Оглавление

1. Список Терминов и Определений.

2. Общие положения.

3. Цели обработки персональных данных.

4. Классификация персональных данных и Субъектов персональных данных.

5. Общие принципы обработки персональных данных.

6. Использование файлов «Cookie».

7. Порядок и условия обработки персональных данных.

8. Порядок защиты конфиденциальности данных в Мобильном приложении.

9. Организация системы управления процессом обработки персональных данных.

10. Меры по обеспечению безопасности персональных данных при их обработке.

11.Заключительные положения.

1. Список Терминов и Определений.

Банк - Открытое акционерное общество «Алиф Банк», ИНН 030026536, ЕИН 0310015466, осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия, совершаемые с персональными данными.

Закон – Закон Республики Таджикистан «О персональных данных» от 03.08.2018, №1537.

Клиент – термин, используемый при совместном упоминании Корпоративного клиента и Розничного клиента.

Корпоративный клиент – юридическое лицо, индивидуальный предприниматель, заключившее или намеревающееся заключить с Банком договор на оказание услуг.

Мобильное приложение – программное обеспечение Банка в в том числе и Мобильное приложение «alif mobi - оплата услуг 24/7», а также иное программное обеспечение Банка, предоставляемое во временное пользование Розничному клиенту, платежный инструмент для хранения денежных средств, электронных денежных средств, переводов и оплаты в Интернете.

Обработка персональных данных – любое действие (операция) Банка или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу.

В рамках Закона Республики Таджикистан «О персональных данных» от 03.08.2018, №1537 установлены следующие определения:

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Представитель Корпоративного клиента – физическое лицо, персональные данные которого переданы Банку и:

- входящее в органы управления Корпоративного Клиента;

- являющееся владельцем/учредителем/акционером/участником Корпоративного клиента;

- действующее от имени Корпоративного клиента на основании доверенности/указанное в карточке с образцами подписей и оттиска печати Корпоративного клиента.

Работник Банка – физическое лицо, заключившее с Банком трудовой договор.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Розничный клиент – физическое лицо, которое заключило с Банком договор, и персональные данные которого переданы Банку.

Регламент - регламент работы по охране персональных и конфиденциальных данных клиентов при использовании программ дистанционного банковского обслуживания в ОАО «Алиф Банк».

РТ – Республика Таджикистан.

Субъект персональных данных – физическое лицо, которое прямо или косвенно определено с помощью персональных данных.

GDPR — постановление Европейского Союза, с помощью которого Европейский парламент, Совет Европейского Союза и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в Европейском Союзе (ЕС).

2. Общие положения.

2.1. В Банке разработаны и введены в действие документы, устанавливающие порядок обработки и защиты персональных данных, которые обеспечивают соответствие требованиям Закона GDPR, и принятых в соответствии с ним нормативных правовых актов

2.2. Регламент разработан в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в соответствии с Законом РТ, а также в соответствии с иными законодательными актами в области защиты персональных данных, определяющими случаи и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности такой информации, включая любые внутренние документы Банка в области защиты персональных данных.

2.3. Регламент устанавливает:

2.3.1. цели обработки персональных данных;

2.3.2. классификацию персональных данных и Субъектов персональных данных;

2.3.3. общие принципы обработки персональных данных;

2.3.4. основных участников системы управления процессом обработки персональных данных;

2.3.5. основные подходы к системе управления процессом обработки персональных данных.

2.4. Положения Регламента являются обязательными для исполнения всеми работниками Банка, имеющими доступ к персональным данным.

3. Цели обработки персональных данных.

3.1. Банк осуществляет обработку персональных данных в целях:

3.1.1. выполнения требований законодательства РТ;

3.1.2. установления личности субъекта персональных данных в целях, соблюдения требований законодательства по противодействию легализации доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового поражения;

3.1.3. осуществления банковских операций и сделок в соответствии с Уставом Банка и выданными Банку лицензиями на совершение банковских и иных операций;

3.1.4. заключения с Субъектом персональных данных любых договоров и их дальнейшего исполнения;

3.1.5. проведения Банком акций, опросов, исследований;

3.1.6. предоставления Субъекту персональных данных информации об оказываемых Банком услугах, о разработке Банком новых продуктов и услуг;

3.1.7. выявления случаев мошенничества, хищения денежных средств со счета, иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализации последствий таких действий;

3.1.8. для достижения целей, предусмотренных международным договором РТ или законом, для осуществления и выполнения возложенных законодательством РТ на Банк функций, полномочий и обязанностей.

