Политика ПАО «Банк «Санкт-Петербург» в отношении обработки персональных данных
Утверждена первым заместителем председателя Правления - главным исполнительным директором 26.03.2026 № НД-01Р/0110.
1. Общие положения
1.1. Настоящая Политика ПАО «Банк «Санкт-Петербург» в отношении обработки персональных данных (далее – Политика) устанавливает общие подходы к обработке персональных данных физических лиц в ПАО «Банк «Санкт-Петербург», определяет цели и правовое основание обработки ПДн, а также категории ПДн, обрабатываемых в Банке.
1.2. Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", а также учитывает требования:
- Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15.09.2008 № 687;
- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утверждены постановлением Правительства РФ от 01.11.2012 №1119;
- Приказ ФСТЭК от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
1.3. Настоящая Политика регламентирует следующие вопросы:
- порядок обработки ПДн в различных бизнес-процессах Банка;
- организация приема и обработки обращений/запросов субъектов ПДн;
- перечень мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в сфере обработки ПДн, устранение последствий таких нарушений;
- порядок ознакомления работников Банка с законодательством и внутренними документами о ПДн;
- порядок формирования и направления уведомлений об обработке ПДн/ информационных писем о внесении изменений в ранее представленные сведения в уполномоченный орган по защите прав субъектов ПДн;
- перечень правовых, организационных и технических мер по обеспечению безопасности ПДн;
- порядок осуществления внутреннего контроля за соблюдением Банком и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн.
1.4. В целях обеспечения выполнения Банком обязанностей, предусмотренных законодательством РФ о ПДн, в Банке назначается лицо, ответственное за организацию обработки ПДн (Ответственный по ПДн).
1.5. Термины, используемые в настоящей Политике:
Банк - ПАО «Банк «Санкт-Петербург», являющийся в рамках Закона №152-ФЗ Оператором по обработке персональных данных, организующий и (или) осуществляющий самостоятельно или совместно с другими лицами обработку персональных данных, а также определяющий цели обработки и состав персональных данных, подлежащих обработке, действия(операции) совершаемые с персональными данными.
Закон № 152-ФЗ - Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных".
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. Банк является оператором;
Обработка ПДн – любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без их использования. Обработка ПДн включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;
Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц;
Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн;
Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах, данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Субъект ПДн - физическое лицо, чьи персональные данные Банк обрабатывает, предполагает обрабатывать в будущем или ранее обрабатывал.
Конфиденциальность ПДн – обязательное для соблюдения Банком или иным лицом, получившим доступ к ПДн требование, не раскрывать третьим лицам и не допускать их распространения без согласия субъекта ПДн или наличия иного законного основания.
Ответственный за ПДн – работник Банка, назначенный распоряжением руководителя Банка ответственным за организацию обработки ПДн в Банке.
ПДн, разрешенные субъектом ПДн для распространения - ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Федеральным законом №152-ФЗ.
2. Правовые основания обработки персональных данных.
2.1. Правовыми основаниями обработки ПДн в зависимости от целей бизнес процесса, предусматривающего такую обработку ПДн Банком могут являться следующие законодательные и нормативные акты, в том числе;
- Федеральный закон: от 02 декабря 1990 г. № 395-1 «О банках и банковской деятельности»; - Федеральный закон от 07 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»,
- Федеральный закон от 30.12.2004 г. № 218-ФЗ «О кредитных историях»;
- Федеральный закон от 22 апреля 1996 года № 39-ФЗ «О рынке ценных бумаг»,
- Федеральный закон от 23 декабря 2003 года № 177-ФЗ «О страховании вкладов физических лиц в банках РФ»;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»,
- Трудовой кодекс РФ;
- Гражданский кодекс РФ,
- Налоговый кодекс РФ,
- и иные нормативные, правовые акты государственных органов, Банка России, органов местного самоуправления, принятых на основании и во исполнение федеральных законов.
2.2. Устав Банка;
2.3. Договоры, заключаемые между Банком и субъектами ПДн. в том числе в случае реализации Банком своего права на уступку прав (требований) по таким договорам, между Банком и иным лицом, поручившим Банку обработку ПДн, а также для заключения договоров, стороной которых являются субъекты ПДн.
