УТВЕРЖДЕНО - UniCredit Bank Russia · Web viewподготовку заключений,...

УТВЕРЖДЕНОРЕШЕНИЕМ ПРАВЛЕНИЯАО ЮНИКРЕДИТ БАНКАОТ «19» ИЮНЯ 2018 Г.ПРОТОКОЛ № 08/2018

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

АО ЮНИКРЕДИТ БАНК

МОСКВА 2018

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХАО ЮНИКРЕДИТ БАНК

СОДЕРЖАНИЕ

1. Цель...........................................................................................................................................32. Ответственность......................................................................................................................33. Область применения................................................................................................................34. Заменяемые документы...........................................................................................................35. Связанные документы.............................................................................................................36. Термины, сокращения, условные обозначения....................................................................47. Общие положения....................................................................................................................58. Принципы обработки персональных данных.......................................................................69. Условия обработки персональных данных...........................................................................710. Права субъектов персональных данных..............................................................................1011. Сведения о реализуемых мерах по защите персональных данных..................................12

АКЦИОНЕРНОЕ ОБЩЕСТВО «ЮНИКРЕДИТ БАНК» 2/16


1. ЦЕЛЬ

Целью настоящей Политики обработки персональных данных АО ЮниКредит Банк (далее – Политика) является обеспечение соответствия процесса обработки и защиты персональных данных в АО ЮниКредит Банк законодательству Российской Федерации.

Настоящая Политика определяет основные принципы, цели и условия обработки персональных данных в Банке.

При обработке персональных данных Банк руководствуется Федеральным Законом №152-ФЗ «О персональных данных».

Настоящая политика направлена, в том числе, на обеспечение Банком соблюдения применимых требований и принципов Общих Правил Европейского Союза по Защите Данных (General Data Protection Regulation n.2016/679, далее «GDPR») в части, не противоречащей законодательству Российской Федерации.

2. ОТВЕТСТВЕННОСТЬ

Ответственность за исполнение: Сотрудники БанкаКонтроль за исполнением: Управление комплаенсаВладелец документа (Разработчик): Управление комплаенса

3. ОБЛАСТЬ ПРИМЕНЕНИЯ3.1. Действие настоящей Политики распространяется на любые действия Банка в

отношении Персональных данных клиентов/контрагентов Банка - физических лиц, а также Персональных данных сотрудников Банка.

3.2. Требования настоящей Политики должны учитываться при разработке и внедрении всех бизнес-процессов, в рамках которых производится обработка персональных данных.

3.3. Требования GDPR распространяются на физических лиц - граждан ЕС (т.е. клиентов и работников), включая индивидуальных предпринимателей, в связи с обработкой их персональных данных. GDPR не распространяется на обработку персональных данных юридических лиц.

4. ЗАМЕНЯЕМЫЕ ДОКУМЕНТЫ

Политика обработки персональных данных АО ЮниКредит Банк, утверждена решением Правления АО ЮниКредит Банк, Протокол 05/2016 от 05.04.2016 г.

5. СВЯЗАННЫЕ ДОКУМЕНТЫ

• Положение об обработке персональных данных в АО ЮниКредит Банке, утверждено решением Правления АО ЮниКредит Банк, Протокол 08/2018 от 19 июня 2018 г.



