"Политика государственной корпорации "Агентство по страхованию вкладов" в отношении обработки и защиты персональных данных" (утв. решением Правления ГК "Агентство по страхованию вкладов" от 23.08.2012, протокол N 71)

Утверждена

решением Правления Агентства

от 23 августа 2012 г. (протокол N 71)

ПОЛИТИКА

ГОСУДАРСТВЕННОЙ КОРПОРАЦИИ "АГЕНТСТВО ПО СТРАХОВАНИЮ

ВКЛАДОВ" В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. Настоящая политика (далее - Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о ПДн) и является основополагающим внутренним регулятивным документом государственной корпорации "Агентство по страхованию вкладов" (далее - Агентство), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее - ПДн), оператором которых является Агентство.

1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Агентстве, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.

1.3. Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Агентством как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.

1.4. Если в отношениях с Агентством участвуют наследники (правопреемники) и (или) представители субъектов ПДн, то Агентство становится оператором ПДн лиц, представляющих указанных субъектов. Положения Политики и другие внутренние регулятивные документы Агентства распространяются на случаи обработки и защиты ПДн наследников (правопреемников) и (или) представителей субъектов ПДн, даже если эти лица во внутренних регулятивных документах прямо не упоминаются, но фактически участвуют в правоотношениях с Агентством.

1.5. Для целей Политики под финансовыми организациями понимаются кредитные организации (банки), негосударственные пенсионные фонды, страховые организации, в том числе иностранные страховые организации, в которых Агентство осуществляет функции, определенные федеральными законами.

2. Основания обработки и состав персональных данных,

обрабатываемых в Агентстве

2.1. Обработка ПДн в Агентстве осуществляется в связи с выполнением возложенных законодательством Российской Федерации на Агентство функций, полномочий и обязанностей, определяемых:

1) Трудовым кодексом Российской Федерации;

2) Налоговым кодексом Российской Федерации;

3) Гражданским кодексом Российской Федерации;

4) Федеральным законом от 23 декабря 2003 г. N 177-ФЗ "О страховании вкладов в банках Российской Федерации";

5) Федеральным законом от 28 декабря 2013 г. N 422-ФЗ "О гарантировании прав застрахованных лиц в системе обязательного пенсионного страхования Российской Федерации при формировании и инвестировании средств пенсионных накоплений, установлении и осуществлении выплат за счет средств пенсионных накоплений";

6) Федеральным законом от 7 мая 1998 г. N 75-ФЗ "О негосударственных пенсионных фондах";

7) Федеральным законом от 2 декабря 1990 г. N 395-1 "О банках и банковской деятельности";

8) Федеральным законом от 26 октября 2002 г. N 127-ФЗ "О несостоятельности (банкротстве)";

9) Законом Российской Федерации от 27 ноября 1992 г. N 4015-1 "Об организации страхового дела в Российской Федерации" (далее - Закон об организации страхового дела);

10) Федеральным законом от 28 декабря 2022 г. N 555-ФЗ "О гарантировании прав участников негосударственных пенсионных фондов в рамках деятельности по негосударственному пенсионному обеспечению и формированию долгосрочных сбережений";

11) Федеральным законом от 15 декабря 2001 г. N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";

12) Федеральным законом от 30 декабря 2004 г. N 218-ФЗ "О кредитных историях";

13) Федеральным законом от 18 июля 2011 г. N 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц";

14) Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

15) Федеральным законом от 7 августа 2001 г. N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма";

16) Федеральным законом от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции" и иными актами законодательства Российской Федерации о противодействии коррупции;

17) Федеральным законом от 30 декабря 2006 г. N 281-ФЗ "О специальных экономических мерах и принудительных мерах";

18) Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи";

19) иными нормативными правовыми актами Российской Федерации, регулирующими отношения, связанные с обработкой ПДн в Агентстве.

Кроме того, обработка ПДн в Агентстве осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Агентство выступает в качестве работодателя, в связи с реализацией Агентством своих прав и обязанностей как юридического лица, а также при взаимодействии с членами Совета директоров Агентства.

