Политика защиты персональных данных в Банке

У Т В Е Р Ж Д Е Н О

Советом директоров Банка «Уссури» (АО)

Протокол №_24_ от «09» __ноября__ 2015 г.

Председатель Совета директоров

Банка «Уссури» (АО)

_______________ (М.В.Демкин)

Политика защиты персональных данных в Банке "Уссури" (АО)

г. Хабаровск 2015 год

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика о защите персональных данных в Банке «Уссури» (АО) (далее - Банк) разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных».

1.2. Цель разработки Политики — определение порядка обработки персональных данных работников Банка и иных субъектов персональных данных, персональные данные которых подлежат обработке, обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника Банка, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3. Порядок ввода в действие и изменения Политики.

1.3.1. Политика вступает в силу с момента его утверждения Советом директоров Банка «Уссури» (АО).

1.3.2. Все изменения в Политике утверждаются Советом директоров Банка «Уссури» (АО).

1.4. Обеспечение режима конфиденциальности персональных данных осуществляется в соответствии с Положением о конфиденциальной информации Банка «Уссури» (АО).

2. ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Для целей настоящей политики используются следующие основные понятия:

Персональные данные субъекта - любая информация, относящаяся к определенному лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация;

Обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных субъектов;

Конфиденциальность персональных данных - обязательное для соблюдения лицом, получившим доступ к персональным данным субъектов, требование не допускать их распространения без согласия субъекта или иного законного основания;

Распространение персональных данных - действия, направленные на передачу персональных данных субъектов определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных субъектов в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным лиц каким-либо иным способом;

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъектов, в том числе их передачи;

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных физических лиц или в результате которых уничтожаются материальные носители персональных данных субъектов;

Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту;

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Информация - сведения (сообщения, данные) независимо от формы их представления.

Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

Система защиты персональных данных – комплекс организационных и технических мер, обеспечивающих выполнение требований по защите персональных данных в Банке «Уссури» (АО) в соответствии с действующим законодательством Российской Федерации и требованиями комплекса Стандартов Банка России СТО БР ИББС.

Событие информационной безопасности – идентифицированное появление определенного состояния системы, сервиса, указывающее на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

2.2. В состав персональных данных субъектов входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, а также о предыдущих местах их работы.

2.3. Комплект документов, сопровождающий процесс оформления договорных отношений сотрудника с Банком.

2.3.1. Информация, представляемая сотрудником при поступлении на работу в Банк, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

- паспорт или иной документ, удостоверяющий личность;

- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

- страховое свидетельство государственного пенсионного страхования;

- документы воинского учета - для военнообязанных и лиц, подлежащих воинскому учету;

- документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;

- свидетельство о присвоении ИНН (при его наличии у работника).

2.3.2. При оформлении работника в Банк уполномоченный сотрудник заполняет унифицированную форму Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:

- общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);

- сведения о воинском учете;

- данные о приеме на работу;

В дальнейшем в личную карточку вносятся:

- сведения о переводах на другую работу;

- сведения об аттестации;

- сведения о повышении квалификации;

- сведения о профессиональной переподготовке;

- сведения о наградах (поощрениях), почетных званиях;

- сведения об отпусках;

- сведения о социальных гарантиях;

- сведения о месте жительства и контактных телефонах.

2.3.3. В Управлении по работе с персоналом Банка создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:

2.3.3.1. Документы, содержащие персональные данные сотрудников (комплекты документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований;

2.3.3.2. Документация по организации работы структурных подразделений (положения о внутренних структурных подразделениях, должностные инструкции сотрудников, приказы, распоряжения, указания руководства Банка); документы по планированию, учету, анализу и отчетности в части работы с персоналом Банка (квартальные данные по анализу нагрузки сотрудников, ежемесячные расчеты по премированию сотрудников посредством бонусов, итоги подведения ежеквартального конкурса на "Лучший офис", документы по проведенным фото рабочего дня сотрудников), дела содержащие материалы тестирования и аттестации работников; служебных расследований; копии отчетов, направляемых в государственные органы статистики, вышестоящие органы управления и другие учреждения.

2.4. Комплекс документов, сопровождающий процесс оформления договорных отношений субъекта персональных данных или его представителя с Банком.

2.4.1. Информация, представляемая субъектом или его представителем при оформлении договорных отношений с Банком, должна иметь документальную форму. При заключении договора с Банком субъект представляет ответственному сотруднику Банка:

паспорт или иной документ, удостоверяющий личность;

миграционную карту;

документ, подтверждающий право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации;

сведения о месте жительства (регистрации) или месте пребывания, почтовом адресе (при наличии), адресе электронной почте и контактных телефонах ;

сведения о месте работе, занимаемой должности;

Сведения о целях установления и предполагаемом характере деловых отношений с Банком

сведения о финансовом положении, счетах и участии в уставном капитале юридических лиц;

сведения об объектах (имуществе), находящихся в собственности субъекта об источниках происхождения денежных средств и (или) иного имущества.

