ПОЛИТИКА
по обработке и защите персональных данных
в ООО «МБ РУС Банк»
Протоколом Правления
ООО «МБ РУС Банк»
№ 27 от «27» декабря 2023 года
1. Общие положения
1.1. Настоящая Политика по обработке и защите персональных данных в ООО «МБ РУС Банк» (далее – «Политика») определяет основные цели, принципы и условия обработки персональных данных в ООО «МБ РУС Банк» (далее – «Банк»), а также меры по обеспечению безопасности персональных данных в Банке.
1.2. Настоящая Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Трудового кодекса РФ, требований стандартов Банка России, указаний и положений Банка России, приказов Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ), приказов, рекомендаций и инструкций Министерства цифрового развития, связи и массовых коммуникаций, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора), других законодательных актов Российской Федерации в области обработки и защиты персональных данных, а также внутренних документов ООО «МБ РУС Банк» ООО (далее – «Банк») обеспечивает легитимность обработки и безопасность персональных данных (далее – «ПДн») в своей деятельности.
1.3. Банк включен в Реестр операторов, осуществляющих обработку персональных данных, регистрационный номер 11-0171924 (далее – «Реестр»). Указанный Реестр опубликован на портале Роскомнадзор в сети «Интернет» по адресу: https://pd.rkn.gov.ru/.
1.4. Политика направлена на обеспечение прав и свобод человека и гражданина при обработке Банком его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в соответствии с требованиями действующих нормативных правовых актов.
1.5. Политика обязательна для исполнения всеми работниками Банка, участвующими в процессе обработки персональных данных.
1.6. Политика является общедоступной и подлежит размещению на официальном сайте Банка.
2. Общие положения
В настоящей Политике используются следующие понятия:
Информация - сведения (сообщения, данные) независимо от формы их представления.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (ПДн) - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Cookie, Cookie-файлы - это файлы с информацией об IP и местоположении пользователя, просмотренных страницах, введенных регистрационных данных, добавленных в корзину товарах и т. д.
3. Принципы и цели обработки ПДн
3.1. Принципами обработки ПДн в Банке являются:
• обработка ПДн осуществляется на законной и справедливой основе;
• обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается обработка ПДн, несовместимая с целями сбора ПДн;
• не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только ПДн, которые отвечают целям их обработки;
• содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
• при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн, принимаются необходимые меры по удалению или уточнению неполных или неточных ПДн;
• хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, согласием на обработку ПДн, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
• обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
• обработка ПДн не используется в целях причинения имущественного и/или морального вреда субъектам ПДн, затруднения реализации их прав и свобод.
3.2. В соответствии с принципами обработки ПДн в Банке определены состав обрабатываемых ПДн и цели их обработки.
3.3. Состав и цели обработки ПДн соответствуют требованиям действующего законодательства РФ в области обработки и защиты ПДн.
3.4. При обработке ПДн Банк преследует исключительно те цели, которые были определены перед началом сбора данных. Последующие изменения целей возможны только в ограниченной мере и подлежат обоснованию и информированию об этом субъекта ПДн.
3.5. Конкретные цели, состав и иные условия обработки ПДн фиксируются и доводятся до сведения субъекта ПДн при сборе ПДн способом и в форме, соответствующими источнику получения и основаниям обработки таких ПДн (например, согласие на обработку ПДн, соответствующий договор и т.п.).
4. Правила обработки ПДн
4.1. Обработка ПДн осуществляется Банком на законной основе. В случаях, предусмотренных действующим законодательством Российской Федерации, Банк осуществляет получение согласия (письменного согласия) субъекта на обработку его ПДн по установленной действующим законодательством Российской Федерации форме. Если Банк получает ПДн от третьего лица, то он в обязательном порядке требует подтверждения от этого лица, что оно имеет все необходимые основания для передачи ПДн в Банк.
4.2. Банк в ходе своей деятельности вправе поручать обработку ПДн и/или передавать ПДн (предоставлять доступ к ПДн) третьему лицу, если иное не предусмотрено действующим законодательством Российской Федерации. При этом обязательным условием поручения обработки ПДн и/или передачи ПДн третьему лицу является обязанность третьего лица по соблюдению принципов и правил обработки ПДн, предусмотренных действующим законодательством Российской Федерации, соблюдению конфиденциальности и обеспечению безопасности ПДн при их обработке, обязательство третьего лица использовать ПДн исключительно в заранее определенных целях и объемах, а также соблюдению иных условий обработки и защиты ПДн, определенных Банком.