Обработка Агентством ПДн также осуществляется для исполнения договора, стороной которого либо выгодоприобретателем (поручителем) по которому является субъект ПДн, для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем (поручителем) или с согласия субъекта ПДн на обработку его ПДн.

Перечень ПДн, обрабатываемых в соответствии с целями обработки ПДн, содержится в приложении 1 к Политике.

2.2. В целях осуществления функций по обязательному страхованию вкладов ПДн обрабатываются Агентством в ходе:

1) организации выплаты страхового возмещения вкладчикам, сведения о которых содержатся в реестрах обязательств банков перед вкладчиками;

2) рассмотрения заявлений вкладчиков о несогласии с размером возмещения по вкладам, подлежащего выплате (далее - заявление о несогласии), и приложенных к ним дополнительных документов, подтверждающих обоснованность требований вкладчиков;

3) учета перешедших Агентству прав требований вкладчиков в связи с предъявлением этих требований в рамках дел о несостоятельности (банкротстве) и принудительной ликвидации банков;

4) участия в проверках банков - участников системы обязательного страхования вкладов, проводимых Банком России по вопросам, отнесенным к компетенции Агентства.

При этом обрабатываются ПДн:

а) вкладчиков, указанных в реестрах обязательств банков перед вкладчиками, полученных Агентством от банков, в отношении которых наступил страховой случай;

б) вкладчиков, сведения о которых отсутствуют в реестрах обязательств банков перед вкладчиками, обратившимися в Агентство с заявлениями о несогласии;

в) представителей вкладчиков, наследников вкладчиков и их представителей, правопреемников вкладчиков и их представителей, единоличных исполнительных органов вкладчиков - юридических лиц и их представителей.

В целях осуществления функций по гарантированию прав застрахованных лиц в системе обязательного пенсионного страхования Российской Федерации ПДн обрабатываются Агентством в ходе:

1) организации выплаты гарантийного возмещения негосударственным пенсионным фондам - участникам системы гарантирования прав застрахованных лиц в системе обязательного пенсионного страхования Российской Федерации (далее соответственно - фонды - участники СГПН, застрахованные лица) или Фонду пенсионного и социального страхования Российской Федерации (далее совместно - страховщики по ОПС) при наступлении гарантийных случаев;

2) информирования и рассмотрения обращений застрахованных лиц и страховщиков по ОПС по вопросам, связанным с осуществлением ими своих прав и обязанностей в системе гарантирования прав застрахованных лиц;

3) участия в проверках фондов - участников СГПН, проводимых Банком России по вопросам, отнесенным к компетенции Агентства, а также в осуществлении полномочий наблюдателей Банка России в порядке и случаях, предусмотренных законодательством Российской Федерации;

При этом обрабатываются ПДн:

а) застрахованных лиц, сведения о которых представлены Агентству страховщиками по ОПС, для принятия решения о выплате гарантийного возмещения, при наступлении гарантийных случаев;

б) застрахованных лиц, умерших застрахованных лиц и их правопреемников, указанных в реестре обязательств фонда - участника СГПН перед застрахованными лицами, полученном Агентством от временной администрации фонда - участника СГПН, в отношении которого наступил гарантийный случай;

в) застрахованных лиц, умерших застрахованных лиц и их правопреемников, включенных в реестр обязательств фонда - участника СГПН перед застрахованными лицами, полученный Агентством в ходе проведения проверки, проводимой Банком России по вопросам, отнесенным к компетенции Агентства;

г) застрахованных лиц, умерших застрахованных лиц и их правопреемников для включения в реестр требований кредиторов при наступлении гарантийных случаев.

