Политика ЗАО Банк ВТБ (Беларусь) в отношении обработки персональных данных
 

УТВЕРЖДЕНО

Протокол Правления

ЗАО Банк ВТБ (Беларусь)

12.10.2021 №49

 

ГЛАВА 1 ОБЩИЕ ПОЛОЖЕНИЯ

1. Политика ЗАО Банк ВТБ (Беларусь) в отношении обработки персональных данных (далее – Политика) определяет основные принципы, нормы и способы обработки персональных данных физических лиц, осуществляемой в ЗАО Банк ВТБ (Беларусь) (далее – Банк).

2. Действие настоящей Политики направлено на обеспечение защиты прав и свобод физических лиц при обработке их персональных данных в ходе осуществления Банком своей деятельности. Настоящая Политика является общедоступным локальным правовым актом Банка, предназначенным для ознакомления любыми заинтересованными лицами (в том числе клиентами, контрагентами Банка, кандидатами к трудоустройству в Банке и иными лицами).

3. Термины и определения, используемые в настоящей Политике, если иное не вытекает из содержания отдельных ее положений, применяются в значениях, предусмотренных законодательством Республики Беларусь. ГЛАВА 2

ОБЩИЕ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4. В основе обработки персональных данных в Банке лежат следующие принципы: законность: любая деятельность в отношении персональных данных в Банке осуществляется в соответствии с требованиями законодательства Республики Беларусь; соответствие содержания и объема обработки персональных данных заявленным целям обработки: Банк обеспечивает соответствие порядка и способов обработки персональных данных целям такой обработки, справедливое соотношение интересов всех заинтересованных лиц, исключает обработку персональных данных, несовместимую с целями их сбора; соразмерность: Банк осуществляет обработку персональных данных в объеме, достаточном для целей их обработки, и не допускает обработки персональных данных, избыточных по отношению к целям их обработки; минимизация рисков: обработка персональных данных в Банке осуществляется таким образом, чтобы минимизировать риск нанесения ущерба субъекту персональных данных; прозрачность: субъекту персональных данных в случаях и порядке, предусмотренных законодательством, предоставляется информация, касающаяся обработки его персональных данных; достоверность: Банк принимает меры по обеспечению достоверности обрабатываемых персональных данных, а также в случаях и порядке, устанавливаемых законодательством Республики Беларусь, обновляет неполные, устаревшие или неточные персональные данные.

5. Банком осуществляется обработка персональных данных, необходимых для осуществления банковских процессов, в том числе, платежных и информационных технологических процессов, с использованием средств автоматизации, либо без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).

6. Банк осуществляет обработку отдельных специальных персональных данных (например, фото и видеоизображение субъекта персональных данных или его цифровой фотопортрет) в целях идентификации и (или) аутентификации субъектов персональных данных при оказании услуг (проведении операций) Банком, установления личности субъектов персональных данных при обеспечении требований пропускного и (или) внутриобъектового режима на охраняемых объектах Банка (осуществлении пропуска на объекты, соблюдения режима безопасности) Банка, в целях минимизации риска противоправных посягательств на объектах и устройствах Банка.

7. Реализуя полномочия оператора, Банк осуществляет обработку персональных данных следующих категорий субъектов персональных данных: физических лиц, рассматриваемых в качестве кандидатов на работу в Банк, а также состоящих (состоявших) в трудовых отношениях с Банком; физических лиц, в том числе индивидуальных предпринимателей, рассматриваемых в качестве потенциальных контрагентов Банка, а также состоящих (состоявших) в договорных и иных гражданско-правовых отношениях с Банком; физических лиц, являющихся работниками (представителями) юридических лиц (индивидуальных предпринимателей), рассматриваемых в качестве потенциальных клиентов либо контрагентов Банка, а также состоящих (состоявших) в договорных и иных правовых отношениях с Банком; физических лиц, обратившихся в Банк с целью получения информации, заключения договора либо вступления в иные правовые отношения с Банком (лицом, интересы которого представляет Банк); физических лиц, являющихся аффилированными лицами и (или) инсайдерами Банка; физических лиц (в том числе индивидуальных предпринимателей), не состоящих с Банком в трудовых или гражданско-правовых отношениях, проходящих на территорию (в помещения), на которой находится Банк; иных физических лиц, в отношении которых Банком осуществляется обработка персональных данных в соответствии с требованиями законодательства; представителей физических лиц, указанных в настоящем пункте. Обработка Банком персональных данных должностных лиц контролирующих (надзорных), иных государственных органов при реализации ими законных служебных полномочий осуществляется в соответствии с законодательством.