6. ТЕРМИНЫ, СОКРАЩЕНИЯ, УСЛОВНЫЕ ОБОЗНАЧЕНИЯ

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;Банк - АО ЮниКредит Банк;Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые могут использоваться оператором для установления личности субъекта персональных данных;Группа - Группа ЮниКредит, включающая ЮниКредит С.п.А. и Компании Группы;Защита данных по умолчанию - означает, что должны быть реализованы соответствующие меры безопасности для защиты персональных данных, обрабатываемых и хранящихся с помощью существующего программного обеспечения/приложений/других ресурсов ИТ (информационных технологий);Защита данных по дизайну - означает, что при разработке нового программного обеспечения/приложений/других ресурсов ИТ, направленных на обработку персональных данных, должны учитываться и осуществляться конкретные меры безопасности. Информационная система персональных данных - автоматизированная информационная система хранения и обработки Персональных данных;Компания Группы - Организация/Компания, которая прямо или косвенно контролируется ЮниКредит С.п.А.;Материнская Компания - ЮниКредит С.п.А. (здесь и далее также упоминаемая как ЮниКредит);Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;Обязательный Срок хранения - конкретный предельный срок обработки данных, предусмотренный применимым законодательством РФ (например, общие и специальные сроки, установленные законодательством РФ; максимальные сроки хранения, установленные регулирующими органами РФ для специальных категорий информации/документов; пределы хранения, требуемые органами РФ по защите данных с учетом определенных целей обработки);Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;Профилирование - любая форма автоматизированной обработки персональных данных, состоящая из использования персональных данных для оценки определенных личных аспектов, связанных с физическим лицом, в частности, для анализа или прогнозирования



аспектов, касающихся деятельности этого физического лица на работе, его инвестиционного профиля и профиля как заемщика, здоровья, личных предпочтений, интересов, надежности, поведения, местоположения или движения;Персональные данные (ПДн) - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;Специальные категории персональных данных - к специальным категориям персональных данных относятся данные, раскрывающие расовую или национальную принадлежность, политические взгляды, религиозные или философские убеждения, данные о состоянии о здоровья, интимной жизни физического лица;Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;Третье лицо/Обработчик (по GDPR) - физическое или юридическое лицо, государственный орган, учреждение или орган, не являющийся субъектом данных, Оператором данных, Обработчиком данных и лицом, которое под непосредственным руководством Оператора данных или обработчика данных уполномочено обрабатывать персональные данные.Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;Утечка персональных данных - нарушение безопасности, которое включает непреднамеренное или незаконное уничтожение, потерю, изменение, несанкционированное раскрытие или доступ к передаваемым данным, хранимыми или иным образом обработываемыми;Федеральный закон «О персональных данных» - Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных».Физическое лицо - идентифицируемое физическое лицо - это лицо, которое может быть идентифицировано, прямо или косвенно, в частности путем ссылки на такой идентификатор, как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор или ссылки на один или несколько факторов, характерных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности этого физического лица.Data Protection Officer (DPO - далее «Ответственный сотрудник») - Должностное лицо, ответственное за обработку персональных данных;GDPR - Общие Правила Европейского Союза по Защите Данных (General Data Protection Regulation n.2016/679).

7. ОБЩИЕ ПОЛОЖЕНИЯ

7.1. Банк при обработке персональных данных руководствуется законодательством Российской Федерации, требованиями отраслевых стандартов. Политика разработана в соответствии с требованиями Федерального закона «О персональных данных».



Банк, как член Группы, также обеспечивает соответствие обработки персональных данных регулированию Евросоюза (GDPR) по субъектам, подпадающим под его действие (граждан ЕС).

7.2. В Банке действует комплекс правовых, организационных и технических мер, направленных на защиту информации о клиентах, работниках, контрагентах и других субъектах персональных данных.

7.3. Настоящая Политика размещается на сайте Банка в информационно-телекоммуникационной сети Интернет (далее – сеть Интернет) и предоставляется Банком любому заинтересованному лицу для ознакомления.

8. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Обработка персональных данных в Банке осуществляется на основании следующих принципов: обработка персональных данных осуществляется на законной и справедливой

основе; обработка персональных данных должна соответствовать целям, заявленным при

сборе персональных данных; недопустимость объединения баз данных созданных для несовместимых между

собой целей обработки персональных данных; обработке подлежат только персональные данные, которые отвечают целям их

обработки; содержание и объем обрабатываемых персональных данных должны быть

минимально достаточными для достижения заранее определенных целей обработки персональных данных;

процессы обработки персональных данных должны обеспечивать точность, достаточность и актуальность персональных данных по отношению к целям их обработки, а также обеспечивать своевременные удаление или уточнение неполных или неточных данных.

