Политика обработки персональных данных
1. Общие положения
1.1 Настоящая Политика обработки персональных данных (далее — Политика):
-
является основополагающим внутренним документом Коммерческого банка «Газтрансбанк» (Общество с ограниченной ответственностью) юридический адрес 350015, г. Краснодар, ул. Северная, 321 (далее — ООО КБ «ГТ банк»), регулирующим вопросы обработки персональных данных;
-
разработана в целях обеспечения обработки, хранения и защиты ПДн следующих субъектов ПДн: сотрудников ООО КБ «ГТ банк» и соискателей на вакантную должность, физических лиц (клиентов, представителей клиентов, выгодоприобретателей, бенефициарных владельцев и др.), членов органов управления ООО КБ «ГТ банк», посетителей сайта и иных лиц в соответствии с действующим законодательством Российской Федерации;
-
раскрывает основные категории персональных данных, обрабатываемых ООО КБ «ГТ банк», цели, способы и принципы обработки ООО КБ «ГТ банк», права и обязанности ООО КБ «ГТ банк» при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых ООО КБ «ГТ банк» в целях обеспечения безопасности персональных данных при их обработке;
-
предназначена для сотрудников ООО КБ «ГТ банк», осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности ООО КБ «ГТ банк» при обработке персональных данных.
2. Источники нормативного правового регулирования вопросов обработки персональных данных и правовые основания обработки персональных данных
2.1. Источники нормативного правового регулирования вопросов обработки персональных данных:
-
Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 №
195-ФЗ; -
Федеральный закон от 27.07.2006 №
152-ФЗ «О персональных данных» (далее — Федеральный закон №152-ФЗ«; -
Федеральный закон от 27.07.2006 №
149-ФЗ «Об информации, информационных технологиях и о защите информации»; -
Федеральный закон от 29.12.2022 №
572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»; -
Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
-
Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
-
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
-
Приказ Минцифры России от 12.05.2023№ 453 «О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц»;
-
Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
-
Положение о порядке организации и проведении работ по обработке и защите персональных данных, совершаемых с использованием средств автоматизации или без использования таких средств ООО КБ «ГТ банк»;
-
Инструкции, регламенты и порядки, касающиеся обработки персональных данных ООО КБ «ГТ банк»;
-
иные нормативные правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти, Банка России.
2.2. Правовые основания обработки персональных данных:
-
Гражданский кодекс Российской Федерации;
-
Уголовный кодекс Российской Федерации;
-
Федеральный закон от 02.12.1990 №
395-1 «О банках и банковской деятельности»; -
Федеральный закон от 07.08.2001 №
115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма»; -
Трудовой кодекс Российской Федерации;
-
Налоговый кодекс Российской Федерации;
-
Федеральный закон от 01.04.1996 №
27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования»; -
Федеральный закон от 28.03.1998 №
53-ФЗ «О воинской обязанности и военной службе»; -
Постановление Правительства РФ № 719 от 27.11.2006 «Об утверждении Положения о воинском учете»;
-
Федеральный закон от 10.07.2002 №
86-ФЗ «О Центральном банке Российской Федерации (Банке России)»; -
Федеральный закон от 08.02.1998 №
14-ФЗ «Об обществах с ограниченной ответственностью»; -
Указание Банка России от 25.12.2017 №
4662-У "О квалификационных требованиях к руководителю службы управления рисками, службы внутреннего контроля и службы внутреннего аудита кредитной организации, лицу, ответственному за организацию системы управления рисками, и контролеру негосударственного пенсионного фонда, ревизору страховой организации, о порядке уведомления Банка России о назначении на должность (об освобождении от должности) указанных лиц (за исключением контролера негосударственного пенсионного фонда), специальных должностных лиц, ответственных за реализацию правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма кредитной организации, негосударственного пенсионного фонда, страховой организации, управляющей компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, микрофинансовой компании, сотрудника службы внутреннего контроля управляющей компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, а также о порядке оценки Банком России соответствия указанных лиц (за исключением контролера негосударственного пенсионного фонда) квалификационным требованиям и требованиям к деловой репутации"; -
Федеральный закон №
177-ФЗ от 23.12.2003 «О страховании вкладов в банках Российской федерации»; -
Постановление Правительства РФ от 16.06.2018 № 693 «О реализации международного автоматического обмена финансовой информацией с компетентными органами иностранных государств (территорий)»;
-
Распоряжение Правительства РФ от 30.06.2018 №
1322-р «Об утверждении формы согласия на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе, в том числе на передачу векторов единой биометрической системы»; -
Согласие субъекта ПДн;
-
Согласие субъекта ПДн на распространение ПДн;
-
Федеральный закон от 30.12.2004 №
218-ФЗ «О кредитных историях»; -
Федеральный закон от 21.07.1997 №
118-ФЗ «Об органах принудительного исполнения Российской Федерации»; -
Постановление Правительства РФ от 30.09.2004 № 506 «Об утверждении положения о Федеральной налоговой службе»;
-
Указание Банка России от 15.07.2021 №
5861-У «О порядке представления кредитными организациями в уполномоченный орган сведений и информации в соответствии со статьями 7 и 7.5 Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; -
Положение Банка России от 15.10.2015 №
499-П «Об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; -
иные нормативные правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти, Банка России.