2.4. Согласия на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Банка).
3. Цели обработки персональных данных
3.1. Обработка ПДн в Банке ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
3.2. Объем, характер обрабатываемых ПДн, способы обработки ПДн в Банке соответствуют заявленным целям обработки ПДн.
3.3. Цели обработки ПДн в Банке определяются на основании, анализа правовых актов, регламентирующих деятельность Банка, целей фактически осуществляемой Банком деятельности, а также деятельности, которая предусмотрена учредительными документами Банка, и конкретными бизнес-процессами Банка.
3.4. Обработка ПДн в Банке осуществляется в следующих целях:
- Осуществления банковской деятельности (включая банковские операции); оказания клиентам - физическим лицам полного комплекса банковских услуг, соблюдения требований законодательства о противодействии легализации доходов, полученных преступным путем, и финансированию терроризма; соблюдения требований налогового законодательства, исполнительного производства; соблюдения банковской тайны;
- осуществления прав владельцев ценных бумаг, выпущенных (выданных) оператором и иными лицами;
- направления рекламных и/или информационных материалов с помощью средств связи, в том числе по сетям электросвязи посредством использования телефонной и подвижной радиотелефонной связи (включая СМС - сообщения), а также по сети «Интернет»
- размещения сведений в Единой система идентификации и аутентификации физических лиц с использованием биометрических персональных данных;
- осуществления финансово-хозяйственной деятельности Оператора;
- обработки запросов и обращений субъектов персональных данных;
- организации кадрового учета и кадрового делопроизводства в соответствии с требованиями законодательства РФ, в том числе: заключения и исполнения обязательств по трудовым и гражданско-правовым договорам
- подбора персонала (соискателей) на вакантные должности Оператора;
- формирования и ведение кадрового резерва и резерва соискателей Оператора;
- обеспечения прохождения ознакомительной, производственной или преддипломной практики на основании договора с образовательной организацией;
- предоставления добровольного медицинского страхования;
- обеспечения пропускного режима на территорию Оператора.
4. Права и обязанности Банка
4.1. В случаях, установленных законодательством Российской Федерации в области ПДн:
4.1.1. Банк вправе:
- предоставлять ПДн субъектов ПДн третьим лицам, если это предусмотрено требованиями действующего законодательства (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении ПДн субъекту ПДн в случаях, предусмотренных законодательством;
4.1.2. Банк обязан:
- производить обработку ПДн при наличии правовых оснований;
- принимать меры по обеспечению конфиденциальности и безопасности ПДн;
- обеспечить неограниченный доступ к документу, определяющему его Политику в отношении обработки ПДн;
- сообщать субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с такими ПДн при обращении субъекта ПДн или его представителя;
- предоставлять ответы на запросы/обращения субъектов ПДн;
- принимать меры по устранению нарушений законодательства, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн в случае их выявления.
- производить информирование об инцидентах в соответствии с ч.12.13.14 ст.19 Закона №152-ФЗ;
- не отказывать в обслуживании в случае отказа лица, обратившегося за соответствующими услугами, предоставить биометрические персональные данные и/или дать согласие на обработку персональных данных, если в соответствии с федеральными законами получение Банком согласия на обработку персональных данных не является обязательным;
- выполнять иные предусмотренные законодательством Российской Федерации обязанности.
5. Права субъекта ПДн
5.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей его ПДн, включая:
- подтверждение факта обработки ПДн Банком;
- правовые основания и цели обработки ПДн;
- цели и применяемые Банком способы обработки ПДн;
- наименование и место нахождения Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Банком или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных настоящим Федеральным законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Банка, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Банком обязанностей, установленных статьей 18.1 Закона №152-ФЗ.
- иные сведения, предусмотренные федеральными законами.
5.2. Право субъекта ПДн на получение информации, касающейся обработки его ПДн, может быть ограничено в случаях, установленных Законом №152-ФЗ.