4. Классификация персональных данных и Субъектов персональных данных.

4.1. К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных), обрабатываемая Банком для достижения заранее определенных целей.

4.2. Банк не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством РТ.

4.3. Банк осуществляет обработку персональных данных следующих категорий Субъектов персональных данных:

4.3.1. физического лица, представляющего интересы Корпоративного клиента Банка (Представители Корпоративного клиента);

4.3.2. физического лица, являющиеся Розничными клиентами Банка;

4.3.3. физического лица, приобретшие или намеревающиеся приобрести услуги Банка, услуги третьих лиц при посредничестве Банка или не имеющие с Банком договорных отношений при условии, что их персональные данные включены в автоматизированные системы Банка и обрабатываются в соответствии с требуемыми нормами закона.

4.3.4. иного физического лица, выразившие согласие на обработку Банком их персональных данных.

5. Общие принципы обработки персональных данных.

5.1. Банк осуществляет обработку персональных данных на основе общих принципов:

5.1.1. законности заранее определенных конкретных целей и способов обработки персональных данных;

5.1.2. обеспечения надлежащей защиты персональных данных;

5.1.3. соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

5.1.4. соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;

5.1.5. достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5.1.6. недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

5.1.7. хранения персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

5.1.8. уничтожения или обезличивания персональных данных по достижении целей их обработки, если срок хранения персональных данных не установлен законодательством РТ, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных;

5.1.9. обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.

5.2. В рамках обработки персональных данных для Субъекта персональных данных и Банка определены следующие права.

5.2.1. Субъект персональных данных имеет право путем направления в Банк запроса с указанием номера основного документа, удостоверяющего личность, сведений о дате выдачи указанного документа и выдавшем его органе:

- получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные законодательством РТ и правилами Банка;

- требовать уточнения своих персональных данных, их Блокирования или Уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении Субъектом персональных данных согласия на обработку персональных данных;

- принимать предусмотренные законом меры по защите своих прав;

- отозвать свое согласие на обработку персональных данных.

- получать подтверждение факта обработки его персональных данных Банком;

- получать правовые основания и цели обработки персональных данных;

- получать цели и применяемые в Банке способы обработки персональных данных;

- получать наименование и место нахождения Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Банком;

- получать информацию об обрабатываемых персональных данных, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством;

- получать сведения о сроках обработки персональных данных, в том числе и о сроках их хранения.

5.3. Субъект персональных данных имеет право на получение сведений, касающихся обработки персональных данных субъекта путем направления в Банк запроса с указанием номера основного документа, удостоверяющего личность, сведений о дате выдачи указанного документа и выдавшем его органе.

5.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством РТ.

5.5. Сведения, касающиеся обработки персональных данных субъекта, предоставляются ему Банком в доступной форме, и не содержат персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

5.6. В случае если сведения, касающиеся обработки персональных данных субъекта персональных данных, а также если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Банк или направить повторный запрос не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством РТ.

5.7. Субъект персональных данных вправе обратиться повторно в Банк или направить повторный запрос в целях получения сведений, касающихся обработки персональных данных субъекта, а также в целях ознакомления с обрабатываемыми персональными данными до истечения тридцати дней после первоначального обращения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, касающимися обработки персональных данных субъекта, должен содержать обоснование направления повторного запроса.

5.8. Если субъект персональных данных считает, что Банк осуществляет обработку его персональных данных с нарушением требований законодательства РТ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Банка в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5.9. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5.10. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных, Банк вправе продолжить обработку персональных данных без согласия субъекта персональных данных в случаях, предусмотренных действующим законодательством РТ.

5.11. Субъект персональных данных, находящийся на территории Евросоюза, по требованиям GDPR имеет право запросить обрабатываемые Банком персональные данные субъекта в структурированном, машиночитаемом формате и передать эти данные другому оператору персональных данных.

