Политика обработки персональных данных в АО «Россельхозбанк»

1. Общие положения

1.1.        Политика обработки персональных данных в АО «Россельхозбанк» № 643-П (далее – Политика) разработана на основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) в целях обеспечения защиты прав и свобод субъектов персональных данных.

1.2.        Целью Политики является установление основных принципов, условий и подходов к обработке и обеспечению безопасности персональных данных при их обработке в Банке.

1.3.        Банк, являясь Оператором, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативно-правовыми актами.

1.4.        Настоящая Политика действует в отношении всех процессов в Банке, связанных с обработкой персональных данных, и распространяется на отношения в области обработки персональных данных, возникшие у Банка как до, так и после утверждения настоящей Политики.

1.5.        Персональные данные являются конфиденциальной информацией, охраняемой в соответствии с действующим законодательством Российской Федерации и на них, распространяются все требования, установленные внутренними документами Банка, связанными с обеспечением защиты конфиденциальной информации.

1.6.        Обработка, обеспечение конфиденциальности и безопасности персональных данных в Банке осуществляется в соответствии с требованиями действующего законодательства Российской Федерации, нормативными актами Банка России, Роскомнадзора, ФСБ России, ФСТЭК России и иных государственных и регулирующих органов и внутренними документами Банка.

1.7.        Внутренние документы, регламентирующие обработку персональных данных в Банке, разрабатываются с учетом положений настоящей Политики.

1.8.        Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Банке.

2. Термины и определения

2.1.          В настоящей Политике используются следующие термины и определения:

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Банк – АО «Россельхозбанк».

Банковская группа – не являющееся юридическим лицом объединение юридических лиц, в котором одно юридическое лицо или несколько юридических лиц (далее – участники Банковской группы) находятся под контролем либо значительным влиянием Банка.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определяемому кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Цели обработки персональных данных

3.1.       Обработка персональных данных в Банке должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.2.       Банк осуществляет обработку персональных данных в следующих целях:

-          осуществление деятельности, предусмотренной Уставом АО «Россельхозбанк» включая информационное обеспечение деятельности Банка, оказание банковских услуг, осуществление банковских операций и иных сделок;

-          осуществление трудовых отношений с работниками Банка;

-           заключение, исполнение и прекращение гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством Российской Федерации и Уставом АО «Россельхозбанк»;

-          организация и прохождение практики студентов учебных заведений;

-           исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование, и обеспечение заполнения первичной статистической документации;

-           негосударственного пенсионного обеспечения;

-           организации пропускного режима;

-           обработки обращений и обратной связи;

-           подбора новых работников на вакантные должности;

-           участия Банка (прямо или косвенно) в других организациях;

-           получение архивных справочных данных о клиентах и информации о факторе риска в отношении клиента.

4. Правовые основания обработки персональных данных

4.1. Правовыми основаниями обработки персональных данных являются совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Банк осуществляет обработку персональных данных, а именно:

-          Трудовой кодекс Российской Федерации;

-          Гражданский кодекс Российской Федерации;

-          Налоговый кодекс Российской Федерации;

-          Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности»;

-          Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»
(далее – Федеральный закон № 115-ФЗ);

-          Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;

-          Федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях»;

-          Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Федеральный закон № 149-ФЗ);

-          Федеральный закон от 21.12.2013 № 353-ФЗ «О потребительском кредите (займе)»;

-          Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе»;

-          Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

-          Федеральный закон от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг»;

-          Федеральный закон от 31.05.2002 № 62-ФЗ «О гражданстве Российской Федерации»;

-          Федеральный закон от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях»;

-          Федеральный закон от 23.12.2003 № 177-ФЗ «О страховании вкладов физических лиц в банках Российской Федерации»;

-          Федеральный закон от 26.10.2002 № 127-ФЗ «О несостоятельности (банкротстве)»;

-          Федеральный закон от 10.12.2003 № 173-ФЗ «О валютном регулировании и валютном контроле»;

-          Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;

-          Федеральный закон от 07.05.1998 № 75-ФЗ «О негосударственных пенсионных фондах»;

-          Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;

-          Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;

-          Федеральный закон от 12.01.1996 № 7-ФЗ «О некоммерческих организациях»;

-          Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;

-          Федеральный закон от 16.07.1998 № 102-ФЗ «Об ипотеке (залоге недвижимости)»;

-          Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»;

-          Основы законодательства Российской Федерации о нотариате (утверждены ВС РФ 11.02.1993 № 4462-1);

-          постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

-          постановление Правительства Российской Федерации от 01.11.2012 № 1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

-          постановление Правительства Российской Федерации от 30.06.2018 № 772
«Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации»;