8.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости достижения этих целей, если иное не предусмотрено федеральным законом.

8.3. При обработке персональных данных Банк руководствуется минимально необходимым составом персональных данных для достижения целей получения персональных данных.

8.4. Ответственными подразделениями за организацию процессов и процедур обработки персональных данных в Банке являются Управление комплаенса и Департамент безопасности:



В компетенцию Департамента безопасности Банка входят вопросы защиты Персональных данных; К компетенции Управления комплаенса относятся вопросы обработки персональных данных (за исключением вопросов защиты Персональных данных). Управление комплаенса определяет обязательные для исполнения рекомендации, разрабатывает внутренние документы по указанным вопросам, осуществляет соответствующие проверки процессов и процедур, а также осуществляет разработку и выполнение последующих контролей.

9. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Обработка персональных данных Банком осуществляется в соответствии с законодательством Российской Федерации.

9.2. Обработка персональных данных осуществляется с письменного согласия субъекта персональных данных или его законного представителя. Равнозначным письменному согласию признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.

9.3. Согласие на обработку персональных данных (далее – Согласие) может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

В рамках соответствия требованиям GDPR, Согласие на обработку персональных денных должно быть: Свободно предоставленным - Оператор должен заранее оценить, будет ли Согласие предоставлено в соответствии со свободным выбором субъекта данных. Поэтому, если предоставленное Согласие нарушает свободу выбора отдельных лиц, такое Согласие не будет являться свободным. Конкретным - необходимо получить отдельные Согласия на различные действия по обработке. Информационным - предоставление информации субъектам данных до получения их согласия имеет важное значение для того, чтобы они могли принимать обоснованные решения, понимать, на что они соглашаются, и осуществлять свое право отозвать свое согласие. Однозначным свидетельством желания субъекта - обязательный утвердительный акт субъекта данных, обозначающий согласие на обработку его/ее персональных данных (молчание, предварительно заполненные флажки или бездействие не означают согласия). Явным - требуется в определенных ситуациях, когда возникает серьезный риск защиты данных, и, следовательно, требуется особый контроль над персональными данными. Доказуемым - в соответствии с обязанностями Оператора по GDPR четко излагается обязанность последнего доказывать факт наличия Согласия субъекта данных. Поэтому каждая Компания Группы должна осуществлять процедуры, подтверждающие, что оно получило действительное Согласие субъектов данных.



Отзываемым - Субъекты данных должны иметь право без ущерба для себя отозвать свое Согласие в любое время (т. е. бесплатно или без снижения уровня обслуживания). Выход из договора должен быть таким же простым, как и дача Согласия, с помощью простого и эффективного механизма выхода. Отзыв Согласия не должен влиять на законность обработки, основанной на согласии до его отзыва.

9.4. Обработка персональных данных может осуществляется без согласия субъекта персональных данных (или при отзыве субъектом персональных данных согласия на обработку персональных данных) при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных».

9.5. Обработка специальных категорий персональных данных, касающихся расовой или этнической принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни Банком не осуществляется.

9.6. Обработка биометрических персональных данных, т.е. сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые могут использоваться оператором для установления личности субъекта персональных данных (биометрических персональных данных) производится Банком в рамках требований, установленных Федеральным законом от 31.12.2017 № 482-ФЗ, вступающим в силу с 30.06.2018, в части обязанности банков в Российской Федерации по желанию физического лица - клиента Банка на безвозмездной для клиента основе производить регистрацию в единой биометрической системе (ЕБС) физического лица, со снятием, обработкой и передачей в ЕБС биометрических ПДн клиента.

9.7. Обработка сведений о состоянии здоровья осуществляется в соответствии с Трудовым кодексом, Федеральным законом от 29 ноября 2010 № 326 «Об обязательном медицинском страховании в Российской Федерации», а также подпункте 2.3 части 2 статьи 10 Федерального закона «О персональных данных».