5.12. Банк имеет право:

5.12.1. обрабатывать персональные данные Субъекта персональных данных в соответствии с заявленной целью;

5.12.2. требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных;

5.12.3. ограничить доступ Субъекта персональных данных к его персональным данным в случае, если Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового поражения, доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством РТ;

5.12.4. обрабатывать общедоступные персональные данные физических лиц;

5.12.5. предоставляться обобщенные обезличенные данные Субъектов персональных данных компаниям, имеющие договорные отношения с Банком в том числе не ограничиваюсь с целью проведения статистических или иных исследований, распространения рекламных материалов и иных мероприятий и акций, а также по обработке кредитных историй Субъекта персональных данных.

5.13. Банк обязан в соответствии с требованиями GDPR, Закона:

5.13.1. предоставлять при обращении либо при получении запроса субъекта персональных данных или его представителя. информацию, касающуюся обработки его персональных данных, или предоставлять мотивированные отказы в предоставлении такой информации в форме и случаях и в сроки, предусмотренные Законом;

5.13.2. уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных (за исключением оговоренных ранее);

5.13.3. осуществлять разъяснение субъекту персональных данных юридические последствия отказа предоставить его персональные данные в случаях, предусмотренных законодательством РТ;

5.13.4. потребованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

5.13.5. вносить необходимые изменения в персональные данные, уничтожать их, уведомлять субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимать разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы, в срок и в случаях, предусмотренных законодательством РТ и GDPR;

5.13.6. в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональныхданных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено законодательством РТ;

5.13.7. в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Банком и субъектом персональных данных. Об уничтожении персональных данных Банк обязан уведомить субъекта персональных данных.

6.1. Банк использует файлы «cookie» на любых сайтах Банка, в том числе и *. alif.tj,https://intiqol.tj, km.alif.mobi (далее именуемые совместно и по отдельности – «сайт Банка»).

6.2. Файлы «cookie» используются Банком с целью:

6.2.1. авторизации на сайте Банка в качестве зарегистрированного пользователя, предоставления сервисов Банка;

6.2.2. выявления и устранения ошибок на сайте Банка;

6.2.3. обеспечения функционирования, повышения производительности и улучшения качества сайта Банка

6.2.4. минимизация рисков предотвращения возможного мошенничества, обеспечения безопасности при использовании сайта Банка;

6.2.5. хранения персональных предпочтений и настроек пользователей;

6.2.6. предоставления целевой информации по продуктам и услугам Банка и партнеров Банка;

6.2.7. усовершенствования продуктов и (или) услуг и для разработки новых продуктов и (или) сервисов;

6.2.8. ведения аналитики.

6.3. Кроме того, при посещении сайта Банка в сети «Интернет» происходит автоматический сбор иных данных, в том числе: технических характеристик устройства, IP-адреса, информации об используемом браузере и языке, даты и времени доступа к сайту, адресов запрашиваемых страниц сайта и иной подобной информации.

6.4. Банк может использовать файлы «cookie» и иные автоматизированные и неавтоматизированные способы обработки пользовательских данных (сведения о действиях, которые совершаются пользователем на сайте, сведения об используемых для этого устройствах, дата и время сессии), а также Банк может передавать их третьим лицам для проведения исследований, выполнения работ или оказания услуг.

6.5. Пользователь вправе самостоятельно управлять файлами «cookie». Используемый браузер и (или) устройство могут позволять блокировать, удалять или иным образом ограничивать использование файлов «cookie». Чтобы узнать, как управлять файлами «cookie» с помощью используемых браузера или устройства, необходимо воспользоваться инструкцией, предоставляемой разработчиком браузера или производителем используемого устройства.

6.6. При удалении или ограничении использования файлов «cookie» некоторые функции сайта Банка или сервисы Банка могут оказаться недоступны.

6.7. Обрабатываемые файлы «cookie» уничтожаются, либо обезличиваются по достижении указанных выше целей обработки или в случае утраты необходимости в достижении этих целей.

7. Порядок и условия обработки персональных данных.

7.1. Сроки обработки персональных данных определены в соответствии со сроками действия договоров с субъектом персональных данных, сроками исковой давности, а также иными требованиями законодательства РТ.