5.3. Субъект ПДн имеет право потребовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки
5.4. Субъект ПДн имеет право обжаловать в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия при обработке его ПДн;
5.5. Субъект ПДн имеет право защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6. Объем и категории, обрабатываемых персональных данных, категории субъектов ПДн.
6.1 Перечень ПДн, в том числе биометрических ПДн, обрабатываемых в Банке, определяется в соответствии с законодательством Российской Федерации и внутренними документами Банка с учетом целей их обработки и в соответствии с Уведомлением об обработке ПДн, направленным Банком в Роскомнадзор.
6.2. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
6.3. В Банке обрабатываются ПДн, принадлежащие следующим категориям субъектов ПДн:
- работникам Банка,
- кандидатам на вакантные должности в Банке,
- студентам(практикантам);
- пользователям сайта Банка;
- клиентам/контрагентам Банка (представителям клиентов/контрагентов Банка);
- работникам контрагентов/партнеров Банка, субподрядчиков, поставщиков и других юридических лиц, имеющих договорные отношения с Банком;
- владельцам ценных бумаг, выпущенных (выданных) Банком;
- членам и кандидатам в члены органов управления и контроля Банка;
- единоличному исполнительному органу Банка;
- аффилированным лицам Банка;
- лицам, являющимся владельцами и/или состоящим в органах управления юридических лиц - владельцев именных ценных бумаг Банка (в случаях, предусмотренных законодательством);
- лицам, у которых может быть заинтересованность в совершении Банком сделок, согласно ст. 81 ФЗ от 26.12.1995 №208-ФЗ «Об акционерных обществах»;
- руководителям, работникам, участникам (акционерам, товарищам, пайщикам) контрагентов (потенциальных контрагентов) Банка, юридических лиц - клиентов (потенциальных клиентов) Банка.
- выгодоприобретателям, распорядителям, бенефициарным владельцам, поручителям;
- иным субъектам, вступившим или имеющим намерения вступить в договорные отношения с Банком;
- иным субъектам, обращающимся с запросами в Банк (при необходимости обработки их ПДн для целей выполнения их запросов).
6.4. В Банке обрабатываются следующие категории ПДн: фамилия, имя, отчество; дата и место рождения; адрес; семейное положение; имущественное положение; образование; профессия; доходы.
6.5. Другие категории ПДн: кредитная история физических лиц; ИНН, СНИЛС, гражданство, данные документов, удостоверяющих личность, данные миграционных карт, данные документов, подтверждающих право пребывания на территории РФ, номера телефонов, факсов, адреса электронной почты, должность, место работы, адрес места работы, сведения о наличии (отсутствии) судимости субъектов персональных данных для случаев, прямо предусмотренных федеральными законами, данные о воинской обязанности и иные категории в соответствии с требованиями действующего законодательства.
6.6. Производится обработка биометрических ПДн:
- фотографических изображений;
- информации об особенностях строения папиллярных узоров пальцев рук работников Банка;
- информации об особенностях строения рисунка вен ладоней работников Банка и клиентов.
6.7. В Банке запрещена обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
6.8. Обработка данных о состоянии здоровья допускается только в отношении ПДн работников и кандидатов на работу в подразделения Банка в целях исполнения двусторонних договоров, регулирующих трудовые отношения Банка и его работника, а также в целях исполнения действующего трудового законодательства.
7. Порядок и условия обработки персональных данных.
7.1. Обработка ПДн в Банке осуществляется с использованием средств автоматизации и без использования таких средств следующими способами (включая, но не ограничиваясь): сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
7.2. Обработка ПДн в Банке осуществляется с согласия субъекта ПДн кроме случаев, установленных законодательством Российской Федерации, с соблюдением требований по обеспечению конфиденциальности и безопасности ПДн, установленных Законом №152-ФЗ.
- обработка биометрических ПДн, осуществляется только при наличии согласия в письменной форме субъекта ПДн, оформленного в соответствии с п.4 ст.9 Закона №152-ФЗ;
- обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется на основании согласия, которое оформляется отдельно от иных согласий субъекта ПДн в соответствии с требованиями, установленными ст. 10.1 Закона №152-ФЗ;
- обработка ПДн субъектов, не достигших совершеннолетия, осуществляется при наличии согласия законного представителя такого субъекта.
