Политика обработки и защиты персональных данных

1.1. Настоящая политика является основополагающим документом, определяющим общие принципы, цели, способы, объем и порядок обработки персональных данных (далее - ПДн) в АО «УРАЛПРОМБАНК» (далее – Банк), а также меры по обеспечению безопасности при их обработке.

1.2. Политика является общедоступным документом, декларирующим основные принципы обработки и защиты ПДн в Банке, и подлежит опубликованию на официальном сайте Банка в информационно-телекоммуникационной сети «Интернет» по адресу «www.uralprombank.ru» (далее - Сайт).

1.3. Политика применяется в отношении всех ПДн субъектов, в том числе работников и клиентов Банка, которые Банк собирает и обрабатывает в процессе своей деятельности. Политика распространяется на все процессы Банка, связанные с обработкой ПДн, и обязательна для применения всеми работниками Банка. 1.4. Термины и определения, используемые в настоящей Политике, применяются в значениях, установленных Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных».

1.5. Банк обязуется: – обеспечить конфиденциальность, целостность и доступность информации, содержащей ПДн субъектов ПДн; – обеспечить выполнение требований, предъявляемых к обработке ПДн законодательством Российской Федерации и локальными актами Банка.

2.1. Обработка ПДн Банком осуществляется в целях осуществления банковской деятельности, реализации своих законных интересов и требований, предоставления банковских услуг физическим и юридическим лицам, осуществления договорных отношений с контрагентами и трудовых отношений с сотрудниками и кандидатами на замещение вакантных должностей Банка.

2.2. Состав требуемых данных определяется действующим законодательством Российской Федерации, нормативными актами Банка России, внутренними локальными актами Банка.

3.1. Банк при осуществлении обработки персональных данных субъектов, руководствуется:

• – Налоговым кодексом Российской Федерации;
• – Трудовым кодексом Российской Федерации;
• – Федеральными законами:
  • – от 02.12.1990 № 395-1 «О банках и банковской деятельности»,
  • – от 29.12.2006 №255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»,
  • – от 24.07.1998 №125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»,
  • – от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»,
  • – от 27.06.2011 №161-ФЗ «О национальной платежной системе»,
  • – от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг»,
  • – от 26.10.2002 №127-ФЗ «О несостоятельности (банкротстве)»,
  • – от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»,
  • – от 10.12.2003 №173-ФЗ «О валютном регулировании и валютном контроле»,
  • – от 23.12.2003 №177-ФЗ «О страховании вкладов физических лиц в банках Российской Федерации»,
  • – от 30.12.2004 №218-ФЗ «О кредитных историях»,
  • – от 27.07.2010 №224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации»;
• – нормативными актами Центрального Банка России, а также Уставом Банка;
• – договорами, заключаемыми между Банком и субъектом ПДн;
• – иными нормативными правовыми акты Российской Федерации и нормативными документами уполномоченных органов государственной власти;
• – согласием субъектов на обработку их ПДн.

4.1. Объем и категории, обрабатываемых ПДн, определяются по каждой информационной системе ПДн локальными актами Банка. Перечень обрабатываемых ПДн может содержать следующие категории: – Основная информация о субъекте (такие как ФИО, контактные данные, паспортные данные и т.д.); – Финансовое положение (такие как банковская история, доход, активы и т.д.); – Социальное положение (такие как работа, образование, состав семьи и т.д.); – Информация, собранная и накопленная Банком в процессе предоставления услуг субъекту персональных данных, в том числе сведения об истории использования услуг, продуктов и сервисов Банка; – Информация о действиях, совершаемых на Сайте и в мобильных приложениях Банка, а также сведения об используемых устройствах (такие как геолокация, IP-адреса, cookies, данные о транзакциях и т.д.);

4.2. Банк обрабатывает ПДн следующих категорий субъектов ПДн: – клиенты/контрагенты Банка (представители клиентов/контрагентов Банка); – работники Банка, а также члены их семей и родственники; – физические лица, заключившие или планирующие заключить с Банком гражданскоправовой договор, в том числе, физические лица – представители юридических лиц, заключивших или планирующих заключить с Банком гражданско-правовой договор; – соискатели вакантных должностей в Банке; – аффилированные лица и инсайдеры Банка; – иные физические лица, выразившие согласие на обработку ПДн Банком, или физические лица, обработка ПДн которых необходима Банку для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных на Банк функций, полномочий и обязанностей.

4.3. Обработка биометрических ПДн осуществляется Банком исключительно с согласия клиента в рамках использования единой биометрической системы в соответствии с действующим законодательством Российской Федерации.

4.4. Банк не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

5.1. Банк в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в Федеральном законе от 27.07.2006 г. №152-ФЗ «О персональных данных» на основе: – законности и справедливости целей и способов обработки ПДн, соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Банка; – соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн; – достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн; – недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПДн; – хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки; – уничтожения по достижении целей обработки ПДн или в случае утраты необходимости в их достижении.

