Политика обработки персональных данных

Как и с какой целью АО «Экспобанк» обрабатывает персональные данные?

Защита персональных данных клиентов является приоритетной задачей АО «Экспобанк». Банк осуществляет сбор и обработку персональных данных исключительно в целях исполнения своих обязательств перед клиентами, соблюдения требований законодательства Российской Федерации, а также для повышения качества предоставляемых услуг.
С условиями обработки пользовательских данных вы можете ознакомиться по ссылке.

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.1. Настоящая Политика в отношении обработки персональных данных в АО «Экспобанк» (далее – Политика) определяет политику АО «Экспобанк» (далее – Банк) в отношении обработки и обеспечения безопасности персональных данных и раскрывает сведения о реализованных мерах по обеспечению безопасности персональных данных у Банка, как оператора персональных данных, с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом № 160-ФЗ от 19.12.2005 «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», «Трудовым кодексом Российской Федерации» от 30.12.2001 № 197-ФЗ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ), иными федеральными законами и подзаконными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности такой информации.

1.3. Целью настоящей Политики является установление основных принципов и подходов к обработке и обеспечению безопасности персональных данных в Банке.

1.4. Действие Политики распространяется на все процессы Банка, связанные с обработкой персональных данных.

1.5. Политика обязательна для ознакомления и исполнения всеми работниками Банка, осуществляющими обработку персональных данных.

1.6. Положения Политики являются основой для организации работы по обработке персональных данных в Банке, в том числе для разработки внутренних нормативных документов и типовых форм, регламентирующих обработку и защиту персональных данных.

1.7. Банк включен в реестр операторов, осуществляющих обработку персональных данных.

1.8. Пересмотр и обновление настоящей Политики осуществляется в связи с изменениями законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам других контрольных мероприятий.

1.9. Политика является документом, к которому обеспечивается неограниченный доступ как работников, так и клиентов/контрагентов Банка.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Банк – АО «Экспобанк», являющийся в рамках Федерального закона «О персональных данных» оператором по обработке персональных данных, а именно: организующий (или) осуществляющий самостоятельно или совместно с другими лицами обработку персональных данных, а также определяющий цели обработки персональных данных, состав Персональных данных, подлежащих обработке, действия (операции), совершаемые с Персональными данными.

Блокирование персональных данных – временное прекращение обработки Персональных данных (за исключением случаев, если обработка необходима для уточнения Персональных данных).

Информационная система персональных данных – совокупность содержащихся в базах данных Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность Персональных данных конкретному Субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Ответственный за организацию обработки персональных данных – сотрудник Банка, который назначается организационно-распорядительным документом по Банку, организующий принятие правовых, организационных и технических мер в целях обеспечения надлежащего выполнения функций по организации Обработки персональных данных в Банке в соответствии с требованиями законодательства Российской Федерации в области Персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных).

Предоставление персональных данных – действия, направленные на раскрытие Персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие Персональных данных неопределенному кругу лиц.

Субъект персональных данных – физическое лицо, прямо или косвенно определенное или определяемое на основании относящихся к нему Персональных данных.

Трансграничная передача персональных данных – передача Персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание Персональных данных в Информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители Персональных данных.

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка Персональных данных Банком осуществляется на основе следующих принципов:

законности и справедливости;
ограничения Обработки персональных данных достижением конкретных, заранее определенных и законных целей;
недопущения Обработки персональных данных, несовместимой с целями сбора Персональных данных;
недопущения объединения баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработки только тех Персональных данных, которые отвечают целям их обработки;
соответствия содержания и объема обрабатываемых Персональных данных заявленным целям обработки;
недопущения Обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
обеспечения точности, достаточности и актуальности Персональных данных по отношению к целям Обработки персональных данных;
обеспечения сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения Персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в 152-ФЗ;
Уничтожения персональных данных либо Обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Банком допущенных нарушений Персональных данных, если иное не предусмотрено 152-ФЗ.