9.8. Для обработки Банком персональных данных полученных от лица, не являющегося субъектом персональных данных, необходимы подтверждения возможности их обработки, указанные в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных» или иных оснований, предусмотренных федеральным законодательством.

9.9. Если персональные данные получены не от субъекта персональных данных, Банк, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона «О персональных данных», до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:

1) наименование и адрес оператора или его представителя;2) цель обработки персональных данных и ее правовое основание;3) предполагаемые пользователи персональных данных;4) установленные Федеральным законом «О персональных данных» права субъекта персональных данных;5) источник получения персональных данных.



9.10. Доступ к персональным данным субъектов персональных данных (вне зависимости от вида носителя) предоставляется сотрудникам Банка в соответствии с их должностными обязанностями.

9.11. Передача персональных данных субъектов персональных данных третьим лицам осуществляется Банком в соответствии с требованиями действующего законодательства Российской Федерации.

9.12. Банк вправе поручить обработку персональных данных третьей стороне с согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора (в том числе государственного или муниципального контракта), либо путем принятия государственным или муниципальным органом соответствующего акта.

9.13. Третья сторона, осуществляющая обработку персональных данных по поручению Банка, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», обеспечивая конфиденциальность и безопасность персональных данных при их обработке.

9.14. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Банк обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных».

9.15. В соответствии с требованиями GDPR, Субъект имеет право на удаление своих персональных данных, опубликованных в сети Интернет.Если Компания Группы опубликовала персональные данные (например, на веб-сайтах, управляемых ЮниКредит Банком или Компаниями Группы), Оператор обязан:- удовлетворить требование по удалению данных Субъекта, если нет законных оснований для продолжения обработки;- принимать разумные меры (с учетом затрат) для информирования третьих лиц, обрабатывающих такие персональные данные, об удалении любых ссылок, копий или повторений.

9.16. Компания Группы освобождается от обязательства удаления данных, если это невозможно или потребует несоразмерных усилий (например, удаление будет очень дорогостоящим и/или технически сложным для Оператора). В соответствии с обязанностями Оператора по GDPR, невозможность удаления персональных данных должна быть должным образом задокументирована.

9.17. Обязанность уведомления об удалении. Компания Группы обязана сообщать о любом удалении персональных данных каждому третьему лицу, которому были раскрыты персональные данные, если только это не окажется невозможным или не потребует непропорциональных усилий (например, сообщение будет очень длительным и/или дорогостоящим и/или технически сложным для Оператора). В соответствии с обязанностями Оператора по



GDPR, невозможность информирования третьих лиц должна быть должным образом задокументирована.

9.18. Цели законных интересов, преследуемых Оператором или Третьим лицом. Чтобы полагаться на законный интерес, необходимо провести «балансировочный тест», который будет показывать, превышает ли законный интерес Оператора интерес Субъекта данных. В соответствии с принципом подотчетности проверка баланса между законными интересами Оператора и интересами или основными правами Субъекта данных проводится Оператором четко и прозрачно.

10. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Субъект персональных данных вправе требовать от Банка уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, вправе отозвать согласие на обработку персональных данных в соответствии с действующим законодательством Российской Федерации, как в целом, так и в части, например, отзыва согласия на использование своих персональных данных, с целью направления Банком маркетинговых рассылок, вправе получить от Банка информацию в понятной форме о передаче Персональных данных, а также принимать предусмотренные законодательством меры по защите своих прав.

10.2. В случаях и порядке, установленных Федеральным законом «О персональных данных», субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных Банком; правовые основания и цели обработки персональных данных; цели и применяемые Банком способы обработки персональных данных; наименование и место нахождения Банка, сведения о лицах (за исключением сотрудников Банка), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Банком или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О персональных данных»; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»; информацию о ранее осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Банка, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.



10.2.1 Каждая Компания Группы в целях исполнения принципа прозрачности по GDPR должна ввести в действие специальные процедуры для обработки запросов в части прав субъекта данных, чтобы обеспечить оперативное управление любыми связанными данными.

