Политика в отношении обработки персональных данных

Введение

Важнейшим условием реализации целей деятельности АО КБ «Ситибанк» (далее — Банк) является обеспечение необходимого и достаточного уровня информационной безопасности активов, к которым в том числе относятся персональные данные и банковские технологические процессы, в рамках которых они обрабатываются.

Банк полностью обеспечивает соблюдение прав и свобод граждан при обработке персональных данных, в том числе обеспечивает защиту прав на неприкосновенность частной жизни, личной и семейной тайн.

При обработке персональных данных в Банке строго соблюдаются следующие принципы:

  • не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается обработка персональных данных, которые не отвечают целям обработки. Содержание и состав обрабатываемых персональных данных в Банке соответствует заявленным целям обработки;
  • при обработке персональных данных обеспечивается точность, достаточность, а в необходимых случаях актуальность персональных данных;
  • хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, а также федеральные законы и договоры, сторонами которых, выгодоприобретателем или поручителем по которым является субъект персональных данных;
  • обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных законодательством Российской Федерации.

Персональные данные являются конфиденциальной, строго охраняемой информацией, и на них распространяются все требования, установленные внутренними документами Банка, к защите конфиденциальной информации.

Понятие и состав персональных данных

Перечень персональных данных, подлежащих защите, в Банке формируется в соответствии с Федеральным законом РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Сведениями, составляющими персональные данные, в Банке является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Цели обработки персональных данных

Банк осуществляет обработку персональных данных в следующих целях:

  • осуществления банковских операций и иной деятельности, предусмотренной уставом и лицензиями Банка, нормативными актами Банка России, действующим законодательством РФ, в частности Федеральными законами от 2 декабря 1990 года № 395-1 «О банках и банковской деятельности», от 30 декабря 2004 года № 218-ФЗ «О кредитных историях», от 7 августа 2001 года № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», от 10 декабря 2003 года № 173-ФЗ «О валютном регулировании и валютном контроле», от 22 апреля 1996 года № 39-ФЗ «О рынке ценных бумаг», от 23 декабря 2003 года № 177-ФЗ «О страховании вкладов физических лиц в банках РФ», от 1 апреля 1996 года № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», от 03 июля 2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», от 27 июля 2006 года № 152-ФЗ «О персональных данных», в том числе: взыскание просроченной задолженности по кредитам; информирование клиентов об операциях; исполнение Банком требований законодательства Российской Федерации: осуществление функций валютного контроля, выявление в деятельности клиентов операций, подлежащих обязательному контролю, и операций, в отношении которых возникают подозрения, что они осуществляются в целях легализации (отмывания) доходов, полученных преступным путем, или финансирования терроризма; открытие счетов, выпуск карт Банка; оценка кредитоспособности, проверка добросовестности потенциальных клиентов до заключения договоров и предоставления услуг и продуктов Банка; предоставление клиенту банковских, инвестиционных, страховых услуг и продуктов; прием и обработка обращений, жалоб.
  • проведения маркетинговых акций, продвижение продуктов и услуг клиентам, оценка качества обслуживания клиентов.
  • заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими и иными лицами в случаях, предусмотренных действующим законодательством и уставом Банка; проверка добросовестности контрагента до заключения договора.
  • подбор и найм персонала; организации кадрового учета Банка, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также, страховых взносов в Фонд социального страхования РФ и Фонд обязательного медицинского страхования пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также уставом и внутренними документами Банка; добровольное медицинское страхование; страхование жизни и от несчастных случаев и болезней; оформление виз.

Сроки обработки персональных данных

Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, приказом Минкультуры РФ от 25 августа 2010 года № 558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», постановлением ФКЦБ РФ от 16 июля 2003 года № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства РФ и нормативными документами Банка России.

В Банке создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Банке данных типовых форм документов установлены Постановлением Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Безопасность персональных данных

Банк предпринимает необходимые технические и организационные меры информационной безопасности для защиты персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения, путем внутренних проверок процессов сбора, хранения и обработки данных и мер безопасности, а также осуществления мер по обеспечению физической безопасности данных для предотвращения несанкционированного доступа к персональным данным.

Права и обязанности субъектов персональных данных

Права и обязанности

Банк как оператор персональных данных вправе:

  • отстаивать свои интересы в суде;
  • предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
  • отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
  • использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.

Субъект персональных данных имеет право:

  • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • требовать перечень своих персональных данных, обрабатываемых Банком, и источник их получения;
  • получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
  • требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведённых в них исключениях, исправлениях или дополнениях;
  • обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Обратная связь

Банк предпринимает разумные меры для поддержания точности и актуальности имеющихся персональных данных, а также удаления персональных данных в случаях, если они являются устаревшими, недостоверными или излишними, либо если достигнуты цели их обработки.

Субъекты персональных данных несут ответственность за предоставление Банку достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.

В случаях, если Вы, как субъект персональных данных, хотите узнать, какими персональными данными о Вас располагает Банк, либо дополнить, исправить, обезличить или удалить любые неполные, неточные или устаревшие персональные данные, либо хотите прекратить обработку Банком Ваших персональных данных, либо имеете другие законные требования, вы можете в должном порядке и в соответствии с действующим законодательством реализовать такое право, обратившись к Банк.

При этом в некоторых случаях (например, если вы хотите удалить Ваши персональные данные или прекратить их обработку) такое обращение также может означать, что Банк больше не сможет предоставлять Вам услуги.

Для выполнения Ваших запросов Банк может потребовать установить Вашу личность и запросить дополнительную информацию, подтверждающую Ваше участие в отношениях с Банком, либо сведения, иным образом подтверждающие факт обработки персональных данных Банком. Кроме того действующее законодательство может устанавливать ограничения и другие условия, касающиеся упомянутых выше Ваших прав.

Порядок направления субъектом персональных данных запросов на предоставление сведений определен требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». В частности, в соответствии с указанными требованиями запрос на получение информации в Банке должен содержать:

  • серию, номер документа, удостоверяющего личность субъекта персональных данных (законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта персональных данных в отношениях с Банком (номер договора, дата заключения договора, условное словесное обозначение и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Банком;
  • подпись субъекта персональных данных (законного представителя).

В случае направления запроса представителем субъекта законного представителя, запрос должен содержать документ (копию документа), подтверждающий полномочия данного представителя.

Контакты для обращения субъектов по вопросам обработки персональных данных: https://www.citibank.ru раздел «Контакты и информация».