7.2. Персональные данные обрабатываются в Банке как с помощью средств вычислительной техники, так и без использования таких средств и могут быть представлены как на бумажных, так и на электронных носителях. При этом Банк выполняет все требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные GDPR, Закона и принятыми в соответствии с ним нормативными правовыми актами.

7.3. Банк осуществляет трансграничную передачу персональных данных. При этом Банк выполняет все требования к осуществлению трансграничной передачи данных, предусмотренные Законом.

7.4. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.

7.5. Банк обязуется и обязует иные лица, получившие доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РТ.

7.6.Работники Банка должны быть ознакомлены под подпись с документами Банка, устанавливающими порядок обработки и защиты персональных данных, а также права и обязанности, возникающие при осуществлении обработки и защиты персональных данных.

7.7. Обработка персональных данных в Банке осуществляется только с согласия субъектов персональных данных, за исключением следующих случаев:

7.7.1. обработка персональных данных необходима для достижения целей, предусмотренных законодательством РТ;

7.7.2. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;

7.7.3. обработка персональных данных необходима для исполнения судебного акта;

7.7.4. обработка персональных данных необходима для заключения договора по инициативе субъекта персональных данных;

7.7.5. обработка персональных данных необходима для осуществления прав и законных интересов Банка;

7.7.6. обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обезличивания персональных данных;

7.7.7. в иных случаях, предусмотренных действующим законодательством РТ.

7.8. При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.

7.9. Сроки обработки персональных данных определяются в соответствии со сроком, указанным в согласии субъекта персональных данных, а также иными требованиями законодательства РТ и нормативными документами Банка.

7.10. Согласие на обработку персональных данных устанавливается в соответствующих договорах, заключаемых между Банком и Субъектом персональных данных с целью с исполнением (неисполнением, ненадлежащим исполнением) таких договоров.

7.11. При отказе от заключения договоров с Банком, согласие на обработку персональных данных отзывается путем направления письменного уведомления в адрес Банка. Банк в течении 30 рабочих дней с даты получения обращения Субъекта персональных данных уничтожают персональные данные. Несмотря на получение отзыва Субъекта персональных данных, Банк продолжает обработку персональных данных в случаях предусмотренных законодательством РТ

7.12. Для целей заключения отдельных видов договоров, Субъект персональных данных дает свое согласие на получение сведений в бюро кредитных историй в соответствии с требованиями действующего законодательства РТ. Согласие по получение кредитной истории действует в срок не менее, чем 6 месяцев с даты обращения в Банк, в случае заключения любого вида кредитного договора и связанного с выдачей кредитного продукта Банка, в том числе не ограничиваясь договора поручительства, залога и иных, на срок не менее, чем срок действия такого договора. Субъект персональных данных дает согласие Банку предоставлять его персональные данные третьим лицам, для достижения целей настоящей статьи. Необходимость предоставления и объем предоставляемой информации и/или документов, содержащих персональные данные, определяется Банком самостоятельно с учетом ограничений, установленных применимым законодательством РТ.

7.13. Для целей использование сервисов Банка, Субъект персональных данных дает согласие на обработку и передачу обезличенных данных статистики с учетом соблюдения положений о сохранности данных и политики конфиденциальности ООО «Яндекс» (https://yandex.ru/legal/confidential), Google (https://policies.google.com/privacy#infosecurity) с целью поддержания и улучшения существующих сервисов, создания новых и обеспечения безопасности.

8. Порядок использования персональных данных в Мобильном приложении.

8.1. Регламент действует в отношении Мобильного приложения и той информации, которая может быть получена с приложения устройства во время использования Мобильного приложения.

8.2. Мобильное приложение и услуги в рамках Мобильного приложения реализуются Розничному Клиенту на основании договоров и соглашений с Банком, которые в числе прочего регулируют все вопросы обработки и хранения Банком персональных данных Розничного Клиенту.

8.3. Регламент применим к Мобильному приложению. Банк не контролирует и не несет ответственность за информацию (последствия её передачи), переданную Розничным Клиентом третьей стороне, в случае если такая передача была выполнена на ресурсе третьей стороны, на который пользователь мог перейти по ссылкам из Мобильного приложения.