-          постановление Правительства Российской Федерации от 29.06.2018 № 747
«Об установлении требований к фиксированию действий при размещении в электронной форме в единой системе идентификации и аутентификации сведений, необходимых для регистрации гражданина Российской Федерации в указанной системе, и иных сведений, предусмотренных федеральными законами, а также при размещении биометрических персональных данных гражданина Российской Федерации в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени
их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации»;

-          постановление Правительства Российской Федерации от 16.04.2003 № 225
«О трудовых книжках» (вместе с «Правилами ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей»);

-          приказ Минкомсвязи России от 25.06.2018 № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации»;

-          распоряжение Правительства Российской Федерации от 30.06.2018 № 1322-р
«Об утверждении формы согласия на обработку персональных данных, необходимых для регистрации гражданина Российской Федерации в единой системе идентификации
и аутентификации, и биометрических персональных данных гражданина Российской Федерации в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку
и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации»;

-          Указание Банка России от 09.08.2004 № 1486-У «О квалификационных требованиях к специальным должностным лицам, ответственным за соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма и программ его осуществления в кредитных организациях»;

-          согласие субъекта на обработку персональных данных;

-          Генеральная лицензия на осуществление банковских операций № 3349 (выдана Банком России 12.08.2015);

-          Устав АО «Россельхозбанк».

5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

5.1.       Содержание и объем обрабатываемых персональных данных в Банке должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

5.2.       В зависимости от целей, предусмотренных в разделе 3 настоящей Политики, в Банке обрабатываются персональные данные следующих категорий субъектов персональных данных:

-      работники;

-      родственники работников;

-      уволенные работники;

-      родственники уволенных работников;

-      практиканты;

-      родственники практикантов;

-      соискатели на замещение вакантных должностей;

-      родственники соискателей;

-      рекомендатели соискателей;

-      аффилированные лица;

-      клиенты;

-      поручители клиентов;

-      созаемщики клиентов;

-      родственники клиентов, поручителей клиентов и созаемщиков;

-      представители клиентов;

-      потенциальные клиенты;

-      потенциальные поручители клиентов;

-      потенциальные созаемщики;

-      заемщики;

-      представители заемщика;

-      выгодоприобретатели;

-      благополучатели;

-      залогодатели;

-      должники;

-      лица, проживающие с должником;

-      посетители;

-      посетители сайта Банка в информационно-телекоммуникационной сети «Интернет»;

-      бенефициарные владельцы;

-      контрагенты;

-      работники контрагентов Банка;

-      участники (акционеры, пайщики, учредители) организаций, в которых участвует Банк (прямо или косвенно);

-      клиенты участника Банковской группы;

-      работники участника Банковской группы;

-      уволенные работники участника Банковской группы;

-      кандидаты в члены/члены коллегиальных органов (советов директоров, наблюдательных советов) организаций, в которых участвует Банк (прямо или косвенно);

-      кандидаты в единоличные исполнительные органы / единоличные исполнительные органы организаций, в которых участвует Банк (прямо или косвенно);

-      кандидаты в члены/члены коллегиальных исполнительных органов организаций, в которых участвует Банк (прямо или косвенно);

-      кандидаты в члены/члены ревизионных комиссий (ревизоры) организаций, в которых участвует Банк (прямо или косвенно);

-      представители Банка для участия в собраниях (заседаниях) органов управления организаций, в которых участвует Банк (прямо или косвенно);

-      наследники;

-      инсайдеры;

-      субъекты, давшие согласие на обработку Банком их персональных данных;

-      физические лица, осуществляющие выполнение работ (оказание услуг) и заключившие с Банком договоры гражданско-правового характера;

-      физические лица, приобретающие услуги третьих лиц при посредничестве или намеревающихся вступить в договорные отношения с Банком в связи с приобретением услуг, при условии, что их персональные данные включены в автоматизированные системы;

-      физические лица, персональные данные которых сделаны ими общедоступными;

-      физические лица, дающие распоряжение на осуществление перевода денежных средств от собственного имени и/или по поручению третьего лица;

-        физические лица, обработка персональных данных которых необходима для достижения целей, предусмотренных международными договорами Российской Федерации или законами, для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей.

5.3.    Перечень персональных данных, в том числе специальных категорий персональных данных, обрабатываемых в Банке, определяется в соответствии с законодательством Российской Федерации, внутренними документами Банка с учетом целей обработки персональных данных, указанных в разделе 3 настоящей Политики и в соответствии с Уведомлением об обработке персональных данных (далее – Уведомление), направленным Банком в уполномоченный орган по защите прав субъектов персональных данных.

5.4.    Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в Банке не допускается, за исключением случаев, предусмотренных законодательством Российской Федерации.