10.2.2 Право на портативность данныхВ соответствии с требованиями GDPR, Субъект данных имеет право получать свои персональные данные в структурированном, широко используемом и машиночитаемом формате и беспрепятственно передавать эти данные другому лицу либо другому Оператору данных. Это право распространяется только на деятельность по обработке персональных данных, по которым получено согласие субъекта данных либо по договору, и осуществляется автоматизированными средствами. Передача портативных персональных данных субъекту данных должна быть надлежащим образом защищена путем осуществления необходимых технических мер для обеспечения правильной и безопасной передачи данных, а также в целях соблюдения конфиденциальности и целостности. Осуществление права на осуществление возможности передачи данных не влияет на какие-либо другие права (таких как право доступа).

10.2.3 Автоматизированное принятие индивидуальных решений, включая профилирование.В соответствии с требованиями GDPR, Субъект данных имеет право не подвергаться прохождению процедуры принятия решения, основанного исключительно на автоматизированной обработке, включая профилирование, за исключением случаев, когда автоматизированная обработка необходима для заключения или исполнения договора между Субъектом данных и Оператором данных или на основании явного согласия Субъекта данных.

В таких случаях Компания Группы должна: Надлежащим образом информировать Субъектов данных о деятельности по

профилированию и связанных с ним решениях. Информировать субъекта данных о его праве на:

- предоставление данных для рассмотрения вопроса не машинным способом, а с вмешательством человека; - возможность выразить свою точку зрения; - получение разъяснений принятого решения;- возможность оспорить решение.

осуществлять соответствующие меры по защите прав, свобод и законных интересов Субъекта персональных данных.

использовать соответствующие математические или статистические процедуры для профилирования и реализации технических и организационных мер, для адекватного управления и исправления любых возможных неточностей и минимизации риска ошибок.

проводить оценку воздействия на защиту данных.

Принятие решений на основе профилирования не должно осуществляться в отношении детей.



10.3. Данные о сотрудникахВ дополнение к требованиям, изложенным в предыдущих пунктах, Компания Группы обеспечивает защиту прав и свобод в отношении обработки персональных данных работников в контексте занятости.

В частности, каждая Компания Группы обрабатывает персональные данные своих сотрудников для осуществления трудовой деятельности, и только в конкретных и законных целях в соответствии с соразмерностью и необходимостью.

Группа признает и уважает конфиденциальность данных своих сотрудников, ограничивающую сбор, доступ и использование персональных данных, связанных с трудоустройством.

Сбор, доступ и использование персональных данных, связанных с трудоустройством, ограничено в соответствии с местным законодательством и правилами.Обязательство Группы уважать права сотрудников на неприкосновенность частной жизни не должно приводить к ненадлежащему исполнению сотрудниками своих должностных обязанностей на работе (например, компьютеры компании предназначены только для использования на работе; поэтому их использование, кроме как в коммерческих целях, должно быть сведено к минимуму и не должно влиять на выполнение трудовой деятельности). Кроме того, Группа имеет право доступа ко всем рабочим местам и рабочим инструментам, а также право просматривать сообщения и информацию, созданные на рабочем месте сотрудника, если это необходимо, или в целях обеспечения безопасности и защиты своих ИТ-систем во всех случаях в той мере, в какой это допускается применимым законодательством.

10.4. Уведомление об Утечке Данных

Утечка персональных данных относится к инцидентам защиты информации, порядок управления которыми определяется внутренним нормативным документом "Управление инцидентами защиты информации в АО ЮниКредит Банк". Также, информация о действиях при утечке персональных данных находится в Положении об обработке персональных данных в АО ЮниКредит Банке.

11. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ МЕРАХ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Банк при обработке персональных данных принимает правовые, организационные и технические меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации.Обработка Персональных данных выполняется в соответствии с законодательством Российской Федерации и иными нормативными правовыми актами, в том числе соответствующих государственных органов, регулирующих обработку персональных данных.