7.3. В Банке запрещено принятие решений на основании исключительно автоматизированной обработки ПДн, которые порождают юридические последствия, в отношении Субъекта ПДн, или иным образом затрагивают его права и законные интересы, кроме случаев и условий, предусмотренных законодательством Российской Федерации.
7.4. Банк вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора, обязательными условиями которого являются соблюдение этим лицом принципов и правил обработки ПДн, предусмотренных Законом №152-ФЗ, обеспечение конфиденциальности ПДн, требований, предусмотренных частью 5 статьи 18 и 18.1, а также соблюдение требований к защите обрабатываемых ПДн в соответствии со ст. 19, в том числе требования об уведомлении Банка о случаях, предусмотренных ч.3.1 ст.21 Закона №152.
7.5. ПДн не раскрываются третьим лицам и не распространяются Банком иным образом без согласия Субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации. При раскрытии (предоставлении) ПДн третьим лицам соблюдаются требования к защите обрабатываемых ПДн в соответствии с требованиями Закона №152-ФЗ.
7.6. Сроки обработки и хранения ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, требованиями законодательства РФ и подзаконных актов, включая нормативные документы Банка России, сроком исковой давности, приказом Федерального архивного агентства (Росархив) от 20.12.2019 г. N 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».
7.7. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, за исключением случаев, когда срок хранения ПДн не установлен Федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.
7.8. Условием прекращения обработки ПДн является достижение целей обработки ПДн, истечение срока действия согласия/ отзыв согласия субъекта ПДн на обработку его ПДн, в случае если иной срок не предусмотрен действующим законодательством, а также выявление неправомерной обработки ПДн.
7.9. Обработка ПДн осуществляется Банком с использованием баз данных находящихся на территории Российской федерации в соответствии с требованиями ч.5 ст.18 Закона № 152-ФЗ.
7.10. При обработке документов на бумажном носителе, содержащих сведения о субъектах ПДн Банком соблюдаются требования, установленные Постановлением Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», а именно, определены места хранения, обеспечены условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.
7.11. Работники Банка, осуществляющие обработку ПДн, несут ответственность за исполнение требований законодательства, настоящей Политики и иных внутренних документов Банка, разработанных в развитие и дополнение настоящей Политики, при осуществлении конкретных видов банковской деятельности, связанных с обработкой ПДн.
7.12. В ходе своей деятельности Банк может осуществлять Трансграничную передачу ПДн в соответствии с требованиями Закона №152-ФЗ, с учетом целей обработки, указанных в разделе 5 настоящей Политики и в соответствии с Уведомлением об обработке ПДн, направленным Банком в Роскомнадзор.
7.13. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных уполномоченных органов по основаниям, предусмотренным действующим законодательством Российской Федерации) получают доступ к ПДн, обрабатываемым в Банке, в объеме и порядке, установленном законодательством Российской Федерации.
8. Обеспечение защиты персональных данных.
8.1. ПДн являются конфиденциальной информацией, Банком строго соблюдаются требования конфиденциальности ПДн, установленные ст. 7 Закона №152-ФЗ, а также принимаются меры по обеспечению безопасности ПДн при их обработке, предусмотренные ч. 2 ст. 18.1, ч. 1 ст. 19 Закона №152-ФЗ, требований и рекомендаций по обеспечению безопасности ПДн, предъявляемых Федеральной службой безопасности РФ, Федеральной службой по техническому и экспортному контролю РФ.
8.2. Система защиты ПДн Банка включает в себя комплекс технических и организационных мер, направленных на нейтрализацию актуальных угроз безопасности ПДн при их обработке в ИСПДн Банка, и учитывает особенности информационной инфраструктуры и архитектуры ИСПДн Банка при использовании информационных технологий. В Банке применяются следующие меры по обеспечению безопасности ПДн:
1) технические меры:
- средства защиты от несанкционированного доступа (как встроенные в прикладное и системное программное обеспечение, так и дополнительные средства);
- антивирусное программное обеспечение;
- средства разграничения доступа к информационным ресурсам;
- межсетевые экраны;
- система обнаружения вторжений;
- средства обнаружения уязвимостей;
- система контроля почтового и веб-трафика.