8.4. Используя сайты, Мобильное приложение и иные технические средства, разработанные и принадлежащие Банку, Субъект персональных данных дает Устанавливая и используя сайты, мобильные приложения и другие технические средства, разработанные и принадлежащие Банку, Пользователь дает Банку согласие на сбор, обработку и хранение истории посещаемых интернет-сайтов и страниц с целью предоставления ему персонализированных маркетинговых предложений от Банка и его партнеров, на отображение в используемых мобильных приложениях Банка сведений о бонусных программах партнеров Банка, если применимо.

8.5. Используя сайты, мобильные приложения и иные технические средства, разработанные и принадлежащие Банку, Субъект персональных данных дает на сбор и обработку информации об активности, а именно:

8.5.1. информации о браузере, операционной системе (в том числе разрядность, объем оперативной памяти, количество логических ядер), аппаратном идентификаторе, названии и модели устройстве, разрешении экрана, глубины цвета, часовом поясе, поддерживаемых языках;

8.5.2. ID оконечного абонентского устройства в сетях связи (абонентский номер), ID электронного почтового ящика (электронная почта);

8.5.3. ID страниц в социальных сетях;

8.5.4. информации об интересах Субъекта персональных данных, с целью анализа активности и сегментации клиентской аудитории, в том числе для определения потребностей Субъектов персональных данных – клиентов Банка в соответствующих продуктах Банка, оптимизации интернет-ресурсов Банка с учетом индивидуальных особенностей и предпочтений клиентов Банка.

8.6. При использовании мобильного приложения Банка, Субъект персональных данных представляет следующие доступы к следующим данным в Мобильном приложении в соответствии с Приложением № 1 к Регламенту.

8.7. Банк осуществляет обработку только той информации и только для тех целей, которые определены в Приложении № 1 к Регламенту.

8.7. Информация пользователя может сохраняться на ресурсах Банка в течение срока действия договорных отношений между Банком и Клиентом в отношении Мобильного приложения, а также в течение 5 лет после расторжения таких договоров.

Информация Клиента может быть предоставлена государственным органам в соответствии с требованиями действующего законодательства.

9. Организация системы управления процессом обработки персональных данных.

9.1. Обработка персональных данных Субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных Законодательством о персональных данных.

9.2. Банк вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено законодательством РТ. Такая Обработка персональных данных осуществляется только на основании договора, заключенного между Банком и третьим лицом, в котором должны быть определены:

9.2.1. перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;

9.2.2. цели обработки персональных данных;

9.2.3. обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.

9.3. Банк передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством РТ.

9.4. Банк несет ответственность перед Субъектом персональных данных за действия лиц, которым Банк поручает обработку персональных данных Субъекта персональных данных.

9.5. Доступ к обрабатываемым персональным данным предоставляется только тем Работникам Банка, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.

9.6. Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, договором, или согласием Субъекта персональных данных на обработку его персональных данных.

9.7. Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено законодательством РТ.

9.8. Банк обеспечивает конфиденциальность персональных данных Субъекта персональных данных со своей стороны, со стороны своих аффилированных лиц, со стороны своих Работников, имеющих доступ к персональным данным физических лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с Субъектом персональных данных.

9.9. Обеспечение безопасности обрабатываемых персональных данных осуществляется Банком в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, составляющей банковскую и коммерческую тайну, с учетом требований законодательства о персональных данных, принятых в соответствии с ним нормативных правовых актов. Система информационной безопасности Банка непрерывно развивается и совершенствуется на базе требований международных и национальных стандартов информационной безопасности, а также лучших мировых практик.

10. Меры по обеспечению безопасности персональных данных при их обработке.

10.1. При обработке персональных данных Банк принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

10.2. Уполномоченный отдел банка по обеспечению безопасности персональных данных, является Служба Комплаенса Банка.

10.3. Обеспечение безопасности персональных данных достигается, в частности:

10.3.1. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

10.3.2. определением уровней защищенности персональных данных при их обработке в информационной системе персональных данных;

10.3.3. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;

10.3.4. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

10.3.5. учетом машинных носителей персональных данных;

10.3.6. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по устранению выявленных нарушений;

10.3.7. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

10.3.8. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

10.3.9. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности персональных данных при их обработке в информационной системе персональных данных;

10.3.10. изданием локальных актов по вопросам обработки и защиты персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РТ, устранение последствий таких нарушений;

10.3.11. осуществлением внутреннего контроля соответствия обработки персональных данных требованиям GDPR, законодательства РТ и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных актов Банка.