сведения о деловой репутации

сведения о бенефициарных владельцах

сведения о контактных лицах

Свидетельство о постановке на учет физического лица в налоговом органе по месту его нахождения (при наличии)

Страховое свидетельство (при наличии)

Документ, подтверждающий полномочия

3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных субъекта – получение, хранение, комбинирование, передача или любое другое использование персональных данных физического лица. Обработка персональных данных субъекта осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, предусмотренными законодательством РФ и актами Банка, а также осуществления уставной деятельности Банка.

3.2. Банк не имеет права получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Банк вправе получать и обрабатывать данные о частной жизни сотрудника только с его письменного согласия.

3.3. Банк не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.4. При принятии решений, затрагивающих права и законные интересы субъекта, Банк не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки.

3.5. На основании норм Трудового кодекса РФ (ст. 86), а также исходя из положений п. 2 ст. 6 ФЗ РФ "О персональных данных", обработка персональных данных осуществляется Банком без письменного согласия субъекта, за исключением случаев, предусмотренных федеральным законом.

3.6. Получение персональных данных

3.6.1. Все персональные данные о субъекте Банк получает у субъекта или его законного представителя на основании доверенности.

3.6.2. Субъект обязан предоставлять Банку достоверные сведения о себе и своевременно сообщать ему об изменении своих персональных данных. Банк имеет право проверять достоверность сведений, предоставленных субъектом, сверяя данные, предоставленные субъектом, с имеющимися у Банка документами.

3.6.3. В случаях, когда Банк может получить необходимые персональные данные субъекта только у третьей стороны, Банк должен уведомить об этом субъекта и получить от него письменное согласие по установленной форме (Приложение 1).

Примечание: Согласия субъекта на получение его персональных данных от третьих лица не требуется в случаях, когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде при заключении договора с Банком, а также в случаях, установленных федеральным законом и настоящей политикой.

3.7. Хранение персональных данных субъекта

3.7.1. Персональные данные субъекта хранятся в подразделении Банка, которое отвечает за взаимодействие с субъектом, в личном деле субъекта. Личные дела хранятся в бумажном виде в папках и находятся в сейфе или в металлическом шкафу.

3.7.2. Персональные данные субъекта в подразделении Банка хранятся также в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные субъекта, обеспечиваются системой защиты персональных данных.

Примечание: Хранение персональных данных субъектов в структурных подразделениях Банка, сотрудники которых имеют право доступа к персональным данным, осуществляется в порядке исключающим к ним доступ третьих лиц.

3.7.3. Сотрудник Банка, имеющий доступ к персональным данным субъектов в связи с исполнением трудовых обязанностей:

- обеспечивает хранение информации, содержащей персональные данные субъекта, исключающее доступ к ним третьих лиц.

- В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные субъектов.

- при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные субъектов лицу, на которое локальным актом Банка (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.

Примечание: В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные субъектов, передаются другому сотруднику, имеющему доступ к персональным данным субъектов по указанию руководителя структурного подразделения.

3.7.4. При увольнении сотрудника, имеющего доступ к персональным данным субъектов, документы и иные носители, содержащие персональные данные субъектов, передаются другому сотруднику, имеющему доступ к персональным данным субъектов по указанию руководителя структурного подразделения.

3.8. Использование (доступ, передача, комбинирование и т.д.) персональных данных субъекта

3.8.1. Доступ к персональным данным субъекта имеют сотрудники Банка, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей. Перечень сотрудников к персональным данным осуществляется в соответствии с «Регламентом предоставления доступа к информационным ресурсам автоматизированных систем и автоматизированных банковских систем сотрудникам Банка «Уссури» (АО)».

3.8.2. В случае если Банку оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным субъектов, то соответствующие данные предоставляются Банком только после подписания с ними соглашения о неразглашении конфиденциальной информации.

Примечание: В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных субъекта.

3.8.3. Процедура оформления доступа к персональным данным включает в себя:

- истребование с сотрудника письменного обязательства о неразглашении конфиденциальной информации и соблюдении правил их обработки, подготовленного по установленной форме при приеме на работу и увольнении, согласно «Положению о конфиденциальной информации Банка «Уссури» (АО)».