4.3. При поручении обработки или передаче ПДн другому лицу возможны случаи осуществления трансграничной передачи ПДн. В этом случае Банк следует требованиям действующего законодательства Российской Федерации, в том числе:
• по проведению оценки соблюдения иностранными получателями, которым планируется трансграничная передача ПДн, требований к конфиденциальности ПДн и обеспечения безопасности ПДн при их обработке,
• по уведомлению Роскомнадзора о намерении осуществлять трансграничную передачу ПДн, и осуществляет передачу только на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн.
4.4. В Банке запрещено принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.
4.5. В Банке не обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
4.6. Обработка биометрических ПДн (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются в Банке для установления личности субъекта ПДн) в Банке осуществляется только для целей идентификации субъектов ПДн (клиентов) при их посещении точек продаж, офисов и т.д. Банка. При этом для целей идентификации используется фотография в паспорте субъекта ПДн, который предоставляет сам субъект ПДн. В качестве согласия на обработку ПДн выступает конклюдентное согласие субъекта ПДн на обработку его ПДн при передаче паспорта в руки представителя Банка. Банк не использует собственные носители ПДн и ИСПДн, содержащие биометрические ПДн, для идентификации субъекта ПДн (клиента).
4.7. Банк не размещает ПДн субъекта ПДн в общедоступных источниках без его письменного согласия и не осуществляет распространение ПДн без получения согласия на обработку персональных данных, разрешенных субъектом ПДн для распространения.
4.8. Банк организовывает процессы взаимодействия с субъектами ПДн таким образом, чтобы субъект мог обратиться в Банк по всем предусмотренным в действующем законодательстве Российской Федерации вопросам, связанным с обработкой его ПДн (информация об обрабатываемых ПДн, о третьих лицах, запросы на уточнение, прекращение обработки, блокировку и уничтожение).
4.9. Предоставление ПДн органам государственной власти и местного самоуправления, в суды, правоохранительные органы, а также иным надзорным органам осуществляется Банком в случаях и в порядке, предусмотренных действующим законодательством Российской Федерации.
5. Установление правил и порядка обработки ПДн
5.1. В соответствии с требованиями, указанными в п.1.1 настоящей Политики, в Банке во внутренних документах, обязательных для исполнения всеми работниками Банка, а также партнерами, контрагентами и прочими третьими лицами в части, их касающейся, определяются:
• процедуры предоставления доступа к ПДн;
• процедуры внесения изменений в ПДн с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки ПДн;
• процедуры уничтожения, обезличивания либо блокирования ПДн в случае необходимости выполнения таких процедур;
• процедуры обработки обращений субъектов ПДн (их законных представителей) для случаев, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», в частности порядок подготовки информации о наличии ПДн, относящихся к конкретному субъекту ПДн, информации, необходимой для предоставления возможности ознакомления субъектом ПДн (его законными представителями) с его ПДн, а также процедуры обработки обращений об уточнении ПДн, их блокировании или уничтожении, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки;
• процедуры обработки запроса уполномоченного органа по защите прав субъектов ПДн;
• процедуры получения согласия субъекта ПДн на обработку его ПДн и на передачу обработки его ПДн третьим лицам;
• процедуры передачи ПДн между пользователями ресурса ПДн, предусматривающего передачу ПДн только между работниками Банка, имеющими доступ к ПДн;
• процедуры передачи ПДн третьим лицам;
• процедуры работы с материальными носителями ПДн;
• процедуры, необходимые для осуществления уведомления уполномоченного органа по защите прав субъектов ПДн об обработке ПДн в сроки, установленные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
• необходимость применения типовых форм документов для осуществления обработки ПДн и процедуры работы с ними. Под типовой формой документа понимается шаблон, бланк документа или другая унифицированная форма документа, используемая Банком с целью сбора ПДн.
6. Обеспечение безопасности персональных данных
6.1. Банк при обработке ПДн принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
6.2. К таким мерам по обеспечению безопасности ПДн в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» в частности, относятся:
• Назначение лица, ответственного за организацию обработки ПДн;
• Издание документов, определяющих политику ООО «МБ РУС Банк» в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• Применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
• Осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн;
• Определение угроз безопасности ПДн при их обработке в информационных системах персональных данных;
• Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; Учет машинных носителей ПДн;
• Обнаружение фактов несанкционированного доступа к ПДн и принятием мер;
• Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• Установление правил доступа к ПДн, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета действий, совершаемых с ПДн в информационных системах персональных данных;
• Контроль за принимаемыми мерами по обеспечению безопасности ПДн;
• Ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите ПДн, документами, определяющими политику ООО «МБ РУС Банк» в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.