4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Банк производит Обработку персональных данных при наличии хотя бы одного из следующих условий:

Обработка персональных данных осуществляется с согласия Субъекта персональных данных на обработку его Персональных данных;
Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей;
Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем Заключаемый с Субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы Субъекта персональных данных, устанавливающие случаи Обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие Субъекта персональных данных;
Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта персональных данных невозможно;
Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением Обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, при условии обязательного обезличивания Персональных данных;
Обработка персональных данных необходима для осуществления прав и законных интересов Банка или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта персональных данных;
осуществляется Обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с 152-ФЗ.

5. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Банк осуществляет Обработку персональных данных в целях:

осуществления банковских операций и сделок в соответствии с Уставом Банка, выданными Банку лицензиями на совершение банковских и иных операций, в соответствии с действующим законодательством Российской Федерации;
заключения с Субъектом персональных данных любых договоров и их дальнейшего исполнения;
предоставления Субъекту персональных данных информации об оказываемых Банком услугах, о разработке Банком новых продуктов и услуг;
организации кадрового учета работников Банка, содействия работникам в обучении, пользовании различного вида льготами в соответствии с законодательством Российской Федерации;
привлечения и отбора кандидатов на работу в Банке;
формирования статистической отчетности, в том числе для предоставления Банку России;
осуществления Банком административно-хозяйственной деятельности;
осуществления обработки биометрических Персональных данных (данных изображения лица, полученных с помощью фото- и видеоустройств, данных голоса, полученных с помощью звукозаписывающих устройств) с целью их передачи в единую биометрическую систему;
проверки биометрических Персональных данных и передачи информации о степени их соответствия предоставленным биометрическим Персональным данным, в банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации, указанные в абзаце первом части 1 статьи 4 Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты российской федерации и признании утратившими силу отдельных положений законодательных актов российской федерации», в единой биометрической системе;
выявления случаев мошенничества, хищения денежных средств со счетов клиентов Банка, иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализации последствий таких действий;
предоставления Субъекту персональных данных информации об услугах, оказываемых партнерами Банка.

5.2. Обработка персональных данных также осуществляется для достижения целей, предусмотренных международными договорами Российской Федерации или законами, для осуществления и выполнения, возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей.

6. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Банк осуществляет обработку персональных данных следующих категорий Субъектов персональных данных:

физические лица, заключившие с Банком гражданско-правовые договоры на оказание услуг Банку;
потенциальные клиенты - физические лица, индивидуальные предприниматели (физические лица, зарегистрированные в установленном порядке и осуществляющие предпринимательскую деятельность без образования юридического лица), физические лица, занимающиеся в установленном законодательством Российской Федерации порядке частной практикой, оформившие согласие на Обработку персональных данных для получения продукта\услуги Банка или заключения иного договора, но не заключившие соответствующие договоры, а также физические лица - выгодоприобретатели, бенефициарные владельцы, представители таких клиентов;
бывшие клиенты - физические лица, индивидуальные предприниматели (физические лица, зарегистрированные в установленном порядке и осуществляющие предпринимательскую деятельность без образования юридического лица), физические лица, занимающиеся в установленном законодательством Российской Федерации порядке частной практикой, которые ранее имели договорные отношения с Банком, а также физические лица - выгодоприобретатели, бенефициарные владельцы, представители таких клиентов;
клиенты других юридических лиц, Обработка персональных данных для которых осуществляется по поручению указанных юридических лиц в соответствии с законодательством Российской Федерации;
работники Банка, в том числе уволенные работники, близкие родственники/члены семьи работников Банка;
кандидаты на вакантные должности в Банке, практиканты;
работники партнеров Банка, субподрядчиков, поставщиков и других юридических лиц, имеющих договорные отношения с Банком, с которыми взаимодействуют работники Банка в рамках своей деятельности;
пользователи сайта Банка;
иные Субъекты персональных данных, вступившие или намеревающиеся вступить в договорные отношения с Банком;
иные Субъекты персональных данных, обращающиеся в Банк (при необходимости Обработки персональных данных этих Субъектов персональных данных для целей выполнения их запросов).

7. СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обработка специальных категорий Персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:

Субъект персональных данных дал согласие в письменной форме на обработку своих Персональных данных;
Обработка персональных данных, разрешенных Субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 152-ФЗ;
Обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия Субъекта персональных данных невозможно;
Обработка персональных данных необходима для установления или осуществления прав Субъекта персональных данных или третьих лиц, равно как и в связи с осуществлением правосудия;
Обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
в иных, предусмотренных действующим законодательством случаях.

7.2. Обработка персональных данных о судимости может осуществляться Банком исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

7.3. Обработка специальных категорий Персональных данных, осуществлявшаяся в случаях, предусмотренных п. 7.1 и 7.2 настоящей Политики, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

8. ПОРУЧЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ДРУГОМУ ЛИЦУ

8.1. Банк вправе поручить Обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено 152-ФЗ, на основании заключаемого с этим лицом договора. Лицо, осуществляющее Обработку персональных данных по поручению, обязано соблюдать принципы и правила Обработки персональных данных, предусмотренные 152ФЗ и настоящей Политикой.

9. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Банк до начала осуществления деятельности по Трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав Субъектов персональных данных о своем намерении осуществлять Трансграничную передачу персональных данных.

9.2. Банк до подачи такого уведомления, обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется Трансграничная передача персональных данных, следующие сведения:

сведения о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется Трансграничная передача персональных данных, мерах по защите передаваемых Персональных данных и об условиях прекращения их обработки;
информацию о правовом регулировании в области Персональных данных иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача Персональных данных (в случае, если предполагается осуществление Трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при Автоматизированной обработке персональных данных и не включенного в Перечень иностранных государств, обеспечивающих адекватную защиту прав Субъектов персональных данных1);
сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется Трансграничная передача персональных данных (наименование либо фамилия, имя и отчество (при наличии), а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

9.3. После направления уведомления Банк вправе осуществлять Трансграничную передачу персональных данных на территории указанных в таком уведомлении иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при Автоматизированной обработке персональных данных и включенных в Перечень иностранных государств, обеспечивающих адекватную защиту прав Субъектов персональных данных*.

9.4. До истечения 10 рабочих дней с даты поступления уведомления в уполномоченный орган по защите прав Субъектов персональных данных, Банк не вправе осуществлять Трансграничную передачу персональных данных на территории указанных в уведомлении иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при Автоматизированной обработке персональных данных и не включенных в Перечень иностранных государств, обеспечивающих адекватную защиту прав Субъектов персональных данных*, за исключением случаев, если такая Трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов Субъекта персональных данных или других лиц.

9.5. В течение десяти рабочих дней с даты поступления уведомления уполномоченным органом по защите прав Субъектов персональных данных может быть принято решение о запрещении или об ограничении Трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан.

10. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Субъект персональных данных имеет право:

получать информацию, касающуюся обработки его Персональных данных, в порядке, форме и сроки, установленные законодательством о Персональных данных;
требовать уточнения своих Персональных данных, Блокирования персональных данных или Уничтожения персональных данных в случае, если Персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели Обработки персональных данных или используются в целях, не заявленных ранее при предоставлении Субъектом персональных данных согласия на Обработку персональных данных;
принимать предусмотренные законом меры по защите своих прав;
отозвать свое согласие на Обработку персональных данных;
иные права, предусмотренные законодательством о Персональных данных.

10.2. Право Субъекта персональных данных на получение информации, касающейся Обработки персональных данных этого Субъекта персональных данных, может быть ограничено в случаях, установленных 152-ФЗ.