- В случае служебной необходимости доступа к информационным системам обработки персональных данных, доступ организуется в соответствии с Регламентом предоставления доступа к ИР Банка «Уссури» (АО)

3.8.4. Сотрудники Банка, имеющие доступ к персональным данным субъектов, имеют право получать персональные данные субъекта, которые необходимы им для выполнения конкретных трудовых функций.

3.8.5. Доступ к персональным данным субъектов без специального разрешения имеют сотрудники, занимающие в организации следующие должности:

- Председатель Правления Банка;

- Заместители Председателя Правления Банка;

- Главный бухгалтер Банка;

- заместители главного бухгалтера Банка;

- сотрудники Управления по работе персоналом;

- сотрудники Отдела внутрибанковских операций и налогового учета;

- сотрудники Управления информационных технологий;

- сотрудники Отдела банковских технологий;

- сотрудники Юридического отдела;

- сотрудники Службы безопасности;

- сотрудники Отдела по работе с просроченной задолженностью;

- сотрудники Службы внутреннего контроля;

- начальники структурных подразделений, в которых обрабатываются персональные данные субъектов, в соответствии с задачами и функциями, возложенными на подразделения.

3.8.6. Допуск к персональным данным субъектов других сотрудников Банка, не имеющих надлежащим образом оформленного доступа, запрещается.

3.8.7. Сотрудник имеет право на свободный доступ к своим персональным данным, включая право на получение копии любой записи (за исключением случаев предусмотренных федеральным законом), содержащей его персональные данные. Сотрудник имеет право вносить предложения по внесению изменений в свои данные в случае обнаружения в них неточностей.

3.8.8. Управление по работе с персоналом вправе передавать персональные данные сотрудника в Отдел внутрибанковских операций и налогового учета и иные структурные подразделения, в случае необходимости исполнения сотрудниками соответствующих структурных подразделений своих трудовых обязанностей.

3.8.9. При передаче персональных данных сотрудника, уполномоченные сотрудники предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.

3.8.10. Передача (обмен и т.д.) персональных данных между подразделениями Банка осуществляется только между сотрудниками, имеющими доступ к персональным данным субъектов в целях исполнения трудовых обязанностей.

3.9. Доступ к персональным данным субъекта третьих лиц (физических и юридических)

3.9.1. За исключением, случаев, предусмотренных федеральными законами, передача персональных данных субъекта третьим лицам осуществляется только с письменного согласия субъекта, которое оформляется по установленной форме (Приложение 2) и должно включать в себя:

- фамилию, имя, отчество, адрес субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование и адрес Банка, получающего согласие субъекта;

- цель передачи персональных данных;

- перечень персональных данных, на передачу которых дает согласие субъект;

- срок, в течение которого действует согласие, а также порядок его отзыва.

Примечание: Согласия субъекта на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта; когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде при заключении договора с Банком, а также в случаях, установленных федеральным законом и настоящей политикой.

3.9.2. Не допускается передача персональных данных субъекта в коммерческих целях без его письменного согласия, оформленного по установленной форме (Приложение 2).

Примечание: Согласия субъекта на передачу его персональных данных третьим лицам не требуется в случаях, когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде при заключении договора с Банком, а также в случаях, установленных федеральным законом и настоящей политикой.

3.9.3. Передача документов (иных материальных носителей), содержащих персональные данные субъектов, осуществляется при наличии у лица, уполномоченного на их получение:

- договора на оказание услуг Банку;

- соглашения о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту персональных данных субъекта;

- письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные субъекта, её перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.

3.9.4. Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных субъекта несет сотрудник Банка, а также руководитель структурного подразделения, осуществляющего передачу персональных данных субъекта третьим лицам.

3.9.5. Представителю субъекта (в том числе адвокату) персональные данные передаются в порядке, установленном действующим законодательством и настоящей Политикой. Информация передается при наличии одного из документов:

- нотариально удостоверенной доверенности представителя субъекта;

- письменного заявления субъекта, написанного в присутствии уполномоченного сотрудника (если заявление написано субъектом не в присутствии уполномоченного сотрудника, то подпись субъекта удостоверяется нотариально).

Примечание: Доверенности и заявления хранятся в личном деле субъекта.

3.9.6. Предоставление персональных данных субъекта государственным органам производится в соответствии с требованиями действующего законодательства, настоящей Политикой, Порядком реагирования на запросы уполномоченного органа по защите прав субъектов персональных данных (приложение 3).

3.9.7. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством РФ.

3.9.8. Документы, содержащие персональные данные субъекта, могут быть отправлены через организацию почтовой связи (доставки корреспонденции), заказным отправлением с уведомлением и/или передачей отправления лично в руки субъекту. Конфиденциальность корреспонденции обеспечивается организацией почтовой связи (доставки корреспонденции) в соответствии с действующим законодательством. Документы, содержащие персональные данные вкладываются в конверт, к нему прилагается сопроводительное письмо.