5.5.      Обработка биометрических персональных данных, осуществляется Банком на основании, определенном законодательством Российской Федерации, с согласия субъекта персональных данных на обработку его персональных данных, получаемого в соответствии с требованиями Федерального закона № 152-ФЗ.

6. Условия и общие принципы обработки персональных данных

6.1.       Обработка персональных данных Банком осуществляется на основе следующих принципов:

-           законности и справедливости целей и способов обработки персональных данных;

-           соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Банка;

-           соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

-           достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

-           недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

-           хранения персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки, если иной срок не установлен Федеральным законом № 152-ФЗ, либо договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

6.2.    Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Банк вправе обрабатывать персональные данные без согласия субъекта персональных данных в случае, если обработка персональных данных необходима для заключения и исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Обработка персональных данных допускается без согласия субъекта персональных данных для достижения целей, предусмотренных международным договором Российской Федерации или законом, осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей и в иных случаях, установленных законодательством Российской Федерации.

6.3.    Обработка персональных данных в Банке может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) как в информационных системах, целью создания которых является обработка персональных данных, так и в иных информационных системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (включая обеспечение режима защиты сведений конфиденциального характера, в том числе составляющих банковскую и иную охраняемую законом тайну, и соблюдение режима коммерческой тайны и др.), либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

6.4.    В Банке запрещается принятие решений на основании исключительно автоматизированной обработки персональных данных, которые порождают юридические последствия в отношении субъекта персональных данных или иным образом затрагивают его права и законные интересы, кроме случаев и условий, предусмотренных законодательством Российской Федерации.

6.5.    К обработке персональных данных допускаются только те работники Банка, должностные обязанности которых обуславливают обработку персональных данных. Указанные работники имеют право обрабатывать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

6.6.    Банк осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.

6.7.    Банк обеспечивает конфиденциальность персональных данных субъекта персональных данных, а также обеспечивает использование персональных данных исключительно в целях, соответствующих Федеральному закону № 152-ФЗ, договору или иному соглашению, заключенному с субъектом персональных данных. Банк обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

6.8.    Обеспечение безопасности обрабатываемых персональных данных осуществляется Банком в рамках единой комплексной системы организационно-технических мероприятий по обеспечению режима конфиденциальности информации, составляющей банковскую и иную охраняемую законом тайну, с учетом действующего законодательства Российской Федерации о персональных данных, принятых в соответствии с ним нормативных правовых актов, включая нормативные акты государственных и регулирующих органов и требования платежных систем и сервисов, путем применения средств защиты информации, в том числе прошедших в установленном порядке процедуру оценки. Система информационной безопасности Банка непрерывно развивается и совершенствуется на базе требований международных и национальных стандартов информационной безопасности, а также лучших мировых практик.

6.9.      Сроки обработки персональных данных определяются в соответствии со сроками, установленными Федеральным законом № 152-ФЗ, сроком действия договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, сроками действия документов, регулирующих хранение архивных документов, образующихся в процессе деятельности, сроками хранения документов акционерных обществ, сроком исковой давности, сроком согласия, данным субъектом персональных данных на их обработку, а также иными требованиями законодательства Российской Федерации и нормативными актами Банка России.

6.10.           В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Банк обязан прекратить их обработку (обеспечить прекращение такой обработки, если обработка персональных данных осуществляется другим лицом по поручению Банка) и уничтожить персональные данные (обеспечить их уничтожение, если обработка персональных данных осуществляется другим лицом по поручению Банка) в сроки, установленные Федеральным законом № 152-ФЗ. Банк вправе не уничтожать персональные данные и продолжить их обработку без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе № 152-ФЗ.

6.11.           Банк вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Банка, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом
№ 152-ФЗ. В поручении Банка должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных. Банк несет ответственность перед субъектом персональных данных за действия лиц, которым Банк поручает обработку персональных данных.

6.12.    В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Банк, обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

6.13.    При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Банк обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.

6.14.    В случаях, установленных законодательством Российской Федерации, после проведения идентификации при личном присутствии клиента, являющегося гражданином Российской Федерации, с его согласия и на безвозмездной основе Банк обязан размещать или обновлять в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней клиента, и сведения, предусмотренные Федеральным законом № 115-ФЗ, а также в единой информационной системе персональных данных, обеспечивающей сбор, обработку, хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным клиента, его биометрические персональные данные.

6.15.    Банк обязан предложить субъекту персональных данных, обратившемуся в целях проведения идентификации без личного присутствия, использовать средства защиты информации, включая шифровальные (криптографические) средства, позволяющие обеспечить безопасность передаваемых данных от угроз безопасности, актуальных при обработке биометрических персональных данных, определенных в соответствии с ч. 14
ст. 14.1 Федерального закона № 149-ФЗ, и имеющие подтверждение соответствия требованиям, установленным в соответствии со ст. 19 Федерального закона № 152-ФЗ, и указать страницу сайта в сети «Интернет», с которой предоставляются эти средства.