2.3. Во исполнение настоящей Политики в ООО КБ «ГТ банк» приказами утверждаются следующие локальные нормативные правовые акты:
-
Инструкция администратора информационной безопасности информационных систем персональных данных;
-
Инструкция администратора информационных систем персональных данных;
-
Инструкция по действиям пользователей информационных систем персональных данных в нештатных ситуациях;
-
Инструкция по организации антивирусной защиты информационных систем персональных данных;
-
Инструкция по порядку проведения проверок состояния защиты персональных данных;
-
План внутренних проверок состояния защиты персональных данных;
-
Инструкция Пользователя информационных систем персональных данных;
-
План мероприятий по защите персональных данных;
-
Положение о порядке организации и проведении работ по обработке и защите персональных данных, совершаемых с использованием средств автоматизации или без использования таких средств в ООО КБ «ГТ банк»;
-
Акт определения уровня защищенности персональных данных информационных систем персональных данных ООО КБ «ГТ банк»;
-
Модель угроз и нарушителя безопасности персональных данных информационных систем персональных данных ООО КБ «ГТ банк»;
-
и иные локальные документы ООО КБ «ГТ банк», принимаемые во исполнение требований, действующих нормативных правовых актов Российской Федерации в области обработки персональных данных.
3. Основные термины и понятия, используемые в локальных документах ООО КБ «ГТ банк», принимаемых но вопросу обработки персональных данных
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации, Перечнем ПДн, обрабатываемых в ООО КБ «ГТ банк», локальными актами ООО КБ «ГТ банк».
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Распространение персональных данных - действия, направленные на раскрытие ПДн неопределенному кругу лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.
Предоставление персональных данных - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Использование персональных данных - действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц.
Блокирование персональных данных - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Информационная система персональных данных - информационная система, представляющая собой совокупность содержащихся в базах данных ПДн и их обработку, информационных технологий и технических средств.
Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой
коммерческую, банковскую, служебную или личную тайны, охраняющиеся её владельцем.
Общедоступные персональные данные - ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Трансграничная передача персональных данных - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
4. Общие условия обработки персональных данных
4.1 Обработка ПДн в ООО КБ «ГТ банк» осуществляется на основе следующих принципов:
4.1.1 Законности и справедливости обработки ПДн.
4.1.2 Законности целей и способов обработки ПДн и добросовестности.
4.1.3 Соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям ООО КБ «ГТ банк».
4.1.4 Соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн.
4.1.5 Достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн.
4.1.6 Недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
4.1.7 Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
4.1.8 Категории субъектов, а также перечень и категории персональных данных, способы и сроки их обработки и хранения в соответствии с целями их обработки определены в Приложении №1 «Перечень персональных данных, обрабатываемых в ООО КБ «ГТ банк».
4.1.9 Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом в соответствии с Порядком уничтожения защищаемой информации в ООО КБ «ГТ банк».
4.1.10 Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи ООО КБ «ГТ банк» своих ПДн.