11.2. В соответствии со статьей 18.1 Федерального закона «О персональных данных» Банк самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства. Банк в частности принял следующие меры:



Банк назначает ответственного сотрудника за организацию обработки персональных данных; Банк разрабатывает и утверждает документы, определяющие политику Банка в отношении обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; Банк разрабатывает и внедряет локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке персональных данных и устранение последствий таких нарушений; Банк осуществляет внутренний контроль и аудит соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, политике Банка в отношении обработки персональных данных, иным локальным актам Банка; Сотрудники Банка, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации об обработке персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Банка в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных; В Банке разрабатываются и внедряются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных». Банк использует соответствующие требованиям действующего законодательства Российской Федерации административные, технические, физические меры, а также иные меры безопасности, для охраны Персональных данных от их потери, воровства и несанкционированного доступа, использования или модификации. Банк использует все разумные средства для обеспечения точности, полноты и актуальности Персональных данных.

12. РОЛИ, ФУНКЦИОНАЛЬНЫЕ ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ УЧАСТНИКОВ ПРОЦЕССА ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ GDPR

12.1. Ответственный сотрудник.Ответственный сотрудник должен участвовать во всех вопросах, касающихся защиты данных, и быть в состоянии выполнять свои задачи с достаточной степенью автономии в рамках организации. Ответственный сотрудник должен информировать высшее руководство Банка, как Оператора данных, о состоянии дел по выполнению требований GDPR.

Ответственный сотрудник не несет персональной ответственности за несоблюдение GDPR.

12.2. Организационная структура.

Банк назначает Ответственного сотрудника по GDPR.



Для обеспечения более сильного управления и укрепления общей координации усилий по защите данных в рамках Группы, Ответственный сотрудник Банка выполняет аналогичную роль и в Группе, и, в дополнение к выполнению задач, соответствующих его роли в рамках Банка, он играет координирующую роль по отношению к другим Компаниям Группы, содействуя применению целостного подхода к защите данных.

Ответственный сотрудник периодически (например, ежегодно) информирует Совет директоров, органы управления и стратегические органы Банка о наиболее актуальных вопросах, связанных с защитой данных на местном уровне.

Ответственный сотрудник Группы должен периодически (например, ежегодно) информировать Совет директоров, а также органы управления и стратегические органы Группы, предоставляя обзор состояния защиты данных на уровне Группы.

12.3. Разделение ответственности между Ответственными сотрудниками Материнской Компании и Банка.

Обязанности Ответственного сотрудника Материнской Компании.Ответственный сотрудник Группы выполняет координирующую роль по отношению к Ответственным сотрудникам Компаний Группы (включая Банк) и отвечает за:- издание руководящих принципов, касающихся управления защитой данных в Группе; - разработку Групповых правил, устанавливающих минимальные стандарты защиты данных, а также мониторинг и отслеживание их утверждения, принятия и внедрения;- подготовку заключений, координацию и обзор вопросов, связанных с защитой данных, и ответов на основные мероприятия по защите данных на уровне Группы;- определение методологии Data Protection impact assessment (далее «DPIA») для последующего применения на уровне Группы;- определение структуры Record of processing activities, которая будет осуществляться на уровне Группы;- определение содержания обучения для распространения среди всех Компаний Группы;- получение информации от Ответственных сотрудников Компаний Группы;- координацию сотрудничества, обмен опытом и передовыми практиками между Ответственными сотрудниками Компаний Группы;- периодическое (например, ежегодное) информирование Совета Директоров, а также руководящих и стратегических органов Группы путем предоставления обзора состояния защиты данных на уровне Группы.