7. Права субъектов в части обработки их ПДн
7.1. Субъект, персональные данные которого обрабатываются Банком, имеет право:
• получать от Банка информацию, касающуюся обработки его ПДн, в том числе содержащую:
◦ подтверждение факта обработки ПДн Банком;
◦ сведения о правовых основаниях и целях обработки ПДн;
◦ сведения о целях и применяемых Банком способах обработки ПДн;
◦ сведения о наименовании и месте нахождения Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Банком или на основании федерального закона;
◦ обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
◦ сведения о сроках обработки ПДн, в том числе о сроках их хранения;
◦ сведения о порядке осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
◦ информацию об осуществляемой или о предполагаемой трансграничной передаче ПДн;
◦ наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Банка, если обработка поручена или будет поручена такому лицу;
◦ иные сведения, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами.
• требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать свое согласие на обработку ПДн;
• требовать устранения неправомерных действий Банка в отношении его ПДн;
• обжаловать действия или бездействие Банка в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект персональных данных считает, что Банк осуществляет обработку его ПДн с нарушением требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы;
• на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
8. Использование cookie-файлов, счётчиков и агрегаторов
8.1. Помимо получения ПДн субъектов при их личном визите в офисы Банка или через контрагентов, Банк получает ПДн при заполнении различных форм на страницах в сети интернет mb-fs.ru, mb-bank.ru, corp.mb-bank.ru, mbrus-bank.online, online.mbrus-bank.ru, online.mbrus-finance.ru.
8.2. Интернет-сайты Банка (далее - сайты) применяет такие технологии, как cookie и веб-маяки (web beacons), которые позволяют предоставлять посетителям сайтов настроенное под них окружение при повторном посещении сайтов. Банк может обрабатывать файлы cookie самостоятельно или с привлечением иных интернет-сервисов, таких как: Google Analytics, Яндекс.Метрика, Firebase.
8.3. Просмотр сайтов возможен без применения cookie, однако, некоторые функции сайтов могут быть утрачены в результате дезактивации cookie. Для сайтов, требующих для посещения имя пользователя (login) и пароль, cookie необходимы, такие страницы нельзя использовать, если дезактивированы cookie в браузере.
8.4. Cookie-файлы, используемые на сайтах, подразделяются на следующие категории:
• технически необходимые:
данные сookie-файлы делают сайт технически доступным для клиентов и обеспечивают его работу. Технически необходимые сookie обеспечивают работу основных базовых функций, таких как: навигация по сайту, правильное отображение контента сайта в веб-браузере. Данные cookie-файлы не подлежат отключению..
• аналитические:
данные сookie-файлы позволяют Банку вести статистику количества посетителей, исследовать источники трафика и степень использования сайта. С помощью данной информации Банк оценивает и повышает эффективность, производительность и удобство работы сайта для клиентов.
Для указанных целей Банк использует сервис веб-аналитики Яндекс Метрика, предоставляемый компанией ООО «Яндекс», (далее — Яндекс). Информация об использовании сайта, собранная при помощи Cookie, передается Яндексу и хранится на серверах Яндекса. Яндекс осуществляет обрабoтку информации для оценки использования сайта, составления отчетов о деятельности сайта Банка и предоставления других услуг. Яндекс обрабатывает указанную информацию в порядке, установленном в условиях использования сервиса Яндекс Метрика.
Нажимая соответствующую кнопку в Cookie-баннере, клиент дает согласие на обработку данных Яндексом в порядке и целях, указанных выше.
Для отказа от использования аналитических Cookie Яндекс Метрика клиент имеет возможность использовать инструмент «Блокировщик» Яндекс Метрики.
8.5. Пользователь сайтов может отключить возможность получать cookie при просмотре сайтов или через электронные сообщения формата HTML.
Большинство браузеров имеют предварительные установки для автоматического принятия cookie. Пользователь сайтов может изменить эти установки, активировав в своем браузере функцию «не принимать cookie».
Пользователь сайтов может удалить имеющиеся cookie. Подробности указаны в настройках браузера или устройства.
9. Контроль
9.1. Контроль за выполнением настоящей Политики осуществляется в рамках общей системы внутреннего контроля Банка.
10. Заключительные положения
10.1. Настоящая Политика вступает в силу с момента его утверждения и действует до момента внесения изменений и/или принятия нового документа в соответствии с внутренним порядком Банка, но не более 5 (Пяти) лет.
10.2. В случае если какое-либо из положений настоящей Политики является или становится незаконным, недействительным, это не затрагивает действительность остальных положений настоящей Политики.
10.3. В случае изменения нормативно-правовых актов, использованных в настоящей Политике, настоящая Политика продолжает свое действие в части, не противоречащей действующему законодательству Российской Федерации. В остальной части Банк руководствуется нормами действующего законодательства Российской Федерации.
10.4. С даты утверждения настоящей Политики утрачивает силу Политика в области обработки и защиты персональных данных в «Мерседес-Бенц Банк Рус» ООО, утвержденная Протоколом Правления № 23 от 09.12.2022.