4.1.11 Держателем ПДн является ООО КБ «ГТ банк», которому субъект ПДн передает во владение свои ПДн. ООО КБ «ГТ банк» выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством. Исключением являются биометрические персональные данные, получаемые из Единой биометрической системы, держателем которых Банк не является, а лишь обрабатывает эти данные в рамках данного субъектом персональных данных согласия на обработку. При сборе биометрических данных происходит их передача в Единую биометрическую систему напрямую, минуя информационные системы Банка.
4.1.12 Комплекс мер по защите ПДн направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивает безопасность информации в процессе деятельности ООО КБ «ГТ банк».
4.1.13 ООО КБ «ГТ банк» при обработке ПДн обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в ИСПДн.
4.1.14 Мероприятия по защите ПДн определяются Положением о порядке организации и проведении работ по обработке и защите персональных данных, совершаемых с использованием средств автоматизации или без использования таких средств ООО КБ «ГТ банк», приказами, инструкциями и другими внутренними документами ООО КБ «ГТ банк».
4.2 Для защиты ПДн в ООО КБ «ГТ банк» применяются следующие принципы и правила:
4.2.1 Ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей ПДн.
4.2.2 Строгое избирательное и обоснованное распределение документов и информации между сотрудниками.
4.2.3 Рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации.
4.2.4 Знание сотрудниками требований нормативно-методических документов по защите ПДн.
4.2.5 Распределение персональной ответственности между сотрудниками, участвующими в обработке ПДн, за выполнение требований по обеспечению безопасности ПДн.
4.2.6 Установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности ПДн при работе с конфиденциальными документами и базами данных.
4.2.7 Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
4.2.8 Исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка ПДн и находится соответствующая вычислительная техника.
4.2.9 Организация порядка уничтожения персональных данных.
4.2.10 Своевременное выявление нарушений требований разрешительной системы доступа.
4.2.11 Воспитательная и разъяснительная работа с сотрудниками структурных подразделений по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
4.2.12 Регулярное обучение работников по вопросам, связанным с обеспечением безопасности ПДн.
4.2.13 Ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся ПДн.
4.2.14 Создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией.
4.2.15 Резервирование защищаемых данных (создание резервных копий).
4.3. Перечень мер, применяемых ООО КБ «ГТ банк» в целях обеспечения безопасности персональных данных при их обработке:
-
назначение ответственного за организацию обработки ПДн;
-
утверждение Политики обработки персональных данных ООО КБ «ГТ банк» и Инструкции по порядку проведения проверок состояния защиты персональных данных ООО КБ «ГТ банк», устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
-
опубликование Политики обработки персональных данных на web-сайте ООО КБ «ГТ банк»;
-
осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике обработки персональных данных Банка, локальным актам Банка;
-
ознакомление работников Банка, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, Политикой обработки персональных данных, локальными актами Банка по вопросам обработки ПДн, и (или) обучение указанных работников;
-
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
-
применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн.
5. Условия обработки персональных данных посетителей сайта
5.1. ООО КБ «ГТ банк» обрабатывает персональные данные посетителей сайта, полученные через формы обратной связи либо из средств автоматизированной обработки данных о посещениях сайта.
5.2. Перечень персональных данных посетителей сайтов ООО КБ «ГТ банк», способы и сроки их обработки и хранения определены в соответствии с целями в Приложении № 1 «Перечень персональных данных, обрабатываемых в ООО КБ «ГТ банк».
5.3. Персональные данные обрабатываются с момента получения согласия на обработку ПДН и до момента отзыва согласия на обработку этих данных. Отзыв согласия на обработку персональных данных осуществляется субъектом этих персональных данных либо его представителем в письменной форме в любом отделении Банка.
5.4. Согласие посетителя сайта на обработку его персональных данных оформляется путем ознакомления с настоящими условиями обработки персональных данных в электронном виде на сайте, установкой отметки («галочки») о таком ознакомлении в чекбоксе и нажатия кнопки отправки в формах подачи запросов либо кнопки согласия в форме, предупреждающей об обработке файлов cookie.
