.1.4.2. Выбор состава файлов cookie для обработки зависит от используемого браузера и устройства.
5.1.5. В отношении других субъектов персональных данных, необходимых для обеспечения реализации целей обработки, указанных в разделе 3 Политики.
6. Перечень действий с персональными данными и способы их обработки
6.1. В Банке осуществляет сбор, запись, хранение, систематизация, накопление, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление и уничтожение персональных данных, передача (распространение, предоставление, доступ) в том числе трансграничная передача персональных данных.
6.2. Обработка персональных данных в Банке осуществляется следующими способами:
6.2.1. Неавтоматизированная обработка персональных данных.
6.2.2. Автоматизированная обработка персональных данных с передачей полученной информации по информационной-телекоммуникационным сетям или без таковой.
6.2.3. Смешенная обработка персональных данных.
7. Принципы и условия обработки персональных данных
7.1. Обработка персональных данных Банком осуществляется на основе следующих принципов:
7.1.1. Обработка персональных данных осуществляется в Банке на законной и справедливой основе.
7.1.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
7.1.3. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
7.1.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
7.1.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
7.1.6. Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
7.1.7. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Банком принимаются необходимые меры либо обеспечивающие их удаление или уточнение неполных, или неточных персональных данных.
7.1.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого выгодоприобретателем или поручателем, по которому является субъект персональных данных.
7.1.9. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или случаев утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
7.2. Обработка персональных данных Банком осуществляется с соблюдением строго определенных условий:
7.2.1. Передача персональных данных третьим лицам осуществляется только в соответствии с действующим законодательством, в том числе с использованием защищенных телекоммуникационных каналов связи.
7.2.2. Посещая сайт Банка в сети «Интернет», пользователи сайта Банка соглашаются с настоящей Политикой, в том числе с тем, что Банк обрабатывает файлы cookie с привлечением сервиса Яндекс.Метрика в целях, указанных в разделе 3 Политики.
7.2.2.1. Пользователь может самостоятельно управлять файлами cookie. Используемый пользователем браузер и (или) устройство может позволять блокировать, удалять или иным образом ограничивать использование файлов cookie. Чтобы узнать, как управлять файлами cookie с помощью используемого браузера или устройства, пользователь может воспользоваться инструкцией, предоставляемой разработчиком браузера или производителем устройства, которые использует пользователь для посещения сайта Банка. 
7.2.2.2. Банк осуществляет передачу персональных данных пользователей сайта Банка в компанию «Яндекс» посредством сервиса Яндекс.Метрика для улучшения качества работы и анализа статистики использования сайта Банка в сети Интернет. 
7.2.2.3. Банк не объединяет сведения, полученные через сервис Яндекс.Метрика, с персональными данными пользователей.
7.2.2.4. Возможности компании «Яндекс» по использованию и передаче третьим лицам сведений, собранных сервисом Яндекс.Метрика о посещениях пользователями сайта, ограничиваются Политикой конфиденциальности компании «Яндекс».
7.2.3. Сроки хранения документов, содержащих персональные данные субъектов, определяются в соответствии со сроком действия договора с субъектом персональных данных, Федеральным законом РФ «Об архивном деле в Российской Федерации» № 125-ФЗ от 22.10.2004 г., «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденным приказом Минкультуры РФ № 558 от 25.08.2010 г., Постановлением ФКЦБ РФ от 16.07.2003 г. № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства РФ и нормативных документов Банка России. По истечении сроков хранения таких сведений и (или) достижению целей обработки документы, содержащие персональные данные, подлежат уничтожению.
7.2.4. С целью защиты персональных данных при их обработке в информационных системах персональных данных Банка от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий с ними Банком применяются организационные и технические меры защиты.
8. Основные мероприятия по обеспечению безопасности 
обработки персональных данных
8.1. Для защиты персональных данных при их обработке в Банке применяются следующие организационные и технические меры защиты:
8.1.1. Доступ к персональным данным предоставляется только тем сотрудникам Банка, на которых возложена обязанность по их обработке. Указанные лица имеют право на обработку только тех персональных данных, которые необходимы им для выполнения конкретных функций, связанных с исполнением должностных обязанностей.
8.1.2. Помещения, в которых производится обработка персональных данных или располагаются технические средства информационных систем персональных данных, относятся к категории «помещения ограниченного доступа».