10.3. Запрос Субъекта персональных данных на получение сведений, касающихся обработки его Персональных данных Банком, должен содержать:

номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, а также, в случае обращения представителя, реквизиты доверенности или иного документа, подтверждающего полномочия представителя Субъекта персональных данных; − сведения, подтверждающие участие Субъекта персональных данных в отношениях с Банком, либо сведения, иным образом подтверждающие факт Обработки персональных данных Банком;
подпись Субъекта персональных данных или его представителя.

10.4. Запрос может быть написан на юридический адрес Банка (115054, г. Москва, Космодамианская наб., д. 52, стр. 7), а также может быть направлен на электронную почту info@expobank.ru в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

10.5. Банк рассматривает запрос или обращение Субъекта персональных данных/отзыв согласия на Обработку персональных данных и предоставляет на него ответ в сроки и в порядке, установленными законодательством Российской Федерации.

11. ПРАВА БАНКА

11.1. Банк имеет право:

обрабатывать Персональные данные Субъекта персональных данных в соответствии с заявленной целью;
требовать от Субъекта персональных данных предоставления достоверных Персональных данных, необходимых для исполнения договора, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о Персональных данных;
ограничить доступ Субъекта персональных данных к его Персональным данным в случае, если доступ Субъекта персональных данных к его Персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
обрабатывать Персональные данные, разрешенные Субъектом персональных данных для распространения с учетом положений ст. 10.1. 152–ФЗ;
осуществлять Обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
поручить Обработку персональных данных другому лицу с согласия Субъекта персональных данных;
иные права, предусмотренные законодательством о Персональных данных.

11.2. В случае отзыва Субъектом персональных данных согласия на Обработку персональных данных, Банк вправе продолжить Обработку персональных данных без согласия Субъекта персональных данных при наличии оснований, указанных в 152-ФЗ.

12. ОБЕСПЕЧЕНИЕ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА И МЕР ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Безопасность Персональных данных, обрабатываемых Банком, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты Персональных данных.

12.2. Банк принимает необходимые и достаточные меры для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ, в том числе частью 5 статьи 18, статьей 18.1 и статьей 19 152-ФЗ.

12.3. Для предотвращения несанкционированного доступа к Персональным данным Банком применяются в том числе следующие организационно-технические меры:

назначение Ответственного за организацию обработки персональных данных;
назначение ответственных за обеспечение мер по сохранности Персональных данных и исключению несанкционированный к ним доступа;
назначение ответственного за обеспечение безопасности Персональных данных в Информационных системах персональных данных;
ограничение состава лиц, допущенных к Обработке персональных данных;
ознакомление работников Банка с требованиями федерального законодательства и внутренних нормативных документов Банка по обработке и защите Персональных данных;
организация учета, хранения и обращения носителей, содержащих информацию с Персональными данными;
определение угроз безопасности Персональных данных при их обработке, формирование на их основе моделей угроз;
разработка на основе модели угроз системы защиты Персональных данных;
проверка готовности и эффективности использования средств защиты информации;
разграничение доступа пользователей к информационным ресурсам и программно–аппаратным средствам обработки информации;
регистрация и учет действий пользователей Информационных систем персональных данных;
использование антивирусных средств и средств восстановления системы защиты Персональных данных;
применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
организация пропускного режима на территорию Банка, охраны помещений с техническими средствами обработки Персональных данных.

13. ОТВЕТСТВЕННОСТЬ

13.1. Контроль исполнения требований настоящей Политики осуществляется Ответственным за организацию обработки персональных данных в Банке.

13.2. Лица, виновные в нарушении норм, регулирующих Обработку персональных данных и защиту обрабатываемых в Банке Персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.

13.3. Политика является общедоступной и подлежит размещению на официальном сайте Банка или иным образом обеспечивается неограниченный доступ к настоящей Политике.

14. ОБРАТНАЯ СВЯЗЬ

Адрес электронной почты: info@expobank.ru

Почтовый адрес: 115035, Москва, Космодамианская наб., д. 52 стр. 7

Контактный телефон: 8 800 500-07-70, 8 495 228 31 31