- средства защиты каналов связи;
- средства криптографической защиты;
- средства контроля целостности.
2) организационные меры:
- определение уровней защищенности ПДн при их обработке в ИСПДн;
- определение угроз безопасности ПДн при их обработке в ИСПДн;
-назначение ответственных за обеспечение безопасности ПДн и ответственного за организацию обработки ПДн;
- учет лиц, допущенных к обработке ПДн;
- получение согласия субъекта ПДн на обработку его ПДн, а также передачу ПДн третьим лицам;
- утверждение внутренних документов, регламентирующих порядок получения и обработки ПДн субъектов ПДн;
- возложение на контрагентов обязанности соблюдения конфиденциальности и безопасности при обработке передаваемых им ПДн;
- возложение на работников Банка, имеющих доступ к ПДн, ответственности за соблюдение требований законодательства РФ и внутренних документов Банка в части, касающейся неразглашения конфиденциальной информации третьим лицам;
- внутренний контроль и аудит соответствия обработки ПДн требованиям Закона N-152-ФЗ и других нормативно-правовых актов;
- утверждение внутренних документов, регламентирующих процесс обеспечения безопасности ПДн на этапах их жизненного цикла.
- публикация Политики в отношении обработки ПДн на сайте Банка.
9. Актуализация, уточнение и уничтожение персональных данных, ответы на запросы субъектов ПДн.
9.1. В случае подтверждения факта неточности ПДн Банк обязан уточить ПДн либо обеспечить их уточнение ПДн, а в случае выявления неправомерной обработки ПДн Банк обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн и в случае, если обеспечить правомерность обработки ПДн невозможно, Банк обязан уничтожить такие ПДн или обеспечить их уничтожение в соответствии со ст.21 Закона №152-ФЗ.
9.2. При достижении цели обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, за исключением случаев, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;
- Банк не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Законом № 152-ФЗ или иными федеральными законами;
- иное не предусмотрено иным соглашением между Банком и субъектом ПДн.
9.3. Уничтожение ПДн производится в соответствии с требованиями и в сроки, установленные Законом № 152-ФЗ и Приказом Роскомнадзора от 28.10.2022 №179 «Об утверждении требований к подтверждению уничтожения персональных данных».
9.4. Банк обязан предоставить субъекту ПДн или его представителю информацию об осуществляемой им обработке ПДн такого субъекта по запросу в соответствии со ст.20 Закона №152-ФЗ.
9.5. Порядок работы с запросами/обращениями субъектов ПДн и их представителей, уполномоченных органов определен требованиями Закона № 152-ФЗ и производится в соответствии с процедурой, утвержденной во внутренних документах Банка.
9.5.1. При обращении в Банк субъекта ПДн с запросом о предоставлении информации, касающейся обработки его ПДн, такой запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе,
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Банком (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения),
- либо сведения, иным образом подтверждающие факт обработки персональных данных Банком.
Запрос должен содержать подпись субъекта персональных данных. Запрос может быть направлен в том числе в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.6. Обращения субъектов ПДн по вопросам, связанным с обработкой ПДн, оформляются в свободной форме и могут быть также направлены через Интернет-банк, Почтой России на официальный адрес Банка, в том числе электронный info@bspb.ru или непосредственно в дополнительный офис/филиал Банка.
10. Мониторинг сведений о субъектах ПДн - пользователях сайта и использование метрических программ.
10.1. Банк использует инструменты веб-аналитики и метрические программы, такие как Яндекс. Метрика (https://yandex.ru/support/metrica/ru/), а также иные при условии наличия правовых оснований и соблюдения требований законодательства, в том числе о локализации данных.
10. 2. В соответствии с требованиями Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» Банком разработаны «Правила применения рекомендательных технологий в ПАО «Банк «Санкт-Петербург» которые размещены по адресу https://www.bspb.ru/disclosure/pravila-rec-tech.