В целях осуществления функций по гарантированию прав участников негосударственных пенсионных фондов (далее - фонды - участники СГПУ) в рамках деятельности по негосударственному пенсионному обеспечению и формированию долгосрочных сбережений ПДн обрабатываются Агентством в ходе:

1) организации выплаты гарантийного возмещения участнику, правопреемнику участника при наступлении гарантийного случая;

2) информирования и рассмотрения обращений участников, правопреемников участников, вкладчиков, уполномоченных вкладчиков и фондов - участников СГПУ по вопросам, связанным с осуществлением ими своих прав и обязанностей в системе гарантирования прав участников;

3) перевода гарантийного возмещения в другой фонд - участник СГПУ по требованию вкладчика, уполномоченного вкладчика;

4) участия в проверках фондов - участников СГПУ, проводимых Банком России по вопросам, отнесенным к компетенции Агентства.

При этом обрабатываются ПДн участников негосударственных пенсионных фондов по договорам негосударственного пенсионного обеспечения (договорам долгосрочных сбережений), правопреемников участников (наследников) и представителей участников и правопреемников, вкладчиков (уполномоченных вкладчиков) негосударственных пенсионных фондов, представителей физических и юридических лиц, ответственных актуариев.

В целях осуществления функций, возложенных на Агентство Законом об организации страхового дела, ПДн обрабатываются Агентством в ходе организации выплат из денежных средств гарантийного депозита филиала иностранной страховой организации, осуществляющего страховую деятельность на территории Российской Федерации.

При этом обрабатываются ПДн страхователей (перестрахователей), застрахованных лиц, выгодоприобретателей по договорам страхования (перестрахования), заключенным иностранной страховой организацией, требования которых подлежат удовлетворению Агентством за счет денежных средств гарантийного депозита филиала иностранной страховой организации, представителей профессионального объединения страховщиков и кредитных организаций, в которых открыт специальный банковский счет.

2.3. В целях осуществления функций временной администрации, конкурсного управляющего (ликвидатора) финансовыми организациями ПДн обрабатываются Агентством в ходе:

1) исполнения обязанностей по обеспечению формирования реестра обязательств банка перед вкладчиками, рассмотрению заявлений о несогласии и приложенных к ним дополнительных документов, подтверждающих обоснованность требований вкладчиков, внесению изменений в реестр обязательств банка перед вкладчиками;

2) установления требований кредиторов и ведения реестра требований кредиторов (реестра заявленных требований кредиторов) с целью организации собраний кредиторов и осуществления расчетов с кредиторами;

3) исполнения обязанностей временной администрации, конкурсного управляющего (ликвидатора), связанных с поиском, выявлением и возвратом имущества, признанием сделок финансовых организаций недействительными, отказом от исполнения договоров;

4) совершения действий, направленных на своевременное установление и полный учет обязательств должников финансовых организаций, в рамках исполнения обязанностей конкурсного управляющего (ликвидатора) по предъявлению требований к дебиторам;

5) обработки информации о работниках ликвидируемых финансовых организаций, необходимой для трудовых и иных непосредственно связанных с трудовыми отношений, а также о лицах, ранее состоявших в трудовых отношениях с ликвидируемыми финансовыми организациями, организации собраний работников (бывших работников, являющихся кредиторами);

6) осуществления мероприятий по ведению реестров владельцев именных ценных бумаг (списков участников) ликвидируемых финансовых организаций с целью организации собраний кредиторов;

7) обработки информации, необходимой в связи с гражданско-правовыми отношениями ликвидируемых финансовых организаций с физическими лицами;

8) осуществления действий, направленных на привлечение руководителей и членов коллегиальных исполнительных органов, а также лиц, ранее занимавших указанные должности, учредителей (участников) ликвидируемых финансовых организаций к субсидиарной и иной ответственности;

9) организации торгов по продаже имущества ликвидируемых финансовых организаций, определения победителей торгов, заключения гражданско-правовых договоров о продаже имущества;

10) рассмотрения обращений, связанных с осуществлением Агентством функций временной администрации, конкурсного управляющего (ликвидатора) финансовыми организациями;

11) оказания информационно-консультационной помощи заинтересованным лицам по вопросам осуществления Агентством функций временной администрации, конкурсного управляющего (ликвидатора) финансовыми организациями;

