ПОЛИТИКА ИСПОЛЬЗОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИО-ВНЕШТОРГБАНКА (ПАО)

1. Общие положения

   1. Настоящая «Политика использования персональных данных Прио—Внешторгбанк (ПАО) (далее Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов обрабатываемых Прио-Внешторгбанком (ПАО) (далее - Банком) персональных данных, функции Банка при обработке персональных данных, права субъектов персональных данных, а также реализуемые Банком меры защиты персональных данных.

   2. Действия настоящей Политики распространяются на персональные данные, полученные Банком во время любого обращения субъектов, а также его представителей, в процессе оказания услуг, повлекших за собой обработку персональных данных.

   3. В зависимости от субъекта персональных данных, Банк обрабатывает персональные данные следующих категорий субъектов персональных данњж:

персональные данные работника Банка — информация, необходимая Банку в связи с трудовыми отношениями и касающаеся конкретного работника; персональные данные аффилированного лица или персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося аффилированным лицом по отношению к Банку — информация, необходимая Банку для отражения в отчетных документах о деятельности Банка в соответствии с требованиями федеральных законов, нормативных документов

Банка России и иных нормативных правовых актов; персональные данные Клиента (потенциального Клиента, партнера, контрагента, представителя клиента), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося Клиентом (потенциальным Клиентом, партнером, контрагентом, представителем клиента) Банка — информация, необходимая Банку для выполнения своих обязательств в рамках договорных отношений с Клиентом и для выполнения требований законодательства Российской Федерации; персональные данные Заемщика (залогодателя, поручителя, принципала)/потенциального Заемщика (залогодателя, поручителя, принципала), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося Заемщиком (залогодателем, поручителем, принципалом)/потенциальным Заемщиком (залогодателем, поручителем, принципалом) — информация, необходимая Банку для выполнения своих договорных обязательств и осуществления прав в рамках соответствующего договора, заключенного с Заемщиком (залогодателем, поручителем, принципалом), для минимизации рисков Банка, связанных с нарушением обязательств по кредитному договору (договору залога, договору поручительства, договору о предоставлении банковской гарантии) и для выполнения требований законодательства

Российской Федерации; персональные данные кандидата в члены совета директоров для отбора кандидатов в члены совета директоров.

1. Законодательные и иные нормативные правовые акты Российской Федерации, в соответствии с которыми определяется Политика обработки персональных данных

   1. Политика обработки персональных данных в Прио—Внешторгбанк (ПАО) определяется в соответствии со следующими нормативными правовыми актами:

^о Трудовой кодекс Российской Федерации; ^о Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;

Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных»;

Приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»; иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

З Основные термины и определения, используемые в локальных нормативных актах Прио— Внешторгбанк (ПАО), регламентирующих вопросы обработки персональных данных

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Информация — сведения (сообщения, данные) независимо от формы представления.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Предоставление персональных данных — действия, направленњие на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лищ.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1. Перечень персональных данных, обрабатываемых «Прио—Внешторгбанк» (ПАО)»

4.1 Перечень персональных данных, обрабатываемых Банком, определяется в соответствии с законодательством Российской Федерации с учетом целей обработки персональных данных и включают в себя:

Фамилия, имя, отчество (в т.ч. прежние, до изменения на законных основаниях);

Дата и место рождения;

Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ); Гражданство;

Адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания;

О Данные документов, подтверждающих пребывание на территории РФ (для нерезидентов);

Сведения о номере и серии страхового свидетельства государственного пенсионного страхования;

Сведения об идентификационном номере налогоплательщика (ИНН);

Контакты клиента/контрагента (Номера телефонов, адрес электронной почты);

Сведения об имуществе (имущественном положении):

• автотранспорт (данные из свидетельств о регистрации транспортных средств и из паспортов транспортных средств);

• недвижимое имущество (вид, тип, способ получения, общие характеристики, стоимость, полные адреса размещения объектов недвижимости и другие сведения).

Сведения о трудовой деятельности и заработной плате, иных доходах и расходах;

Сведения о семейном положении и составе семьи;

Кредиты (займы), банковские счета (в том числе спецкартсчета), денежные средства и ценные бумаги, в том числе в доверительном управлении и на доверительном хранении (данные договоров с клиентами, в том числе номера счетов, спецкартсчетов, номера банковских карт, кодовая информация по банковским картам, коды кредитњж историй, адреса приобретаемых объектов недвижимости, сумма и валюта кредита или займа, цель кредитования, условия кредитования, сведения о залоге, сведения о приобретаемом объекте, данные по ценным бумагам, остатки и суммы движения по счетам, тип банковских карт, лимиты и другие сведения); ^о Иные персональные данные и копии документов, представленных Банку

Банк оставляет за собой право проверять достоверность персональной информации, предоставляемой клиентами. В случае предоставления недостоверной информации или отказе в предоставлении информации, Банк имеет право отказать клиенту в предоставлении услуг.