10.3 Банк производит обработку файлов - cookie в целях персонификации сервисов и удобства пользователей. Файлы – cookie содержат обезличенную информацию о прошлых посещениях сайта Банка. Субъект ПДн вправе отключить сбор Файлов – cookie в настройках браузера.
11. Ответственность
10.1. Контроль за актуальностью требований настоящей Политики осуществляется Ответственным за организацию обработки ПДн в Банке.
10.2. Лица, виновные в нарушении норм, регулирующих обработку ПДн и защиту обрабатываемых в Банке ПДн, несут предусмотренную законодательством Российской Федерации ответственность.
Политика ПАО «Банк «Санкт-Петербург» в отношении обработки персональных данных
Утверждена первым заместителем председателя Правления - главным исполнительным директором 26.03.2026 № НД-01Р/0110.
1. Общие положения
1.1. Настоящая Политика ПАО «Банк «Санкт-Петербург» в отношении обработки персональных данных (далее – Политика) устанавливает общие подходы к обработке персональных данных физических лиц в ПАО «Банк «Санкт-Петербург», определяет цели и правовое основание обработки ПДн, а также категории ПДн, обрабатываемых в Банке.
1.2. Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", а также учитывает требования:
- Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15.09.2008 № 687;
- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утверждены постановлением Правительства РФ от 01.11.2012 №1119;
- Приказ ФСТЭК от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
1.3. Настоящая Политика регламентирует следующие вопросы:
- порядок обработки ПДн в различных бизнес-процессах Банка;
- организация приема и обработки обращений/запросов субъектов ПДн;
- перечень мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в сфере обработки ПДн, устранение последствий таких нарушений;
- порядок ознакомления работников Банка с законодательством и внутренними документами о ПДн;
- порядок формирования и направления уведомлений об обработке ПДн/ информационных писем о внесении изменений в ранее представленные сведения в уполномоченный орган по защите прав субъектов ПДн;
- перечень правовых, организационных и технических мер по обеспечению безопасности ПДн;
- порядок осуществления внутреннего контроля за соблюдением Банком и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн.
1.4. В целях обеспечения выполнения Банком обязанностей, предусмотренных законодательством РФ о ПДн, в Банке назначается лицо, ответственное за организацию обработки ПДн (Ответственный по ПДн).
1.5. Термины, используемые в настоящей Политике:
Банк - ПАО «Банк «Санкт-Петербург», являющийся в рамках Закона №152-ФЗ Оператором по обработке персональных данных, организующий и (или) осуществляющий самостоятельно или совместно с другими лицами обработку персональных данных, а также определяющий цели обработки и состав персональных данных, подлежащих обработке, действия(операции) совершаемые с персональными данными.
Закон № 152-ФЗ - Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных".
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. Банк является оператором;
Обработка ПДн – любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без их использования. Обработка ПДн включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;
Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц;
Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн;
Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах, данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Субъект ПДн - физическое лицо, чьи персональные данные Банк обрабатывает, предполагает обрабатывать в будущем или ранее обрабатывал.
Конфиденциальность ПДн – обязательное для соблюдения Банком или иным лицом, получившим доступ к ПДн требование, не раскрывать третьим лицам и не допускать их распространения без согласия субъекта ПДн или наличия иного законного основания.
Ответственный за ПДн – работник Банка, назначенный распоряжением руководителя Банка ответственным за организацию обработки ПДн в Банке.
ПДн, разрешенные субъектом ПДн для распространения - ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Федеральным законом №152-ФЗ.
2. Правовые основания обработки персональных данных.
2.1. Правовыми основаниями обработки ПДн в зависимости от целей бизнес процесса, предусматривающего такую обработку ПДн Банком могут являться следующие законодательные и нормативные акты, в том числе;
- Федеральный закон: от 02 декабря 1990 г. № 395-1 «О банках и банковской деятельности»; - Федеральный закон от 07 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»,
- Федеральный закон от 30.12.2004 г. № 218-ФЗ «О кредитных историях»;
- Федеральный закон от 22 апреля 1996 года № 39-ФЗ «О рынке ценных бумаг»,
- Федеральный закон от 23 декабря 2003 года № 177-ФЗ «О страховании вкладов физических лиц в банках РФ»;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»,
- Трудовой кодекс РФ;
- Гражданский кодекс РФ,
- Налоговый кодекс РФ,
- и иные нормативные, правовые акты государственных органов, Банка России, органов местного самоуправления, принятых на основании и во исполнение федеральных законов.