12) выявления наличия или отсутствия в письменной форме требований лиц, указанных в пункте 1 статьи 33.9 Закона об организации страхового дела, формирования перечня требований, а также принятия решения о необходимости осуществления выплат из денежных средств гарантийного депозита филиала иностранной страховой организации по договорам страхования (перестрахования), при исполнении обязанностей временной администрации иностранной страховой организации;

13) распределения между участниками (акционерами) ликвидируемых организаций непроданного имущества и имущества этих организаций, оставшегося после расчетов с кредиторами;

14) обеспечения исполнения кредитными организациями мероприятий по внесению изменений в реестры обязательств банков перед вкладчиками в ходе конкурсного производства (ликвидации);

15) проведения мероприятий при исполнении обязательств финансовой организации за счет средств, предоставленных ее учредителями (участниками, акционерами) или третьим лицом;

16) исполнения обязанностей по формированию и предоставлению в налоговый орган информации о суммах выплаченных процентов по вкладам (остаткам на счетах) в банках, находящихся на территории Российской Федерации;

17) исполнения обязанностей по учету денежных средств и обязательств кредиторов негосударственного пенсионного фонда, переданных в Агентство.

При этом обрабатываются ПДн:

а) кредиторов, их единоличных и членов коллегиальных органов управления, учредителей (участников), акционеров, а также контролирующих лиц и бенефициарных владельцев кредиторов; вкладчиков и их полномочных представителей, членов комитета кредиторов, должников финансовых организаций, включая физических лиц, состоящих (состоявших) в гражданско-правовых отношениях с финансовой организацией;

б) лиц, состоящих и состоявших в трудовых отношениях с ликвидируемыми финансовыми организациями;

в) членов единоличных и коллегиальных органов управления, а также лиц, ранее занимавших указанные должности, учредителей (участников), акционеров, контролирующих лиц и бенефициарных владельцев ликвидируемых финансовых организаций;

г) приобретателей имущества (участников торгов по продаже имущества) ликвидируемых финансовых организаций;

д) иных лиц, обращающихся в Агентство как к временной администрации по управлению финансовыми организациями, конкурсному управляющему (ликвидатору) финансовыми организациями, участвующих в деле о банкротстве либо в арбитражном процессе по делу о банкротстве, их представителей;

е) контрагентов финансовых организаций;

ж) лиц, указанных в пункте 1 статьи 33.9 Закона об организации страхового дела.

2.4. В целях осуществления функций по предупреждению банкротства банков (далее - санация) ПДн обрабатываются Агентством в ходе:

1) учета, обслуживания и сопровождения работы с дебиторской задолженностью контрагентов по кредитным и иным договорам перед санируемыми банками, в том числе осуществления взыскания в судебном порядке, обращения в правоохранительные и другие органы, и т.п.;

2) признания сделок санируемых банков недействительными, отказа от исполнения сделок;

3) обработки информации о работниках и бывших работниках санируемых банков, необходимой для трудовых и иных непосредственно связанных с ними отношений;

4) обработки информации, необходимой в связи с гражданско-правовыми отношениями санируемых банков с физическими лицами;

5) рассмотрения обращений, связанных с деятельностью Агентства по предупреждению банкротства (санации) банков.

При этом обрабатываются ПДн:

а) руководителей и членов коллегиальных исполнительных органов, а также лиц, ранее занимавших указанные должности, учредителей (участников) санируемых банков, учредителей (участников) банков, в отношении которых осуществляются меры по предупреждению банкротства;

6) должников (заемщиков) санируемых банков;

в) кредиторов (в том числе вкладчиков, контрагентов, работников) санируемых банков;

г) работников санируемых банков и иных лиц, привлекаемых Агентством (временной администрацией) на основании гражданско-правовых договоров для решения задач, возникающих в связи с предупреждением банкротства (санацией) банков;

д) иных лиц, обращающихся в Агентство в связи с предупреждением банкротства (санацией) банков.

2.5. В связи с трудовыми и иными непосредственно связанными с ними отношениями, в которых Агентство выступает в качестве работодателя, обрабатываются ПДн лиц, претендующих на трудоустройство в Агентство, работников Агентства (далее - Работники) и бывших Работников.