5.2. Банк осуществляет обработку ПДн следующими способами: – автоматизированная обработка, проводимая при помощи средств вычислительной техники и без участия человека; – неавтоматизированная обработка, проводимая, как при помощи средств вычислительной техники, так и без них, при непосредственном участии человека.

5.3. Обработка ПДн Банком осуществляется при наличии согласия субъекта ПДн на обработку его ПДн, если иное не предусмотрено действующим законодательством Российской Федерации. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах (в том числе путем установки соответствующих флагов/переключателей/нажатия кнопок на экранных веб-формах), бланках или оформлено в письменной форме в соответствии с действующим законодательством Российской Федерации.

5.4. В случае отказа клиента (представителя клиента) или потенциального клиента (представителя потенциального клиента) предоставить необходимый набор персональных данных, Банк оставляет за собой право отказать в обслуживании.

5.5. Банк не осуществляет трансграничную (на территории иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу ПДн.

5.6. Банком не используются для обработки ПДн базы данных, находящиеся за пределами границ Российской Федерации. Место нахождения базы данных, содержащей персональные данные граждан Российской Федерации: 454090, Челябинская область, г. Челябинск, ул. Свободы, д. 97.

5.7. Банк не раскрывает третьим лицам и не распространяет ПДн без согласия субъекта ПДн, если иное не предусмотрено действующим законодательством Российской Федерации.

5.8. Сроки обработки ПДн определяются исходя из целей обработки в информационных системах Банка, в соответствии со сроком действия договора с субъектом ПДн, сроками исковой давности, законодательно установленными сроками хранения документации, образующейся в процессе деятельности Банка, документов бухгалтерского учета и в соответствии с «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», утвержденного приказом Минкультуры Российской Федерации от 25.08.2010 г. №558, а также иными требованиями законодательства и нормативными документами Центрального Банка России.

6.1. Обработка файлов Cookies

6.1.1.Файлы cookies - согласно спецификации RFC 6265, это файлы, которые загружаются и хранятся на компьютере пользователя сайта при посещении определенных веб страниц. Файлы cookies, в зависимости от информации которую содержат и вида использования устройств, могут служить для распознавания и идентификации пользователя, что помогает сделать посещение веб-сайта более удобным и предоставить запрошенные услуги.

6.1.2.На Сайте Банка используются собственные и сторонние файлы «cookies».

6.1.3.Типы файлов cookies:

6.1.3.1. По сроку действия: – Сессионные файлы: остаются в браузере на время посещения. – Постоянные файлы: остаются в браузере после завершения сессии.

6.1.3.2. По виду действий: – Поведенческие файлы: собирают информацию о пользовании веб-сайтом; не собирают личную информацию. Обрабатываемые данные обезличенные (деперсонализированные). Поведенческие файлы cookies служат для улучшения качества сайта. – Функциональные файлы: позволяют веб-сайту сохранять сделанные на странице изменения.

6.1.3.3. По целям: – Аналитические файлы: Используются для сбора статистики о действиях пользователей. В частности, анализируется количество пользователей, посещающих веб-сайт, количество посещенных страниц, а также действия пользователей на веб-сайте и их периодичность. Обрабатываемые данные обезличенные (деперсонализированные). – Персонализированные файлы: Используются для обслуживания веб-сессии каждый раз во время посещения веб-сайта, особенно на персональных станицах веб-сайта, для доступа к которым пользователю необходимо пройти процедуру авторизации.

6.1.3.4. По принадлежности: – Собственные файлы: Принадлежат веб-сайту, который посещает пользователь. – Сторонние файлы: Сторонние файлы cookies высылаются на устройство пользователя с компьютера или домена, которым распоряжается не владелец веб-сайта, а иное лицо, где и обрабатываются данные, полученные с помощью файлов cookies.

6.1.4.Если пользователь Сайта отказывается предоставлять Сайту файлы cookies, их можно удалить и отключить в настройках браузера.

6.1.5.Банк не несет ответственность за то, что отключение файлов cookies затрудняет или препятствует корректной работе Сайта, а также не может повлиять на правильное или неправильное обращение браузеров с файлами cookies.

6.1.6.В некоторых случаях установка файлов cookies необходима, чтобы браузер запомнил решение не принимать такие файлы.

6.2. Обработка метрических данных и сведений о геопозиции

6.2.1.Метрические данные - данные метрических программ таких, как: «GoogleAnalytics», «Яндекс.Метрика», «ВКонтакте» и других, которые используются для анализа поведения пользователя на Сайте.

6.2.2.Сведений о геопозиции – информация о местоположении посетителя Сайта.

6.2.3.Обрабатываемые данные обезличенные (деперсонализированные).

6.2.4.Если пользователь Сайта отказывается предоставлять Сайту Метрические данные, пользователь может удалить и отключить в настройках браузера файлы cookies.