3.10. Уточнение, блокирование и уничтожение персональных данных

3.10.1. Блокирование информации, содержащие персональные данные субъекта производится в случае:

- если персональные данные являются неполными, устаревшими, недостоверными;

- если сведения являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

3.10.2. В случае подтверждения факта недостоверности персональных данных Банк на основании документов, представленных субъектом, уполномоченным органом по защите прав субъектов персональных данных или полученных в ходе самостоятельной проверки, обязан уточнить персональные данные и снять их блокирование.

3.10.3. В случае выявления неправомерных действий с персональными данными Банк обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные.

3.10.4. Об устранении допущенных нарушений или об уничтожении персональных данных Банк обязан уведомить субъекта, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

3.10.5. Банк обязан уничтожить персональные данные Клиента (В случае, если сохранение персональных данных более не требуется для целей обработки персональных данных) в случае:

- достижения цели обработки персональных данных;

- отзыва субъектом согласия на обработку своих персональных данных.

Уничтожение персональных данных должно быть осуществлено в течение трех дней, в случае выявления неправомерной обработки персональных данных.

4. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Банком обеспечивается защита персональных данных субъекта от неправомерного их использования или утраты.

4.2. Общая организация защиты персональных данных физических лиц осуществляется Отделом информационной безопасности Банка.

4.3. Начальник отдела информационной безопасности осуществляет:

- разработку внутренних нормативных документов, регламентирующих организацию защиты персональных данных в Банке;

- организацию обучения (инструктаж) сотрудников Банка, осуществляющих обработку персональных данных физических лиц, мерам и способам обеспечения защиты персональных данных и их безопасной обработки, в том числе ознакомление с внутренними нормативными документами по защите персональных данных и о порядке обработки персональных данных (под роспись);

- общий контроль за соблюдением сотрудниками Банка мер по защите персональных данных субъектов.

4.4. Организацию и контроль за защитой персональных данных физических лиц в структурных подразделениях Банка, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.

4.5. Защите подлежит:

- информация о персональных данных субъекта;

- документы, содержащие персональные данные субъекта;

- персональные данные, содержащиеся на электронных носителях.

4.6. Защита сведений, хранящихся в электронных базах данных Банка, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается системой защиты персональных данных.

4.7. Правила доступа, хранения и пересылки персональных данных.

4.7.1. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии.

4.7.2. Допуск лиц к обработке персональных данных в информационной системе осуществляется на основании соответствующих разрешительных документов и ключей (паролей) доступа.

4.7.3. Размещение информационных систем, специальное оборудование и организация работы с персональными данными должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого пребывания в этих помещениях посторонних лиц.

4.7.4. Компьютеры и(или) информационные ресурсы, в которых содержатся файлы с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа в соответствии с Инструкцией для пользователей по организации парольной защиты в ЛВС и АБС.

4.7.5. Пересылка персональных данных без использования специальных средств защиты по общедоступным сетям связи, в том числе Интернет, запрещается.

4.8. Общие требования по защите персональных данных в автоматизированных системах.

4.8.1. При обработке персональных данных в информационной системе пользователями должно быть обеспечено:

- использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей;

- недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

- постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.

4.8.2. При обработке персональных данных в информационной системе разработчиками и администраторами систем, администраторами информационной безопасности совместно с Отделом информационной безопасности должны обеспечиваться:

- обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

- учет лиц, допущенных к работе с персональными данными в информационной системе, прав доступа;

- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

- контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

- описание системы защиты персональных данных.

4.9. Организация учета носителей персональных данных.

4.9.1. Организация учета носителей, содержащих персональные данные осуществляются сотрудниками Банка в соответствии с Регламентом организации приема, передачи, обработки и предоставления носителей конфиденциальной информации.

4.10. Правила использования съемных носителей персональных данных.

4.10.1. Запрещается:

- хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;

- выносить съемные носители с персональными данными из служебных помещений для работы с ними за пределами помещений Банка.

- При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном Регламентом организации приема, передачи, обработки и предоставления носителей конфиденциальной информации.

4.11. Порядок действий при утрате или уничтожении съемных носителей персональных данных.

4.11.1. О фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений немедленно ставится в известность руководитель соответствующего структурного подразделения и Отдел информационной безопасности. Факт утраты носителя признается как событие информационной безопасности и обрабатывается в соответствии с Положением об управлении инцидентами информационной безопасности в Банке «Уссури» (АО).

4.11.2. Съемные носители персональных данных, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с конфиденциальной информацией осуществляется комиссионно. По результатам уничтожения носителей составляется акт.

5. ТРЕБОВАНИЯ К ПОМЕЩЕНИЯМ И ХРАНИЛИЩАМ ПД

5.1. Размещение, специальное оборудование, охрана и организация режима в помещениях, где осуществляется обработка ПД, средства их обработки или хранятся документы, содержащие ПД (далее - защищаемые помещения), должны обеспечивать сохранность персональных данных, средств их обработки и документов с ПД.

5.2. Должен производится учет помещений, в которых осуществляется обработка персональных данных.

5.3. Защищаемые помещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к средствам защиты. Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Помещения должны оборудоваться охранной сигнализацией и/или другими средствами, препятствующими неконтролируемому проникновению.

5.4. Размещение, специальное оборудование, охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц.

5.5. Режим охраны помещений, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливает начальник Службы безопасности по согласованию, при необходимости, с руководителем подразделения, в помещениях которого осуществляется обработка ПД, размещаются средства их обработки или хранятся документы, содержащие ПД.

5.6. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящего раздела.

5.7. Для хранения документов, носителей, в которых содержаться персональные данные должно быть предусмотрено необходимое число надежных металлических хранилищ, оборудованных внутренними замками или кодовыми замками. Ключи от хранилища должны находиться у сотрудника подразделения, ответственного за хранилище.

5.8. По окончании рабочего дня защищаемое помещение и установленные в нем хранилища должны быть закрыты.

5.9. При утрате ключа от хранилища или от входной двери в защищаемое помещение замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то такое хранилище необходимо заменить. Порядок хранения ключевых и других документов в хранилище, от которого утрачен ключ, до изменения секрета замка устанавливает руководитель подразделения или начальник Отдела информационной безопасности Банка.

5.10. При обнаружении признаков, указывающих на возможное несанкционированное проникновение в эти помещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено руководителю подразделения и в Отдел информационной безопасности. Прибывший руководитель подразделения должен оценить возможность компрометации хранящихся носителей или документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации персональных данных.

6. ОСОБЕННОСТИ НЕАВТОМАТИЗАРОВАННОЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

6.2. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

6.3. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также внутренними документами Банка.

6.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

- типовая форма и/или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Банка, фамилию, имя, отчество ответственного за ведение сотрудника, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Банком способов обработки персональных данных;

- типовая форма может предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных - при необходимости получения письменного согласия на обработку персональных данных;

- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе;

- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

6.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

6.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

7. ПОРЯДОК ДЕЙСТВИЙ В СЛУЧАЕ ВОЗНИКНОВЕНИЯ НЕШТАТНЫХ СИТУАЦИЙ

7.1. Все нештатные ситуации, связанные с процессом обработки персональных данных в Банке «Уссури» (АО) и/или обеспечением их безопасности, являются событиями информационной безопасности, которые в свою очередь могут быть инцидентами информационной безопасности.

7.2. События информационной безопасности в Банке обрабатываются в соответствии с Положением об управлении инцидентами информационной безопасности в Банке «Уссури» (АО) по установленным в нем процедурам.

7.3. Процедуры первичного оповещения о событии информационной безопасности приведены в Инструкции по обнаружению и оповещению о событии информационной безопасности в Банке «Уссури» (АО) .

8. ПОРЯДОК ПРОВЕДЕНИЯ КОНТРОЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Контроль обеспечения безопасности персональных данных должен осуществляться на регулярной основе, но не менее одного раза в год.

8.2. Контроль обеспечения безопасности должен осуществляться на комиссионной основе в соответствии с приказом Председателя Правления Банка

8.3. Непосредственные действия сотрудников Банка по процедурам контроля обеспечения безопасности персональных данных приводятся в Регламенте проведения контроля обеспечения безопасности персональных данных в Банке «Уссури» (АО)

9. ПРАВА УЧАСТНИКОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Сотрудник Банка имеет право:

9.1.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные сотрудника.

9.1.2. Требовать от Банка уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Банка персональных данных.

9.1.3. Получать от Банка

- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- информацию о сроках обработки персональных данных, в том числе о сроках их хранения;

- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

9.1.4. Требовать извещения Банком всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

9.1.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Банка при обработке и защите его персональных данных.

9.2. Субъект, персональные данные которого обрабатываются в Банке, имеет право:

9.2.1. Получать доступ к своим персональным данным и ознакомление с ними.

9.2.2. Получать от Банка

- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

9.2.3. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Банка при обработке и защите его персональных данных.

9.2.4. Обращения субъектов персональных данных должны обрабатываться в соответствии с порядком реагирования на обращения субъектов персональных данных в Банке «Уссури» (АО) (приложение 4).

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

10.1. Иные права, обязанности, действия сотрудников, в трудовые обязанности которых входит обработка персональных данных субъектов, и не отраженные в настоящей политике определяются должностными инструкциями и действующим законодательством Российской Федерации.

10.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном действующим законодательством Российской Федерации.

10.3. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе, работникам Банка, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящей политикой, локальными нормативными актами (приказами, распоряжениями) Банка, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания.

10.4. Сотрудники Банка, имеющие доступ к персональным данным субъектов, виновные в незаконном разглашении или использовании персональных данных лиц без согласия субъектов из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса РФ.

Согласовано:

Заместитель Председателя Правления Банка __________________ Т.В. Третьякова

Начальник Управления рисками __________________ И.А. Царинный

Начальник Управления информационных технологий __________________ П.Н. Топчий

Руководитель службы внутреннего контроля __________________ О.А. Калганова

Начальник Юридического Отдела __________________ И.Н. Снурникова

Начальник отдела информационной безопасности __________________ П.Е. Чье


Приложение № 1

К Политике о защите персональных данных Банка «Уссури» (АО).

Согласие на обработку персональных данных

Я,___________________________________________________________________________

ФИО

_____________________________________________________________________________

_____________________________________________________________________________

данные паспорта (или иного документа, удостоверяющего личность)

не возражаю против обработки _____________________________________________________

(наименование организации )

(юр. адрес ______________________________________________________________), включая

_____________________________________________________________________________

_____________________________________________________________________________

_____________________________________________________________________________

перечисление видов обработки

следующих моих персональных данных:

_____________________________________________________________________________

_____________________________________________________________________________

_____________________________________________________________________________

перечень персональных данных

обрабатываемых с целью

_____________________________________________________________________________

_____________________________________________________________________________

цель обработки персональных данных

в течение

_____________________________________________________________________________

_____________________________________________________________________________

(указать срок действия согласия)

Настоящее согласие может быть отозвано мной в письменной форме.

Настоящее согласие действует до даты его отзыва мною путем направления в организацию письменного сообщения об указанном отзыве в произвольной форме, если иное не установлено законодательством Российской Федерации.

"____" ______________20___г.

(подпись) (ФИО)



Приложение № 2

К Политике о защите персональных данных Банка «Уссури» (АО).


Согласие на обработку персональных данных

(в случае получения данных у третьих лиц/

передачи данных третьим лицам)

Руководителю

«_______________________________»

_________________________________

от ______________________________

фамилия, инициалы заявителя

_______________________________________

должность

_______________________________________

структурное подразделение

Не возражаю против __________________________ Вами сведений обо мне, содержащих
получения/сообщения

данные о ______________________________________________________________________

перечень персональных данных

______________________________________________________________________

указать откуда могут быть получены или куда переданы персональные данные с целью

______________________________________________________________________

указать цель обработки персональных данных

В форме ______________________________________________________________________

документальной / электронной

В течение ______________________________________________________________________

указать срок действия согласия

Настоящее заявление может быть отозвано мной в письменной форме

(подпись)

"____" ______________20___г.


Приложение № 3

К Политике о защите

персональных данных Банка «Уссури» (АО).

Порядок реагирования на запросы

уполномоченного органа по защите прав

субъектов персональных данных

1. Общие положения.

1.1. Порядком реагирования на запросы уполномоченного органа по защите прав субъектов персональных данных (далее Порядок) устанавливает порядок регистрации запросов уполномоченного органа по защите прав субъектов персональных данных, формирования ответов на запросы и отправки ответов уполномоченному органу по защите прав субъектов персональных данных в Банке «Уссури» (АО) (далее Банк).

1.1. Порядок реагирования на запросы уполномоченного органа по защите прав субъектов персональных данных является обязательным к исполнению всеми сотрудниками Банка, в том числе в части предоставления дополнительной информации по субъектам персональных данных.

2. Термины и определения.

2.1. Уполномоченный орган по защите прав субъектов персональных данных – федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (Роскомнадзор).

2.2. Оператор персональных данных – юридическое лицо, осуществляющее обработку персональных данных на законных основаниях. В данном Порядке, оператор персональных данных – Банк «Уссури» (АО).

2.3. Ответственное лицо – сотрудник отдела информационной безопасности. Ответственное лицо по подготовке и утверждению ответов на обращения субъектов персональных данных по ВСП назначается приказом Председателя Правления Банка.

3. Поступление и регистрация запроса.

3.1. Запросы уполномоченного органа по защиту прав субъектов персональных данных направляются в Банк письменном виде в соответствии с установленными в Российской Федерации правилами деловой переписки.

3.2. Уполномоченный орган по защите прав субъектов персональных данных имеет право (в рамках Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных»):

- запрашивать информацию, необходимую для реализации свих полномочий;

- требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.

3.3. Запрос уполномоченного органа по защите прав субъектов персональных данных регистрируется секретарем Банка установленным в соответствии с Инструкцией по делопроизводству Банке «Уссури» (АО) порядком.

3.4. Председатель Правления Банке «Уссури» (АО) накладывает резолюцию на запрос уполномоченного органа по защите прав субъектов персональных данных для передачи на исполнение ответственному лицу. Копия поступившего запроса направляется начальнику отдела по управлению рисками.

4. Формирование ответа на запрос.

4.1. Ответственное лицо готовит ответ на запрос уполномоченного органа по защите прав субъектов персональных данных в соответствии с Инструкцией по делопроизводству Банке «Уссури» (АО).

- В зависимости от запроса уполномоченного органа по защите прав субъектов персональных данных по основаниям, перечисленным в п.3.2., ответ на запрос может быть представлен согласно форме запроса

4.2. В случае необходимости готовится сопроводительное письмо с указанием дополнительно переданных документов.

4.3. В случае, если для подготовки ответа на запрос уполномоченного органа по защите прав субъектов персональных данных необходимо получение дополнительной информации по субъекту персональных данных (например, если запрос требует уточнения по субъекту его персональных данных и/или уточнение, что данные субъекта персональных данных обрабатываются в Банке), то ответственное лицо может направлять запросы о предоставлении информации по субъекту персональных данных в другие внутренние структурные подразделения Банке «Уссури» (АО).

4.4. В случае, если запрос уполномоченного органа по защите прав субъекта персональных данных содержит запрос на уничтожение персональных данных, прекращение их обработки, то ответственное лицо направляет копию обращения в юридический отдел для формирования заключения на запрос.

4.5. Сведения по запросу на дополнительную информацию по субъекту персональных данных от других структурных подразделений направляется ответственному лицу (в том числе в виде копий документов) по внутрикорпоративной электронной почте Lotus Notes для подготовки итогового ответа на запрос.

4.6. Ответ на запрос уполномоченного органа по защите прав субъекта персональных данных должен быть подготовлен в течение семи рабочих дней с даты регистрации запроса в Банке «Уссури» (АО) установленным порядком.

4.7. Ответ на запрос уполномоченного органа по защите прав субъекта персональных данных об устранении допущенных нарушений или об уничтожении персональных данных по субъекту персональных данных должен быть подготовлен в течение ТРЕХ рабочих дней с даты регистрации запроса в Банке «Уссури» (АО) установленным порядком. Также Уведомление об уничтожении (изменении, прекращении обработки, устранении нарушений обработки) персональных данных направляется субъекту персональных данных в соответствии с Порядком реагирования на обращения субъектов персональных данных в Банке «Уссури» (АО).

4.8. Подготовленное сопроводительное письмо (справка, уведомление) печатается на фирменном бланке Банка «Уссури» (АО) и заверяется подписью Председателя Правления Банка.

5. Отправка ответа уполномоченному органу по защите прав субъектов персональных данных.

5.1. Ответ на запрос уполномоченного органа регистрируется секретарем Банка в соответствии с Инструкцией по делопроизводству Банка «Уссури» (АО) установленным порядком и направляется в адрес уполномоченного органа по защите прав субъектов персональных данных почтовой связью.

5.2. Копия направленного ответа на запрос подшивается в дело ответственным лицом в соответствии с Номенклатурой дел внутреннего структурного подразделения и Инструкцией по делопроизводству Банка «Уссури» (АО).

Приложение № 4

К Политике о защите

персональных данных Банка «Уссури» (АО).

Порядок реагирования на обращения

субъектов персональных данных в Банке «Уссури» (АО).

1. Общие положения.

1.1. Порядок реагирования на обращения субъектов персональных данных в Акционерном обществе Банке «Уссури» (далее Порядок) устанавливает порядок регистрации обращений субъектов персональных данных, формирования ответов на обращения и отправки ответов субъектам персональных данных в Банке «Уссури» (АО) (далее Банк).

1.2. Порядок реагирования на обращения субъектов персональных данных в Акционерном обществе Банке «Уссури» является обязательным к исполнению всеми сотрудниками Банка.

2. Термины и определения.

2.1. Субъект персональных данных (субъект ПДн) – гражданское лицо, которое является клиентом Банка – физическим лицом и/или представителем клиента Банка - юридического лица.

2.2. Оператор персональных данных – юридическое лицо, осуществляющее обработку персональных данных на законных основаниях. В данном Порядке, оператор персональных данных – Банк «Уссури» (АО).

2.3. Ответственное лицо – главный бухгалтер дополнительного (операционного) офиса, начальник учетно-операционного отдела в головном офисе, заверяющий ответ на обращение субъекта персональных данных. Ответственные лица по подготовке и утверждению ответов на обращения субъектов персональных данных по ВСП назначаются приказом Председателя Правления Банка.

3. Поступление и регистрация обращения.

3.1. Обращение субъекта персональных данных подается непосредственно субъектом ПДн (его законным представителем на основании доверенности) в обслуживающем его дополнительном (операционном) офисе Банка в письменном виде.

3.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

- способы обработки персональных данных, применяемые оператором;

- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

3.3. Субъект персональных данных имеет право на подачу запроса на следующие действия, относящихся к обработке его персональных данных:

- уничтожение персональных данных субъекта;

- изменение персональных данных субъекта;

- прекращение обработки персональных данных субъекта;

- устранение нарушений обработки персональных данных субъекта.

Обращение субъекта персональных данных на указанные действия, относящиеся к обработке его персональных данных, дополнительно должно быть сопровождено сведениями, подтверждающими, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

3.4. В иных целях обращение субъекта персональных данных подается в свободной форме с указанием причины подачи обращения (согласно п. 3.3. и 3.4 настоящего Порядка) в виде Заявления на имя Главного бухгалтера дополнительного (операционного) офиса (начальника учетно-операционного отдела) Банка «Уссури» (АО). Дополнительно в Заявлении субъект персональных данных должен указать Ф.И.О., номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и должен указать контактный телефон для уведомления о подготовленном ответе.

4. Передача обращения на исполнение.

4.1. Ответственное лицо может передать обращение для формирования ответа сотруднику, в зависимости от категории физических лиц, к которой относится субъект персональных данных (например, экономисту по вкладам, если субъект персональных данных является вкладчиком банка и т.п.). Копия поступившего запроса направляется начальнику отдела по управлению рисками.

4.2. В случае необходимости получения дополнительной информации по субъекту персональных данных ответственное лицо может направлять запросы о предоставлении информации по субъекту персональных данных в другие внутренние структурные подразделения Банка «Уссури» (АО).

4.3. В случае, если обращение субъекта персональных данных содержит запрос на уничтожение персональных данных, прекращение их обработки, то ответственное лицо направляет копию обращения в юридический отдел для формирования заключения на обращение.

4.4. В случае, если обращение субъекта персональных данных содержит запрос на устранение нарушений обработки персональных данных, то ответственное лицо направляет копию обращения в отдел информационной безопасности Банка для формирования заключения на обращение.

4.5. Если затронутые в обращении субъекта персональных данных вопросы не входят в компетенцию данного подразделения, то оно не более чем в 2-дневный срок со дня получения передается через секретаря Банка по принадлежности.

5. Формирование ответа на обращение.

5.1. Ответ на обращение субъекта персональных данных по запросу о сведениях перечисленных в п.3.3. настоящего Порядка готовится в форме документов, перечисленных в п.5.1. Дополнительно готовится сопроводительное письмо с указанием переданных документов (за исключением справок и уведомлений) и полем для отметки о получении ответа на обращение.

5.2. Подготовленное сопроводительное письмо (справка, уведомление) печатается на фирменном бланке Банка «Уссури» (АО) и заверяется подписью ответственного лица.

5.3. Сведения по запросу на дополнительную информацию по субъекту персональных данных от других структурных подразделений направляется ответственному лицу (в том числе в виде копий документов) по внутрикорпоративной электронной почте Lotus Notes для подготовки итогового ответа на обращение.

5.4. Заключение по обращению субъекта персональных данных подготовленное юридическим отделом или отделом информационной безопасности (согласно п.3.4.) направляется ответственному лицу по внутрикорпоративной электронной почте Lotus Notes для подготовки итогового ответа на обращение.

5.5. Ответ на обращение субъекта персональных данных должен быть подготовлен в двух экземплярах в течение десяти рабочих дней с даты получения запроса.

6. Отправка ответа субъекту персональных данных.

6.1. Ответственное лицо уведомляет субъекта персональных данных о готовности ответа на обращение по указанному в обращении телефону. В случае если указанный контактный телефон неверен или недоступен, то ответ на обращение подшивается в личное дело клиента до момента истребования.

6.2. Ответ на обращение субъекта персональных данных передается субъекту персональных данных (его законному представителю на основании доверенности) ответственным лицом лично в руки. На экземпляре Банка субъект персональных данных ставит собственноручную отметку о получении ответа на обращение.

6.3. Оригинал обращения субъекта и ответ на обращение (экземпляр Банка) подшивается в личном деле субъекта персональных данных в дополнительном (операционном) Банка по месту обращения субъекта ПДн.