2.6. В связи с реализацией своих прав и обязанностей как юридического лица Агентством обрабатываются ПДн физических лиц, являющихся контрагентами (возможными контрагентами) Агентства по гражданско-правовым договорам, ПДн руководителей, членов коллегиальных исполнительных органов и представителей юридических лиц, ПДн иных физических лиц, представленные участниками закупки, физических лиц, ПДн которых используются для осуществления пропускного режима в занимаемых Агентством помещениях, а также граждан, письменно обращающихся в Агентство по вопросам его деятельности (помимо лиц, указанных в пунктах 2.2 - 2.4 Политики).

2.7. В рамках взаимодействия с членами Совета директоров Агентства ПДн обрабатываются в ходе формирования данного органа управления Агентством.

2.8. (Пункт утратил силу)

2.9. ПДн получаются и обрабатываются Агентством на основании федеральных законов и иных нормативных правовых актов Российской Федерации, а в необходимых случаях - при наличии письменного согласия субъекта ПДн.

2.10. В целях исполнения возложенных на Агентство функций Агентство в установленном порядке вправе поручить обработку ПДн третьим лицам.

В договоры с лицами, которым Агентство поручает обработку ПДн, включаются условия, обязывающие таких лиц соблюдать предусмотренные законодательством требования к обработке и защите ПДн.

2.11. Агентство предоставляет обрабатываемые им ПДн государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих ПДн.

2.12. В Агентстве не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПДн в Агентстве, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Агентством ПНд уничтожатся или обезличиваются.

2.13. При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости - и актуальность по отношению к целям обработки. Агентство принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.

2.14. Если в соответствии с федеральным законом предоставление ПДн и (или) получение Агентством согласия на обработку ПДн являются обязательными, Агентство разъясняет субъекту ПДн юридические последствия отказа предоставить ПДн и (или) дать согласие на обработку ПДн.

3. Принципы обеспечения безопасности персональных данных

3.1. Основной задачей обеспечения безопасности ПДн при их обработке в Агентстве является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.

3.2. Для обеспечения безопасности ПДн Агентство руководствуется следующими принципами:

1) законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;

2) системность: обработка ПДн в Агентстве осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;

3) комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Агентства (далее - ИС) и других имеющихся в Агентстве систем и средств защиты;

4) непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;

5) своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;

6) преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Агентстве с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;

7) персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;

8) минимизация прав доступа: доступ к ПДн предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;

9) гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем персональных данных Агентства (далее - ИСПДн), а также объема и состава обрабатываемых ПДн;

10) открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты ПДн Агентства (далее - СЗПДн) не дают возможности преодоления имеющихся в Агентстве систем защиты возможными нарушителями безопасности ПДн;

11) научная обоснованность и техническая реализуемость: уровень мер по защите ПДн определяется современным уровнем развития информационных технологий и средств защиты информации;

12) специализация и профессионализм: реализация мер по обеспечению безопасности ПДн и эксплуатация СЗПДн осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;

13) эффективность процедур отбора кадров и выбора контрагентов: кадровая политика Агентства предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн; минимизация вероятности возникновения угрозы безопасности ПДн, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Агентства до заключения договоров;

14) наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;

15) непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.

4. Доступ к обрабатываемым персональным данным

4.1. Доступ к обрабатываемым в Агентстве ПДн имеют лица, уполномоченные приказом Агентства, лица, которым Агентство поручило обработку ПДн на основании заключенного договора, а также лица, чьи ПДн подлежат обработке.

4.2. В целях разграничения полномочий при обработке ПДн полномочия по реализации каждой определенной законодательством функции Агентства закрепляются за соответствующими структурными подразделениями Агентства.

Доступ к ПДн, обрабатываемым в ходе реализации полномочий, закрепленных за конкретным структурным подразделением Агентства, могут иметь только Работники этого структурного подразделения. Работники допускаются к ПДн, связанным с деятельностью другого структурного подразделения, только для чтения и подготовки обобщенных материалов в части вопросов, касающихся структурного подразделения этих Работников.

4.3. Доступ Работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Агентства.

Допущенные к обработке ПДн Работники под роспись знакомятся с документами Агентства, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных Работников.

4.4. Субъект ПДн имеет право на получение сведений, касающихся обработки его ПДн, вправе требовать уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными. Типовая форма запроса субъекта ПДн содержится в приложении 1 к Политике.

Права субъекта ПДн на доступ к его ПДн могут быть ограничены в соответствии с законодательством Российской Федерации, в том числе в случаях, если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.

Порядок доступа субъекта ПДн к его ПДн, обрабатываемым Агентством, определяется в соответствии с законодательством Российской Федерации.

Субъект ПДн вправе отозвать свое согласие на обработку ПДн или потребовать прекращения Агентством передачи (распространения, предоставления, доступа) ПДн, ранее разрешенных субъектом ПДн для распространения, обратившись в Агентство лично и предоставив или направив в Агентство соответствующее обращение или требование в произвольной письменной форме или электронный документ, подписанный усиленной квалифицированной электронной подписью в соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" по почтовому или электронному адресу, указанному на официальном сайте Агентства в информационно-телекоммуникационной сети "Интернет" https://www.asv.org.ru.

Обращение об отзыве согласия на обработку ПДн должно содержать:

- фамилию, имя, отчество (при наличии);

- сведения паспорта или иного документа, удостоверяющего личность (серия и номер, наименование органа, выдавшего документ, удостоверяющий личность, дата выдачи, код подразделения (при наличии) и др.);

- сведения о документах или иную информацию, подтверждающие факт обработки ПДн, передачи (распространения, предоставления, доступа) Агентством;

- подпись субъекта ПДн.

Требование субъекта ПДн о прекращении передачи (распространения, предоставления, доступа) ПДн, ранее разрешенных субъектом ПДн для распространения, должно содержать:

- фамилию, имя, отчество (при наличии);

- сведения паспорта или иного документа, удостоверяющего личность (серию и номер; наименование органа, выдавшего документ, удостоверяющий личность; дату выдачи; код подразделения (при наличии) и др.);

- контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПДн;

- перечень ПДн, обработка которых подлежит прекращению;

- подпись субъекта ПДн.

Типовые формы отзыва согласия на обработку ПДн и требования субъекта ПДн о прекращении передачи (распространения, предоставления, доступа) ПДн, разрешенных субъектом ПДн для распространения, содержатся в приложении 2 к Политике.

В случае отзыва субъектом ПДн согласия на обработку ПДн Агентство вправе продолжить обработку Пдн без согласия субъекта ПДн при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о ПДн.

5. Реализуемые требования к защите персональных данных

5.1. Агентство принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Законом о ПДн и принятыми в соответствии с ним нормативными правовыми актами, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

5.2. Состав указанных в пункте 5.1 Политики мер, включая их содержание и выбор средств защиты ПДн, определяется, а внутренние регулятивные документы об обработке и защите ПДн утверждаются (издаются) Агентством исходя из требований:

- Закона о ПДн;

- главы 14 Трудового кодекса Российской Федерации;

- постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- постановления Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- постановления Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";

- приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- приказа ФСБ России от 10 июля 2014 г. N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

- иных нормативных правовых актов Российской Федерации об обработке и защите ПДн.

5.3. В предусмотренных законодательством случаях обработка ПДн осуществляется Агентством с согласия субъектов ПДн.

Агентством производится устранение выявленных нарушений законодательства об обработке и защите ПДн.

5.4. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше чем этого требуют цели обработки ПДн, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

5.5. Агентством осуществляется ознакомление работников Агентства, непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе требованиями к защите ПДн, Политикой и иными внутренними регулятивными документами по вопросам обработки ПДн, и (или) обучение указанных работников по вопросам обработки и защиты ПДн.