6.2.5.Если пользователь Сайта отказывается предоставлять Сайту сведения о геопозиции, пользователь может отключить в настройках браузера предоставление таких сведений.

6.3. Обработка IP-адреса, MAC-адреса

6.3.1.IP-адрес - уникальный сетевой адрес узла в компьютерной сети, построенной на основе стека протоколов TCP/IP.

6.3.2.MAC-адрес - уникальный идентификатор, присваиваемый каждой единице активного оборудования или некоторым их интерфейсам в компьютерных сетях Ethernet.

6.3.3.Сбор и хранение IP-адреса и MAC-адреса осуществляется в системе дистанционного банковского обслуживания Банка в целях реализации требований действующего законодательства Российской Федерации.

6.4. Согласие на обработку ПДн пользователя сайта

6.4.1.Банк обязан уведомить пользователя Сайта об обработке: IP-адреса, MAC-адреса, метрических данных, сведений о геопозиции, файлов cookies, а также иных ПДн и получать согласие, путем проставления пользователем отметки в специальной форме сайта.

7.1. Деятельность Банка по обработке ПДн в информационных системах неразрывно связана с защитой банковской тайны. Все работники Банка обязаны хранить тайну об операциях, о счетах и вкладах клиентов Банка и корреспондентов, других ПДн его клиентов, а также об иных сведениях, установленных Банком.

7.2. Безопасность ПДн при обработке в информационных системах Банка обеспечивается с помощью системы информационной безопасности, включающей в себя: организационные и технические меры, ограничение физического доступа в помещения, применение программно-технических мер защиты, в том числе шифровальных (криптографических) средств, средств предотвращения несанкционированного доступа, и программно-технического воздействия на технические средства обработки персональных данных.

7.3. Информационный обмен ПДн при обработке в информационных системах осуществляется по каналам связи, защищенным техническими и шифровальными (криптографическими) средствами защиты информации.

7.4. Банк при обработке ПДн принимает все необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн. Обеспечение безопасности ПДн достигается, в частности, следующими способами: – назначением ответственных за обеспечение безопасности и организацию обработки ПДн; – ознакомлением работников Банка, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн и внутренними локальными актами Банка в отношении обработки ПДн; – определением угроз безопасности ПДн при их обработке в информационных системах ПДн; – осуществлением оценки эффективности применяемых организационных и технических мер по обеспечению безопасности ПДн; – учетом носителей ПДн и мест их хранения; – выявлением фактов несанкционированного доступа к ПДн и принятием соответствующих мер; – установлением правил доступа к ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационных системах ПДн; – осуществлением внутреннего контроля соответствия обработки ПДн Федеральному закону от 27.07.2006 г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним внутренними локальными актами Банка.

8.1. Субъект ПДн имеет право на получение сведений об обработке его ПДн Банком.

8.2. Субъект ПДн вправе требовать от Банка уточнения своих ПДн, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные действующим законом Российской Федерации меры по защите своих прав.

8.3. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с действующим законом Российской Федерации.

8.4. Для реализации своих прав и защиты законных интересов субъект ПДн имеет право обратиться в Банк. Банк рассматривает обращения и жалобы субъектов ПДн. Урегулирование спорных и конфликтных ситуаций осуществляется в досудебном порядке.

9.1. Информация об операторе ПДн:

• Наименование оператора: «УРАЛЬСКИЙ ПРОМЫШЛЕННЫЙ БАНК» (АКЦИОНЕРНОЕ ОБЩЕСТВО);
• Сокращенное наименование оператора: АО «УРАЛПРОМБАНК»;
• Адрес: 454090, Челябинская область, г.
• Челябинск, ул. Свободы, д. 97;
• ИНН/КПП: 7449014065 / 745301001;
• ОГРН: 1027400001727;
• Телефон: (351) 239-65-65;
• Регистрационный номер записи в реестре операторов, осуществляющих обработку ПДн: 09-0038917;
• Дата и основание внесения в реестр операторов, осуществляющих обработку ПДн: приказ Федеральной службы по надзору в
• сфере связи, информационных технологий и массовых коммуникаций от 27.02.2009 г. № 50.

9.2. Информация об уполномоченным органе по защите прав субъектов ПДн:

• Наименование: Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Челябинской области;
• Сокращенное наименование: Управление Роскомнадзор по Челябинской области;
• Адрес: 454080, Челябинская область, г. Челябинск, ул. Энгельса, д. 44;
• ИНН/КПП: 7453135619 /745301001;
• ОГРН: 1047424527347;
• Телефон: (351) 240-11-44.

10.1. Настоящая Политика подлежит изменению в случае появления новых законодательных актов и специальных нормативных актов по обработке и защите ПДн.

10.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн Банка.

10.3. Ответственность сотрудников Банка, имеющих доступ к ПДн, за невыполнение требований документов, регламентирующих обработку и защиту ПДн, определяется в соответствии с законодательством Российской Федерации.