1. Принципы и цели сбора и обработки персональной информации

   1. Обработка персональных данных Банком осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, на основе следующих принципов:

обработка персональных данных осуществляется Банком на законной и справедливой основе;

Банк собирает и хранит только те персональные данные, которые необходимы для оказания услуг (исполнения соглашений и договоров с клиентом), а также персональные данные, обязанность предоставления которых контролирующим органам возложена на банк законодательством;

Банк собирает и хранит персональные данные работников в целях обеспечения соблюдения требований законодательства РФ, регулирующего трудовые отношения между Работником и работодателем; обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных; хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем тот требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; о при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Банком принимаются необходшые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточњтх персональных данных обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

1. Персональную информацию субъекта Банк может использовать в следующих целях :

   1. Идентификация стороны в рамках соглашений и договоров с банком;

   2. Осуществление возложенных на банк законодательством Российской Федерации функций в соответствии с налоговым кодексом Российской Федерации, нормативными актами Банка России и Федеральными законами, в частности:

Федеральный закон «О персональных данных» от 27.07.2006г. № 152-ФЗ;

Федеральный закон «О банках и банковской деятельности» от 02.12.1990 № 395-1 •

Федеральный закон «О кредитных историях» от 30.12.2004 № 218-ФЗ;

Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» от 07.08.2001 № 115-ФЗ;

Федеральный закон «О валютном регулировании и валютном контроле» от 10.12.2003 № 173-

Федеральный закон «О рынке ценных бумаг» от 22.04.1996 № 39-ФЗ;

Федеральный закон «О несостоятельности (банкротстве) кредитных организаций» от

25.02.1999 № 40-ФЗ;

Федеральный закон «О страховании вкладов физическрж лиц в банках Российской Федерации» от 23.12.2003 № 177-03.

Федеральный закон «Об акционерных обществах» от 26.12.1995 № 208-ФЗ.

1. Связь с субъектом, в том числе направление уведомлений, запросов и информации, если они касаются оказания услуг, а также обработка запросов и заявок от субъекта;

2. В иных законных целях.

1. Условия обработки персональной информации субъекта и её передачи третьим лицам

   1. Банк хранит персональную информацию субъектов в соответствии с положением по защите персональных данных и прав субъектов персональных данных в банке.

   2. В отношении персональной информации субъекта сохраняется ее конфиденциальность, кроме случаев добровольного предоставления субъектом информации о себе для общего доступа неограниченному кругу лиц.

   3. Банк вправе передать персональную информацию субъекта третьим лицам в следующих случаях:

Субъект выразил свое согласие на такие действия;

Передача необходима для оказания услуги субъекту;

Передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры;

В целях обеспечения возможности защиты прав и законных интересов банка или третьих лиц в случаях, когда клиент нарушает условия договора с банком.

1. При обработке персональных данных клиентов банк руководствуется федеральным законом «О персональных данных» от 27.07.2006г. № 152-ФЗ.

1. Перечень действий с персональными данными и способы их обработки

   1. Банк осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

   2. Обработка персональных данных Банком осуществляется следующими способами:

неавтоматизированная обработка персональных данных; автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой; смешанная обработка персональных данных.

1. Права субъектов персональных данных

   1. Субъекты персональных данных имеют право на:

полную информацию об их персональных данных, обрабатываемых в «Прио—Внешторгбанк» (ПАО)»; доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных Федеральным законом; о уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; отзыв согласия на обработку персональных данных. Согласие может быть отозвано путем направления в Банк письменного уведомления об отзыве согласия заказным письмом с уведомлением о вручении, либо вручено лично уполномоченному представителю Банка; о принятие предусмотренных законом мер по защите своих прав; обжалование действия или бездействия «Прио—Внешторгбанк» (ПАО)», осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд; осуществление иных прав, предусмотренных законодательством Российской Федерации.

1. Меры, принимаемые Банком для обеспечения выполнения обязанностей оператора при обработке персональных данных

   1. Банк принимает необходимые и достаточные организационные и технические меры для защиты персональной информации пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

   2. Меры, необходимые и достаточные для обеспечения выполнения Банком обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, включают:

назначение лица, ответственного за организацию обработки персональных данных в Банке; принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных; получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации; в информационных системах применены механизмы идентификации пользователей; запросы пользователей на получение персональных данных, а также факты предоставления персональных данных по ЭТИм запросам, фиксируются автоматизированными средствами информационной системы в электронном журнале обращений; иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

1. Сроки обработки персональных данных

   1. Сроки обработки персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», Постановлением ФКЦБ РФ от 16.07.2003 № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства РФ и нормативными документами Банка России.

   2. В Банке создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Банке данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

2. Порядок внесения изменений в Политику

   1. Банк имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления.