ВОЛГО-КАСПИЙСКИЙ АКЦИОНЕРНЫЙ БАНК
( акционерное общество)

УТВЕРЖДЕНО
Приказом АО ВКАБАНК
№ 28-ОД от 26.02.2019 г.

ПОЛИТИКА ОБРАБОТКИ И ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ АО ВКАБАНК

1. Общие положения
Настоящая Политика разработана в соответствии с положениями Конституции РФ, Трудового кодекса РФ, ФЗ "О персональных данных", ФЗ "Об информации, информационных технологиях и о защите информации" и иных нормативно-правовых актов, регулирующих вопросы защиты персональных данных.
Настоящая Политика определяет основные вопросы, связанные с обработкой персональных данных в Волго-Каспийском Акционерном Банке (далее - Банк) с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств.
При организации и осуществлении обработки персональных данных Банк руководствуется требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами (далее – законодательство РФ по вопросам обработки персональных данных).
В соответствии с действующим законодательством Банк является оператором, организует и осуществляет обработку персональных данных в соответствии с соответствующими правами и обязанностями.
Политика устанавливает:
-        цели и принципы обработки ПДн;
-        правовые основания обработки персональных данных
-        категории обрабатываемых ПДн;
-        основные требования к процедурам обработки ПДн;
-        порядок и условия обработки персональных данных;
-        основные мероприятия по обеспечению безопасности ПДн.
В Банке назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.
В Политике используются следующие основные понятия:
- персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор – Банк ведущий обработку ПДн в соответствии со своими правами и обязанностями;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- конфиденциальность персональных данных - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Требование о конфиденциальности персональных данных связано, с ограничением на распространение и раскрытие персональных данных без согласия субъекта ПД.

2. Цели и принципы обработки персональных данных
Целью обработки персональных данных является выполнение банковских операций и других сделок, предусмотренных Уставом Банка и лицензиями, организация кадрового учета, а также выполнение требований действующего законодательства РФ.
Цель данной Политики состоит в доведении до клиентов и лиц, желающих воспользоваться продуктами и услугами Банка, необходимой информации, позволяющей понять, какие персональные данные и с какой целью собираются Банком, каким образом они обрабатываются, какие требования к обеспечению их безопасности реализуются.
В Банке осуществляется обработка персональных данных на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых в Банке персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается.


3.Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных в Банке являются:
– федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Банка, во исполнение которых и в соответствии с которыми Банк осуществляет обработку персональных данных;
– Устав Банка;
– договоры, заключаемые между Банком и субъектом персональных данных, согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Банка).
Банк применяет необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, включающие в себя использование прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, восстановление персональных данных, ограничение доступа к персональным данным, регистрацию и учет действий с персональными данными, а также контроль и оценку эффективности применяемых мер по обеспечению безопасности персональных данных.

4. Категория обрабатываемых ПДн, категории субъектов персональных данных

Банк осуществляет обработку ПДн следующих категорий субъектов ПДн:
-физические лица, являющиеся кандидатами на работу;
-физические лица, являющиеся работниками Банка;
-физические лица, являющиеся бывшими работниками Банка;
-физические лица, осуществляющие выполнение работ по оказанию услуг и заключившие с Банком договор гражданско-правового характера;
-физические лица, являющиеся клиентами Банка;
-физические лица, являющиеся акционерами Банка;
-физические лица, не относящиеся к клиентам Банка, заключившие или намеревающиеся заключить с Банком договорные отношения в связи с осуществлением Банком административно-хозяйственной деятельности;
-физические лица-граждане Российской Федерации, давшие согласие на использование их в целях идентификации при доступе к федеральной государственной информационной системе «Единая система идентификации и аутентификации (ЕСИА)).
Предоставление клиентам Банка банковских продуктов и услуг требует сбора и дальнейшей обработки персональных данных, позволяющих идентифицировать клиентов Банка, их представителей и(или) выгодоприобретателей и осуществлять их обслуживание. Состав и объем требуемых сведений определяются действующим законодательством РФ, нормативными актами Банка России и внутренними нормативными документами Банка.
Субъект персональных данных имеет право на свободный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей его персональные данные, за исключением случаев предусмотренных законодательством РФ.

5. Порядок и условия обработки персональных данных

При обработке ПДн Банк осуществляет следующие действия ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обоснование, изменение), извлечение, использование, передачу (распоряжение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Перечень сведений ПДн обрабатываемых в Банке приведен в:
п 3. «Положения об обработке и защиты персональных данных субъектов АО ВКАБАНК»;
п 3. «Положения об обработке и защите персональных данных работников АО ВКАБАНК».
Права и обязанности Банка
При обработке персональных данных в Банке обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. Банк принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных персональных данных. Доступ к персональным данным субъекта имеют только те сотрудники, которым персональные данные необходимы для исполнения своих должностных обязанностей в соответствии с предоставленными им полномочиями на основании должностных инструкций. Процедура оформления доступа к персональным данным включает в себя: ознакомление сотрудника (с подтверждением собственноручной подписью) с требованиями законодательства Российской Федерации по вопросам обработки персональных данных, с настоящей Политикой, другими локальными актами Банка по вопросам обработки и обеспечения безопасности персональных данных, и обязательство сотрудника по соблюдению установленных требований. Ответственность сотрудников банка за нарушение требований по обработке персональных данных, в соответствии с действующим законодательством, предусмотрена должностными инструкциями. Доступ иных лиц к персональным данным, обрабатываемым Банком, может быть предоставлен в случаях предусмотренных действующим законодательством РФ по вопросам обработки персональных данных.
Банк в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
Банк не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.
Банк может использовать персональные данные субъекта, чтобы сообщать ему по почте, по телефону, с помощью текстовых (или аналоговых) сообщений, по электронной почте и другими способами о продуктах и услугах Банка, которые могут представлять для субъекта интерес. Субъект персональных данных может в любое время отказаться от получения подобных сообщений, обратившись в Банк в письменной или электронной форме.  
Банк при выполнении своей деятельности осуществляет трансграничную передачу персональных данных на территорию иностранного государства - органу власти иностранного государства, иностранному физическому или юридическому лицу. Обеспечение адекватной защиты прав субъектов персональных данных и обеспечения безопасности их персональных данных при трансграничной передаче реализуются Банком в соответствии с законодательством РФ, по вопросам обработки персональных данных.
Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, осуществляется только с письменного согласия субъекта персональных данных на трансграничную передачу его персональных данных; исполнения договора, стороной которого является субъект персональных данных; а также в иных предусмотренных законодательством случаях.
Обработка и хранение персональных данных осуществляется в порядке, исключающем несанкционированный доступ к персональным данным, в том числе третьих лиц.
Хранение персональных данных осуществляется в форме, позволяющей определить субъект персональных данных и не дольше, чем этого требуют цели их обработки.
Актуализация, исправление, ответы на запросы субъектов на доступ к персональным данным проводится в соответствии с действующим законодательством и локальными актами Банка.
Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Банк добивается того, чтобы все реализуемые Банком мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства РФ по вопросам обработки персональных данных.

6. Основные мероприятия по обеспечению безопасности ПДн

Объектами защиты являются ПДн, банковские платежные и информационные технологические процессы и АБС, обрабатывающие ПДн.
Безопасность ПДн достигается путем реализации комплекса мероприятий, позволяющих минимизировать риск нарушения информационной безопасности Банка.
Безопасность персональных данных при их обработке в ИСПДн Банка обеспечивается с помощью системы защиты персональных данных.
Система защиты персональных данных включает организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в ИСПДн.
При обработке ПДн Банк обеспечивает их безопасность и принимает необходимые организационно-технические и правовые меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, путем установления в отношении таких данных режима конфиденциальности и контроля за его соблюдением, а также путем внедрения дополнительных мер защиты, реализующих требования законодательства Российской Федерации и принятых в соответствии с ним нормативных правовых актов, стандартов и лучших международных практик.
Действующая редакция Политики на бумажном носителе хранится в местах обслуживания клиентов головного офиса по адресу г. Астрахань, ул. Ленина 20. Копии действующей редакции Политики хранятся в дополнительных офисах: ДО «Советский» г. Астрахань, проезд Воробьева, 12, ДО «Трусовский» г. Астрахань, ул. Дзержинского, 56а, ДО «Наримановский»г. Нариманов ул. Волжская, 1, ДО «Харабалинский» г. Харабали ул. Октябрьская, 15, ДО «Икрянинский» с. Икряное, ул. Ленина, 12.
Электронная версия действующей редакции Политики общедоступна на сайте АО ВКАБАНК в сети Интернет [http://www.vkabank.ru/about/ofitsialnaya-informatsiya/bank_167/].
При внесении изменений в заголовке Политики указывается дата утверждения действующей редакции Политики.
Политика может актуализироваться и заново утверждаться 1 раз в два года или по мере внесения изменений в нормативные правовые акты в сфере персональных данных или в локальные акты, регламентирующие организацию обработки и обеспечение безопасности персональных данных.