5.6. При обработке ПДн с использованием средств автоматизации Агентством, в частности, применяются следующие меры:

1) назначается Ответственный за организацию обработки ПДн, являющийся одним из заместителей Генерального директора Агентства, определяется его компетенция;

2) утверждаются (издаются) внутренние регулятивные документы по вопросам обработки и защиты ПДн, в том числе определяющие для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки обработки и хранения ПДн, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, также устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Закону о ПДн и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, Политике и внутренним регулятивным документам Агентства;

4) проводится оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн, который может быть причинен субъектам ПДн в случае нарушения Закона о ПДн, определяется соотношение указанного вреда и принимаемых Агентством мер, направленных на обеспечение исполнения обязанностей, предусмотренных Законом о ПДн.

5.7. Обеспечение безопасности ПДн в Агентстве при их обработке в ИСПДн достигается в Агентстве, в частности, путем:

1) определения угроз безопасности ПДн. Тип актуальных угроз безопасности ПДн и необходимый уровень защищенности ПДн определяются в соответствии с требованиями законодательства Российской Федерации и с учетом проведения оценки возможного вреда;

2) определения в установленном порядке состава и содержания мер по обеспечению безопасности ПДн, выбора средств защиты информации. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн, а также с учетом экономической целесообразности Агентством могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности ПДн. В этом случае в ходе разработки СЗПДн проводится обоснование применения компенсирующих мер для обеспечения безопасности ПДн;

3) применения организационных и технических мер по обеспечению безопасности ПДн, необходимых для выполнения требований к защите ПДн, обеспечивающих определенные уровни защищенности ПДн, включая применение средств защиты информации, прошедших процедуру оценки соответствия, когда применение таких средств необходимо для нейтрализации актуальных угроз, а также в составе которых реализована функция уничтожения информации при осуществлении уничтожения персональных данных.

В Агентстве, в том числе, осуществляются:

оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПДн;

учет машинных носителей ПДн, обеспечение их сохранности;

обнаружение фактов несанкционированного доступа к ПДн и принятие соответствующих мер;

восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установление правил доступа к обрабатываемым ПДн, а также обеспечение регистрации и учета действий, совершаемых с ПДн;

организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

контроль за принимаемыми мерами по обеспечению безопасности ПДн, уровня защищенности ИСПДн.

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Агентство обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством.

5.8. Обеспечение защиты ПДн в Агентстве при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:

1) обособления ПДн от иной информации;

2) недопущения фиксации на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы;

3) использования отдельных материальных носителей для обработки каждой категории ПДн;

4) принятия мер по обеспечению раздельной обработки ПДн при несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн;

5) соблюдения требований:

к раздельной обработке зафиксированных на одном материальном носителе ПДн и информации, не относящейся к ПДн;

уточнению ПДн;

уничтожению или обезличиванию части ПДн;

использованию типовых форм документов, характер информации в которых предполагается или допускается включение в них ПДн;

ведению журналов, содержащих ПДн, необходимых для выдачи однократных пропусков субъектам ПДн в занимаемые Агентством здания и помещения;

хранению ПДн, в том числе к обеспечению раздельного хранения ПДн (материальных носителей), обработка которых осуществляется в различных целях, и установлению перечня лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

5.9. Агентство в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн.

Приложение 1

к Политике государственной корпорации

"Агентство по страхованию вкладов"

в отношении обработки и защиты

персональных данных

ПЕРЕЧЕНЬ

ПДН, ОБРАБАТЫВАЕМЫХ В ГОСУДАРСТВЕННОЙ КОРПОРАЦИИ "АГЕНТСТВО

ПО СТРАХОВАНИЮ ВКЛАДОВ"

Приложение 2

к Политике государственной корпорации

"Агентство по страхованию вкладов"

в отношении обработки и защиты

персональных данных

ТИПОВАЯ ФОРМА

Приложение 3

к Политике государственной корпорации

"Агентство по страхованию вкладов"

в отношении обработки и защиты

персональных данных

ТИПОВАЯ ФОРМА 1

ТИПОВАЯ ФОРМА 2