Обязанности Ответственного сотрудника БанкаОтветственный сотрудник Банка выполняет следующие задачи: - внедрение политик и процедур, соответствующих правилам Группы, устанавливающих минимальные стандарты защиты данных;- информирование и консультирование Банка и его сотрудников об их обязанностях в соответствии с GDPR; - контроль за соблюдением GDPR и внутренней политики в отношении защиты персональных данных; - формирование методологии DPIA и предоставление рекомендаций в рамках Банка о необходимости проведения DPIA;- поддержка в рамках Банка при заполнении Отчета о деятельности по обработке, подтверждающего соответствие требованиям GDPR;- взаимодействие с Ответственным сотрудником Материнской Компании;



- взаимодействие в качестве контактного лица для Ответственного сотрудника Материнской Компании по вопросам, касающимся обработки данных, включая уведомление в случае нарушения данных;- взаимодействие в качестве контактного лица в отношении субъектов данных (включая сотрудников);- осуществление поддержки Ответственного сотрудника Группы в определении потребностей в обучении;- отправка периодических информационных сообщений Ответственному сотруднику Группы по основным темам защиты данных.Ответственный сотрудник Банка не реже одного раза в год информирует Совет директоров и/или органы управления и стратегические органы Банка об инициативах, предпринятых для защиты персональных данных и управления рисками утечки данных, о выявленных нарушениях в работе, о соответствующих корректирующих действиях, которые должны быть осуществлены, а также об обучении персонала.Кроме того, Ответственный сотрудник Банка уполномочен осуществлять надзор за соблюдением требований на локальном уровне в отношении контролируемых Банком организаций/иностранных филиалов.

12.4. Разделение функционала между Управлением комплаенса и Департаментом безопасности

Ответственный сотрудник является сотрудником Управления комплаенса. Банк назначает Ответственного сотрудника Приказом по Банку в соответствии с установленным порядком. .Меры безопасности подпадают под ответственность Департамента безопасности.

12.5. Мероприятия для защиты безопасности

Банк в качестве Оператора должен принимать соответствующие технические и организационные меры для обеспечения возможности демонстрации того, что обработка осуществляется в соответствии с GDPR, а также для защиты данных от несанкционированной или незаконной обработки. Как указано выше, в рамках Банка ответственными за выполнение указанных мероприятий в соответствии с требованиями GDPR, является Департамент безопасности.

12.6. Защита данных по проекту и по умолчанию

Для обеспечения безопасности персональных данных Оператором персональных данных или Обработчиком персональных данных, действующим от его имени, должна быть обеспечена защита данных по умолчанию и по дизайну.

12.7. Оценка воздействия защиты данных (DPIA)Для более подробного ознакомления с информацией об оценке последствий защиты данных следует обратиться к Положению об оценке воздействия защиты данных.

12.8. Информационное уведомлениеВ целях соблюдения принципа честной и прозрачной обработки, Банк обязан информировать субъектов персональных данных об обработке их персональных данных, если об этом еще не было сообщено.



Информационное уведомление должно предоставляться своевременно: в момент получения персональных данных или в течение разумного срока после получения персональных данных, но не позднее чем в течение одного месяца (что должно быть истолковано как максимальный срок).

Кроме того, Банк может также предоставить дополнительную информацию, если, учитывая конкретные обстоятельства, это необходимо для того, чтобы обработка была справедливой и прозрачной (например, в случае обработки персональных данных для дальнейших целей, не охватываемых первоначальным информационным уведомлением).

Информационное уведомление должно представляться в сжатой, ясной, понятной и легкодоступной форме с использованием четких и простых формулировок (в частности, в тех случаях, когда субъектом персональных данных является ребенок). В онлайн среде следует использовать многоуровневое информационное уведомление, в котором субъекты данных информируются об обработке их данных на поэтапной основе (этот подход заключается в предоставлении ключевой информации в короткие сроки со ссылками, которые расширяют каждый раздел до полной версии информационного уведомления).


УТВЕРЖДЕНО - UniCredit Bank Russia · Web viewподготовку заключений,...

Documents

Transcript of УТВЕРЖДЕНО - UniCredit Bank Russia · Web viewподготовку заключений,...