11. Заключительные положения.

11.1. Банк, а также его должностные лица и его Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством РТ.

11.2. Регламент является общедоступным и подлежит размещению на официальном сайте Банка или иным образом обеспечивается неограниченный доступ к настоящему документу.

11.3. Действие Регламента распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.

11.4. Регламент распространяется на персональные данные, полученные как до, так и после вступления в силу Регламента.

11.5. Регламент подлежит изменению, дополнению, в случае появления новых и изменения существующих законодательных актов и специальных нормативных документов об обработке и защите персональных данных. Новая редакция Регламента вступает в силу с момента ее опубликования или обеспечения неограниченного доступа иным образом, если иное не предусмотрено новой редакцией Регламента.

12. Приложение № 1 «Типы разрешений, получаемых Банком при использовании Клиентом Мобильного приложения».

Приложение № 1 к Регламенту.

Типы разрешений, получаемых Банком при использовании Клиентом Мобильного приложения.


Тип доступа Данные хранятся в Банке или передаются третьим лицам Данные обкатываются постоянно или краткосрочно Доступ к данным требуется приложением или пользователь может решать о предоставлении доступа данных Причины получения доступа к информации
1 Name Не передаются третьим лицам Постоянно Пользователь вправе ограничить доступ Функциональность, противодействие мошенничеству и для целей безопасности и соблюдение комплаенс процедур Банка, учет приложений Банком
2 Phone Не передаются третьим лицам Постоянно Пользователь вправе ограничить доступ Функциональность, противодействие мошенничеству и для целей безопасности и соблюдение комплаенс процедур Банка.
3 Location Не передаются третьим лицам Постоянно Пользователь вправе ограничить доступ Персонализация предложений Банка клиенту в зависимости от местонахождения клиента, работоспособность приложения. Информирование при использовании о местоположении подразделений Банка и устройств самообслуживания, а также о дополнительных сервисах, доступных пользователю и обусловленных его местоположением
4 Photos Не передаются третьим лицам Постоянно Пользователь вправе ограничить доступ Работоспособность приложения, учет приложений Банком, получение и использование фотоизображений в рамках услуг, реализуемых в Мобильном приложении, в том числе для создания и сохранения фотоизображений в профиле пользователя в Мобильном приложении, получения фотоизображений платежных документов и штрих-кодов с целью их распознавания и использованияудалённой для совершения операций по переводу денежных средств в Мобильном приложении
5 Contacts Не передаются третьим лицам Постоянно Пользователь вправе ограничить доступ Работоспособность приложения, противодействие мошенничеству и для целей безопасности и соблюдение комплаенс процедур Банка, номера телефонов из адресной книги контактов на устройстве пользователя используются в Мобильном приложении для облегчения совершения пользователями операций переводов денежных средств. При установке Мобильного приложения пользователь дополнительно информируется о целях использования в Мобильном приложении данных о номерах телефонов из его адресной книги. При использовании в Мобильном приложении данные о номерах телефонов копируются на серверы Банка и могут периодически обновляться.
6 App info and performance Не передаются третьим лицам Постоянно Пользователь не может ограничить доступ Аналитика, Информация об IP-адресе и адресе точки подключения пользователя. Повышение безопасности при использовании Приложения и совершения финансовых операций. Информация об SMS-сообщениях на устройстве Пользователя. Цель: сохранение и использование в Приложении SMS-сообщений, поступивших от Банка. Аудиоданные, полученные с использованием микрофона устройства (реализуется в Приложении при наличии технической возможности) Выполнение аудио звонков пользователя в Банк с использованием Мобильного приложения.
7 Device or other IDs Не передаются третьим лицам Постоянно

Пользователь не может ограничить доступ Разработка приложения, поиск багов, противодействие мошенничеству и для целей безопасности и соблюдение комплаенс процедур Банка, маркетинг и реклама; анализ возможных ошибок в работе Мобильного приложения и совершенствование работы Мобильного приложения.
Для целей анализа Банка может передавать информацию об операционной системе и модели устройства сторонним организациям в обезличенном виде.