6. Права субъекта персональных данных
6.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
-
подтверждение факта обработки персональных данных;
-
правовые основания и цели обработки персональных данных;
-
цели и применяемые способы обработки персональных данных;
-
наименование и место нахождения ООО КБ «ГТ банк», сведения о лицах (за исключением сотрудников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ООО КБ «ГТ банк» или на основании Федерального закона № 152-ФЗ;
-
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
-
сроки обработки персональных данных, в том числе сроки их хранения;
-
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
-
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
-
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
-
иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
7. Права и обязанности ООО КБ «ГТ банк» как оператора ПДн
7.1. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
7.2. Оператор обязан рассмотреть возражение субъекта персональных данных против принятия решения на основании исключительно автоматизированной обработки его персональных данных, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
7.3. Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона № 152-, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона № 152-ФЗ.
7.4. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор дает в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
7.5. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения.
7.6. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные.
7.7. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
7.8. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
7.9. Если персональные данные получены не от субъекта персональных данных, Оператор, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона № 152-ФЗ, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
-
наименование, адрес оператора;
-
цель обработки персональных данных и ее правовое основание;
-
предполагаемые пользователи персональных данных;
-
установленные Федеральным законом № 152-ФЗ права субъекта персональных данных;
-
источник получения персональных данных.
7.10. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
7.11. Блокирование персональных данных субъекта персональных данных осуществляется или обеспечивается в случае:
-
выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных с момента такого обращения или получения указанного запроса на период проверки;
-
выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных с момента такого обращения или получения указанного запроса на период проверки.
7.12. В случае подтверждения факта неточности персональных данных Оператор обязан блокировать персональные данные либо обеспечивает их уточнение в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
7.13. Обработка персональных данных прекращается или обеспечивается прекращение их обработки в случае:
-
выявления неправомерной обработки персональных данных, в срок, не превышающий трех рабочих дней с даты этого выявления;
-
достижения цели обработки персональных данных;
-
отзыва субъектом персональных данных согласия на обработку его персональных данных.
7.14. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
7.15. ООО КБ «ГТ банк» вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ.
8. Хранение и уничтожение персональных данных
8.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
8.2. Персональные данные, в отношении которых выполняется одно из следующих условий, подлежат уничтожению в сроки, установленные Федеральным законом №
- истек срок действия согласия или произошел отзыв согласия на обработку персональных данных, и отсутствуют другие законные основания на продолжение обработки персональных данных,
- в ходе контроля за соблюдением требований законодательства Российской Федерации в области персональных данных выявлено, что персональные данные не являются необходимыми для заявленных целей обработки,
- в ходе контроля за соблюдением требований законодательства Российской Федерации в области персональных данных выявлено, что персональные данные получены незаконно,
- невозможно обеспечить правомерность обработки персональных данных, после достижения целей обработки персональных данных.
8.3. Уничтожение персональных данных выполняется в соответствии с методиками, разрабатываемыми уполномоченным органом по защите прав субъектов персональных данных.
8.4. Сроки хранения персональных данных определяются исходя из:
- Федерального закона от 27.07.2006 №
152-ФЗ «О персональных данных»; Федерального закона от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; - Федерального закона от 30.12.2004 № 218-ФЗ «О кредитных историях»;
- Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Налогового кодекса Российской Федерации;
- Приказа Федерального архивного агентства Российской Федерации от 20.12.2019 №236 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;
- Договора, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- Иных нормативных правовых актов, регламентирующих сроки хранения информации.
8.5. Персональные данные по достижении цели обработки уничтожаются в срок, не превышающий тридцати дней с момента истечения срока хранения, если иное не предусмотрено требованиями законодательства РФ.
9. Порядок пересмотра документа
9.1. Настоящая Политика вступает в силу с момента утверждения Председателем Правления ООО КБ «ГТ банк» и действует до отмены или утверждения новой редакции. Предыдущая редакция Политики утрачивает силу с момента утверждения настоящей редакции.
9.2. Ответственным за мониторинг актуальности и своевременный пересмотр (полный или частичный) настоящей Политики является Ответственный за обеспечение безопасности и обработку ПДн ООО КБ «ГТ банк».
9.3. Изменения и дополнения в настоящую Политику должны быть утверждены Председателем Правления ООО КБ «ГТ банк».
9.4. В случае существенных изменений разрабатывается и утверждается новая редакция Политики.