6.16.    В случае отказа клиента от использования средств защиты информации, включая шифровальные (криптографические) средства, при предоставлении биометрических персональных данных в целях проведения идентификации без его личного присутствия посредством сети «Интернет», Банк уведомляет клиента о рисках, связанных с таким отказом, и после документального подтверждения клиентом своего решения вправе провести соответствующую идентификацию клиента посредством сети «Интернет» без использования шифровальных (криптографических) средств в случаях, установленных законодательством Российской Федерации.

6.17.    В случае отказа клиента от использования средств защиты информации, включая шифровальные (криптографические) средства, при предоставлении своих биометрических персональных данных в целях проведения идентификации без его личного присутствия посредством сети «Интернет» с использованием мобильного телефона, смартфона или планшетного компьютера, Банк обязан отказать такому клиенту в проведении указанной идентификации в соответствии с Федеральным законом № 149-ФЗ.

6.18.        В ходе осуществления своей деятельности Банк может осуществлять трансграничную передачу персональных данных в порядке и в соответствии с требованиями Федерального закона № 152-ФЗ.

6.19.        При обработке персональных данных Банк принимает необходимые правовые, организационные и технические меры и обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копировния, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.20. В случае изменения сведений, указанных в Уведомлении, а также в случае прекращения обработки персональных данных Банк обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

6.21.    Субъект персональных данных имеет право:

6.21.1.   На получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Банком; правовые основания и цели обработки персональных данных; применяемые Банком способы обработки персональных данных; наименование и место нахождения Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к персональным данным и другие сведения, предусмотренные ст. 14 Федерального закона № 152-ФЗ.

6.21.2.   На отзыв согласия на обработку персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Банк вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе № 152-ФЗ.

6.22.    При реалиизации прав, указанных в пункте 6.21 настоящей Политики, субъекту персональных данных рекомендуется использовать шаблоны форм обращений, установленных Приложением к настоящей Политике.

6.23.    При получении обращения субъекта персональных данных Банк обязан направить субъекту персональных данных письменный ответ в порядке и сроки, установленные законодательством Российской Федерации и внутренними документами Банка.

7. Ответственность

7.1.   Банк назначает ответственное лицо за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных в Банке, осуществляет управление и методологическое сопровождение обработки персональных данных, включая внутренний контроль за соблюдением законодательства Российской Федерации о персональных данных, доводит до сведения работников Банка положения законодательства Российской Федерации о персональных данных и внутренних документов Банка по вопросам обработки персональных данных, осуществляет контроль за приемом и обработкой обращений и запросов субъектов персональных данных или их представителей.

7.2.     Ответственность за нарушение требований законодательства Российской Федерации и внутренних документов Банка в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

7.3.      Ответственность за обработку и обеспечение выполнения необходимых мероприятий по организации режима конфиденциальности персональных данных в ССП[1] возлагается на руководителей ССП.

7.4.      Ответственность за выполнение необходимых мероприятий по организации режима конфиденциальности персональных данных в региональных филиалах возлагается на директоров региональных филиалов.

7.5.      Ответственность работников Банка, имеющих доступ к персональным данным, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных, включая разглашение или утрату персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Банка персонально для каждого работника, имеющего доступ к персональным данным и допустившего такое нарушение. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.

8. Заключительные положения

8.1.      Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Банка в информационно-телекоммуникационной сети «Интернет» по адресу: www.rshb.ru .

8.2.      Настоящая Политика подлежит пересмотру в случае изменения законодательства Российской Федерации и специальных нормативных правовых актов
по обработке и защите персональных данных, а также по инициативе Банка, но не реже одного раза в три года.

[1] Термин «Самостоятельные структурные подразделения (ССП)» применяется в настоящей Политике
в значении, определенном в Положении о подготовке, утверждении и хранении положений о подразделениях АО «Россельхозбанк» и должностных инструкций работников АО «Россельхозбанк» № 101-П.

8.3. Обратная связь:

-  Адрес электронной почты: [email protected]

-  Почтовый адрес: 119034, Москва, Гагаринский пер., д. 3.

-  Контактный телефон: (495) 777-11-00, 787-77-87.

¹ Термин «Самостоятельные структурные подразделения (ССП)» применяется в настоящей Политике в значении, определенном в Положении о подготовке, утверждении и хранении положений о подразделениях АО «Россельхозбанк» и должностных инструкций работников АО «Россельхозбанк» № 101-П.