8. Персональные данные обрабатываются Банком, если они получены на следующих основаниях: согласия субъекта персональных данных, которое должно быть свободным, информированным и конкретным; договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором; при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных; при обработке персональных данных, когда они указаны в документе, адресованном Банку и подписанном субъектом персональных данных, в соответствии с содержанием такого документа; для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, а также иных основаниях, когда законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных

9. Банк осуществляет обработку персональных данных в целях осуществления возложенных на Банк законодательством функций, предполагающих необходимость обработки персональных данных (в соответствии с Банковским кодексом Республики Беларусь, Налоговым кодексом Республики Беларусь, Законом Республики Беларусь от 10.11.2008 №441-З «О кредитных историях», Законом Республики Беларусь от 30.07.2014 №165-З «О мерах по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения», Законом Республики Беларусь от 22.07.2003 №226-З «О валютном регулировании и валютном контроле», Законом Республики Беларусь от 05.01.2015 №231-З «О рынке ценных бумаг», Законом Республики Беларусь от 06.01.1999 №230-З «Об индивидуальном (персонифицированном) учете в системе государственного социального страхования», а также иными актами законодательства), а именно: осуществления банковских и иных операций, оказания банковских услуг клиентам (совершения операций с клиентами); заключения договоров и выполнения обязательств по заключенным договорам; защиты прав и законных интересов Банка, его акционеров и работников; осуществления идентификации и аутентификации субъектов персональных данных, в том числе с использованием программно-аппаратных средств и технологий; проведения Банком рекламных акций и игр, опросов, маркетинговых исследований, иных аналогичных мероприятий; предоставления субъекту персональных данных информации об оказываемых Банком услугах (совершаемых операциях), о разработке Банком новых банковских услуг (операциях); привлечения и отбора кандидатов для трудоустройства в Банк; регулирования трудовых и иных, непосредственно связанных с ними отношений, в том числе отношений по участию в профсоюзных организациях; формирования и предоставления статистической и управленческой отчетности, в том числе для предоставления Национальному банку Республики Беларусь, акционерам Банка, аудиторским и рейтинговым компаниям, банкам-корреспондентам, процессинговым центрам, платежным системам и иным финансовым организациям; осуществления Банком административно-хозяйственной деятельности; выявления случаев хищения денежных средств со счетов, вкладов (депозитов) клиентов, их имущества, находящегося на хранении в Банке, иных противоправных деяний, предотвращения таких деяний в дальнейшем и минимизации их последствий; предоставления доступа субъектов персональных данных в здания, помещения и на территорию Банка, обеспечение безопасности субъектов персональных данных, Банка и его активов при осуществлении такого доступа, минимизации риска противоправных действий при предоставлении доступа на территорию и к объектам Банка; в иных не противоречащих законодательству целях. Цели обработки персональных данных могут быть конкретизированы в согласии субъекта персональных данных.

10. Банк прекращает обработку персональных данных и удаляет их (а при отсутствии технической возможности удаления персональных данных – принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокирование), если отсутствуют иные основания для обработки персональных данных, предусмотренные законодательными актами, в случаях: достижения целей обработки либо утраты необходимости в достижении этих целей; по требованию субъекта персональных данных; в иных случаях, предусмотренных законодательством.

ГЛАВА 3 СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

11. Обработка персональных данных, за исключением случаев, определенных законодательством и настоящей Политикой, а также обработка специальных персональных данных, осуществляется на основании согласие субъекта на обработку его персональных данных.

12. Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме. В иной электронной форме согласие субъекта персональных данных может быть получено посредством: указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты; проставления субъектом персональных данных соответствующей отметки на Интернет-ресурсе или в системе дистанционного банковского обслуживания, применяемой в Банке, в том числе для использования его клиентами; других способов, позволяющих установить факт получения согласия субъекта персональных данных.

13. Способы получения согласия субъекта персональных данных определяются Банком по своему усмотрению и могут отличаться в зависимости от банковского процесса, при котором осуществляется обработка персональных данных. В случаях, если законодательными актами предусмотрена необходимость получения согласия субъекта персональных данных только в письменной форме или в виде электронного документа, Банк получает согласие субъекта персональных данных в необходимой форме. Обязанность доказывания получения согласия субъекта персональных данных возлагается на Банк.

14. До получения согласия субъекта персональных данных Банк в форме, соответствующей форме выражения такого согласия, обязан предоставить субъекту персональных данных информацию в отношении порядка обработки персональных данных, предусмотренную законодательными актами, а также разъяснить субъекту персональных данных отдельно от иной предоставляемой ему информации его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия.

15. В случае необходимости изменения первоначально заявленных целей обработки персональных данных Банк обязан получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки при отсутствии иных оснований для такой обработки, предусмотренных законодательными актами.