8.1.3. Обработка персональных данных ведется сотрудниками Банка на рабочих местах, выделенных для исполнения ими должностных обязанностей.
8.1.4. Рабочие места размещаются таким образом, чтобы исключить бесконтрольное использование конфиденциальной информации.
8.1.5. В информационных системах персональных данных применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия.
8.1.6. Съемные машинные носители персональных данных учитываются в специальном журнале.
8.1.7. Конфиденциальная информация, содержащая персональные данные субъектов персональных данных, проходит процедуру уничтожения в соответствии с принятым в Банке порядком в сроки, установленные законодательством РФ.
8.1.8. Проводятся процедуры, направленные на обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер.
8.1.9. Проводится резервное копирование баз данных информационных систем персональных данных с целью восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
8.1.10. Разграничены права доступа к персональным данным, обрабатываемым в информационных системах персональных данных.
8.1.11. Проводится ознакомление работников Банка, непосредственно осуществляющих обработку персональных данных либо имеющих к ним доступ в силу своих должностных обязанностей, с положениями законодательства РФ, требованиями к защите персональных данных, локальными нормативными актами Банка по вопросам обработки персональных данных.
8.1.12. Базы данных, содержащие обрабатываемые Банком персональные данные субъектов персональных данных, находятся на территории Российской Федерации.
8.1.13. Своевременно выявляются и предотвращаются нарушения требований законодательства РФ в области обработки персональных данных, устраняются последствия таких нарушений.
8.1.14. Проводится контроль за принимаемыми мерами по обеспечению безопасности персональных данных при их обработке, а также проводится контроль соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006№ 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным нормативным актам Банка.
9. Порядок предоставления информации, содержащей персональные данные
9.1. При обращении субъекта персональных данных (владельца этих данных или его законного представителя) или получении запроса Банк безвозмездно предоставляет в течение 30 дней с даты получения запроса или обращения персональные данные, относящиеся к субъекту персональных данных, в доступной форме, исключающей предоставление персональных данных, относящихся к другим субъектам персональных данных.
9.2. Сторонние организации имеют право доступа к персональным данным субъектов персональных данных только, если они наделены необходимыми полномочиями в соответствии с законодательством РФ, либо на основании договоров с Банком, заключенных в связи с требованиями законодательства РФ.
9.3. Основанием для сотрудника Банка в целях предоставления информации о персональных данных субъектов служит резолюция Председателя Правления Банка на соответствующем запросе, либо факт подписания соглашения (договора) об информационном обмене.
9.4. В соглашение (договор) об информационном обмене включается условие о неразглашении сведений, составляющих персональные данные субъектов, а также служебной информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений.
9.5. При передаче персональных данных субъектов Банк и уполномоченные им должностные лица соблюдают следующие требования:
не сообщают персональные данные третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законодательством;
предупреждают лиц, получающих персональные данные, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и требуют от этих лиц подтверждения соблюдения этого условия, за исключением случаев, установленных федеральным законодательством;
не отвечают на вопросы, связанные с предоставлением персональной информации, любым третьим лицам без законных оснований (письменного запроса);
ведут учет передачи персональных данных субъектов по поступившим в Банк запросам субъектов.
9.6. Передача персональных данных пользователей сайта Банка в компанию «Яндекс», осуществляется в соответствии с публичной офертой использования сервиса Яндекс.Метрика.
10. Ответственность за нарушение требований, регулирующих получение, обработку и хранение персональных данных
10.1. Должностные лица Банка, обрабатывающие персональные данные, несут ответственность в соответствии с действующим законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации.
10.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством РФ.
11. Заключительные положения
11.1. Настоящая Политика вступает в силу с момента ее утверждения решением Совета директоров Банка.
11.2. Настоящая Политика подлежит корректировке в случае изменения законодательства РФ, нормативных актов Банка России и регулирующих органов в области защиты персональных данных, внутренних документов Банка в области защиты конфиденциальной информации. При внесении изменений в заголовке Политики указывается номер версии и дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения Советом директоров Банка и размещения на сайте Банка.
11.3. В случае изменения законодательства РФ в области защиты персональных данных, нормы Политики, противоречащие законодательству, не применяются до приведения их в соответствие.
11.4. Действующая редакция Политики хранится по адресу: г. Рязань, ул. Почтовая, д. 64, электронная версия Политики – на сайте Банка по адресу: https://www.zhivagobank.ru.