16. Субъект персональных данных при даче своего согласия должен указать свои фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего его личность.

17. В случае смерти субъекта персональных данных, объявления его умершим, согласие на обработку его персональных данных дает один из наследников, близких родственников, усыновителей (удочерителей), усыновленных (удочеренных) либо супруг (супруга) субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни. В случае признания субъекта персональных данных недееспособным или ограниченно дееспособным, а также до достижения им возраста шестнадцати лет, за исключением вступления в брак до достижения возраста шестнадцати лет, согласие на обработку его персональных данных дает один из его законных представителей, если иное не предусмотрено законодательными актами. Лица, указанные в первой и второй частях настоящего пункта, в случае дачи согласия на обработку персональных данных вместо субъекта персональных данных пользуются правами субъекта персональных данных, предусмотренными законодательством.

18. Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие в порядке, определенном законодательством и настоящей Политикой.

19. Отказ от дачи согласия субъектом персональных данных в случаях, когда получение согласия необходимо согласно требованиям законодательных актов, а также отзыв ранее предоставленного согласия влечет последствия, предусмотренные, в частности, законодательством и (или) заключенными договорами. Такими последствиями могут быть: отказ от заключения Банком договора с субъектом хозяйствования или физическим лицом; отказ в предоставлении Банком услуг или выполнения банковской операции; приостановление или прекращение оказания услуг по ранее заключенному договору; отказ в предоставлении допуска субъекта персональных данных на территорию Банка; отказ в предоставлении сведений и документов, осуществления контактов и коммуникации; и иные последствия.

ГЛАВА 4 ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

20. Банк может передавать персональные данные для обработки уполномоченным лицам с соблюдением требований, предусмотренных законодательством.

21. Передача персональных данных Банком уполномоченному лицу может осуществляться, если иное не предусмотрено законодательством, при следующих условиях: передача персональных данных уполномоченному лицу и обработка уполномоченным лицом персональных данных, предоставленных Банку, осуществляется с согласия субъекта персональных данных; передача персональных данных уполномоченному лицу и обработка персональных данных уполномоченным лицом осуществляется на основании заключенного договора между Банком и таким уполномоченным лицом либо на основании акта законодательства или решения государственного органа.

22. Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Банка необходимо получение согласия субъекта персональных данных, такое согласие получает Банк.

23. Государственным органам и уполномоченным юридическим и физическим лицам персональные данные передаются в случаях и порядке, определенных законодательством.

24. Трансграничная передача персональных данных может осуществляться Банком в государства, входящие в перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определенный Уполномоченным органом по защите прав субъектов персональных данных. Трансграничная передача Банком персональных данных в государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, может осуществляться Банком в случаях, когда: у Банка имеется полученное в установленном законодательстве порядке соответствующее согласие субъекта персональных данных; персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором; получено соответствующее разрешение Уполномоченного органа по защите прав субъектов персональных данных; в иных случаях, установленных законодательством. ГЛАВА 5 РЕАЛИЗАЦИЯ ПРАВ СУБЪЕКТА

ПЕРСОНАЛЬНЫХ ДАННЫХ В ОТНОШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

25. Субъект персональных данных вправе требовать от Банка: предоставления информации, касающейся обработки своих персональных данных; внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными; бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами.

26. По требованию субъекта персональных данных Банк предоставляет информацию, касающуюся обработки персональных данных, содержащую: наименование и место нахождения Банка; подтверждение факта обработки персональных данных Банком или уполномоченным лицом; его персональные данные и источник их получения; правовые основания и цели обработки персональных данных; срок, на который дано его согласие; наименование и место нахождения уполномоченного лица, если обработка персональных данных поручена такому лицу; иную информацию, предусмотренную законодательством. Субъект персональных данных не должен обосновывать свой интерес к запрашиваемой информации.

27. Для получения информации, касающейся обработки персональных данных, внесения изменений в персональные данные, прекращения обработки персональных данных и (или) их удаления, отзыва согласия, субъект персональных данных подает Банку заявление в письменной форме либо в виде электронного документа, если иное не предусмотрено актами законодательства. Заявление в письменной форме субъекты персональных данных направляют по адресу 220007, ул. Московская, 14, г. Минск, Республика Беларусь. Заявление в виде электронного документа субъекты персональных данных направляют по адресу электронной почты ____________ . Заявление субъекта персональных данных должно содержать: фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания); дату рождения субъекта персональных данных;  идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Банку или обработка персональных данных осуществляется без согласия субъекта персональных данных; изложение сути требований субъекта персональных данных, при этом в случае требования внесения изменений в персональные данные к заявлению должны быть приложены соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные; личную подпись либо электронную цифровую подпись субъекта персональных данных.

28. После получения соответствующего заявления субъекта персональных данных Банк: в течение пяти рабочих дней, если иной срок не установлен законодательными актами, предоставляет субъекту персональных данных информацию, касающуюся обработки его персональных данных, либо уведомляет субъекта персональных данных о причинах отказа в ее предоставлении; в пятнадцатидневный срок вносит изменения в персональные данные и уведомляет об этом субъекта персональных данных либо уведомляет субъекта персональных данных о причинах отказа во внесении таких изменений; в пятнадцатидневный срок прекращает обработку персональных данных, а также осуществляет их удаление (обеспечивает прекращение обработки персональных данных, а также их удаление уполномоченным лицом), а при отсутствии технической возможности удаления персональных данных принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомляет об этом субъекта персональных данных либо уведомляет субъекта персональных данных об отказе в удовлетворении его требований. После получения заявления субъекта персональных данных об отзыве согласия, Банк в пятнадцатидневный срок прекращает обработку персональных данных, а также осуществляет их удаление, а при отсутствии технической возможности удаления персональных данных принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные законодательными актами, и уведомляет об этом субъекта персональных данных. Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

29. Предоставление информация, касающейся обработки персональных данных, а также прекращение обработки персональных данных осуществляются Банком бесплатно, за исключением случаев, предусмотренных законодательными актами.

30. Банк отказывает субъекту персональных данных в предоставлении информации, касающейся обработки его персональных данных, в случае: если персональные данные могут быть получены любым лицом посредством направления запроса в порядке, установленном законодательством, либо доступа к информационному ресурсу (системе) в глобальной компьютерной сети Интернет; если обработка персональных данных осуществляется в соответствии с законодательством: о государственной статистике; в области национальной безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, о Государственной границе Республики Беларусь; об оперативно-розыскной деятельности, процессуально-исполнительным законодательством об административных правонарушениях, уголовно-процессуальным, уголовно-исполнительным законодательством; по вопросам ведения криминалистических учетов; в иных случаях, предусмотренных законодательными актами. Банк вправе отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки.

ГЛАВА 6 ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

31. Банком принимаются правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

32. Банком определяются состав мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных с учетом требований актов законодательства, к которым относятся: назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных; предоставление неограниченного доступа для ознакомления с настоящей Политикой; учет категорий субъектов, персональные данные которых обрабатываются в Банке; учет информационных систем Банка, предназначенных для обработки персональных данных; формализация и контроль выполнения порядка обработки персональных данных в Банке; формализация и контроль выполнения требований по уничтожению персональных данных и их носителей; учет должностей работников Банка, доступ которых к персональным данным, независимо от способа их обработки, необходим для выполнения должностных обязанностей; ознакомление (с фиксацией факта ознакомления) работников Банка, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь о защите персональных данных, настоящей Политикой, и локальными правовыми актами Банка по вопросам обработки и защиты персональных данных, проведение технической учебы и контроля знаний по вопросам обработки персональных данных; контроль и разграничение доступа работников Банка и иных лиц к информационным системам Банка, предназначенным для обработки персональных данных, и персональным данным, обрабатываемым в этих информационных системах; восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; включение положений по обеспечению безопасности персональных данных в договоры с третьими лицами, которым передаются персональные данные, в том числе требований по соблюдению конфиденциальности переданных персональных данных; организация режима обеспечения физической безопасности помещений, в которых размещены технические средства информационных систем Банка, предназначенных для обработки персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; осуществление регулярного внутреннего контроля/аудита соответствия обработки и обеспечения безопасности персональных данных законодательству Республики Беларусь о защите персональных данных.

33. При осуществлении деятельности по обработке персональных данных Банком осуществляется взаимодействие с государственными органами, в т.ч. с Уполномоченным органом по защите прав субъектов персональных данных и Оперативно-аналитическим центром при Президенте Республики Беларусь по вопросам: осуществления контроля за обработкой персональных данных Банком в соответствии с законодательными актами Республики Беларусь; рассмотрения жалоб субъектов персональных данных по вопросам обработки персональных данных; изменения, блокирования или удаления недостоверных, или полученных незаконным путем персональных данных, устранения иных нарушений законодательства о защите персональных данных; трансграничной передачи персональных данных; исполнения законодательства Республики Беларусь о защите персональных данных; предоставления Уполномоченному органу по защите прав субъектов персональных данных информации, необходимой для определения законности действий Банка в отношении персональных данных; обеспечения безопасности персональных данных при их обработке Банком.

ГЛАВА 7 ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

34. За нарушение установленных правил обработки персональных данных виновные лица несут ответственность, предусмотренную законодательством.