2.2. Устав Банка;
2.3. Договоры, заключаемые между Банком и субъектами ПДн. в том числе в случае реализации Банком своего права на уступку прав (требований) по таким договорам, между Банком и иным лицом, поручившим Банку обработку ПДн, а также для заключения договоров, стороной которых являются субъекты ПДн.
2.4. Согласия на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Банка).
3. Цели обработки персональных данных
3.1. Обработка ПДн в Банке ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
3.2. Объем, характер обрабатываемых ПДн, способы обработки ПДн в Банке соответствуют заявленным целям обработки ПДн.
3.3. Цели обработки ПДн в Банке определяются на основании, анализа правовых актов, регламентирующих деятельность Банка, целей фактически осуществляемой Банком деятельности, а также деятельности, которая предусмотрена учредительными документами Банка, и конкретными бизнес-процессами Банка.
3.4. Обработка ПДн в Банке осуществляется в следующих целях:
- Осуществления банковской деятельности (включая банковские операции); оказания клиентам - физическим лицам полного комплекса банковских услуг, соблюдения требований законодательства о противодействии легализации доходов, полученных преступным путем, и финансированию терроризма; соблюдения требований налогового законодательства, исполнительного производства; соблюдения банковской тайны;
- осуществления прав владельцев ценных бумаг, выпущенных (выданных) оператором и иными лицами;
- направления рекламных и/или информационных материалов с помощью средств связи, в том числе по сетям электросвязи посредством использования телефонной и подвижной радиотелефонной связи (включая СМС - сообщения), а также по сети «Интернет»
- размещения сведений в Единой система идентификации и аутентификации физических лиц с использованием биометрических персональных данных;
- осуществления финансово-хозяйственной деятельности Оператора;
- обработки запросов и обращений субъектов персональных данных;
- организации кадрового учета и кадрового делопроизводства в соответствии с требованиями законодательства РФ, в том числе: заключения и исполнения обязательств по трудовым и гражданско-правовым договорам
- подбора персонала (соискателей) на вакантные должности Оператора;
- формирования и ведение кадрового резерва и резерва соискателей Оператора;
- обеспечения прохождения ознакомительной, производственной или преддипломной практики на основании договора с образовательной организацией;
- предоставления добровольного медицинского страхования;
- обеспечения пропускного режима на территорию Оператора.
4. Права и обязанности Банка
4.1. В случаях, установленных законодательством Российской Федерации в области ПДн:
4.1.1. Банк вправе:
- предоставлять ПДн субъектов ПДн третьим лицам, если это предусмотрено требованиями действующего законодательства (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении ПДн субъекту ПДн в случаях, предусмотренных законодательством;
4.1.2. Банк обязан:
- производить обработку ПДн при наличии правовых оснований;
- принимать меры по обеспечению конфиденциальности и безопасности ПДн;
- обеспечить неограниченный доступ к документу, определяющему его Политику в отношении обработки ПДн;
- сообщать субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с такими ПДн при обращении субъекта ПДн или его представителя;
- предоставлять ответы на запросы/обращения субъектов ПДн;
- принимать меры по устранению нарушений законодательства, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн в случае их выявления.
- производить информирование об инцидентах в соответствии с ч.12.13.14 ст.19 Закона №152-ФЗ;
- не отказывать в обслуживании в случае отказа лица, обратившегося за соответствующими услугами, предоставить биометрические персональные данные и/или дать согласие на обработку персональных данных, если в соответствии с федеральными законами получение Банком согласия на обработку персональных данных не является обязательным;
- выполнять иные предусмотренные законодательством Российской Федерации обязанности.
5. Права субъекта ПДн
5.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей его ПДн, включая:
- подтверждение факта обработки ПДн Банком;
- правовые основания и цели обработки ПДн;
- цели и применяемые Банком способы обработки ПДн;
- наименование и место нахождения Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Банком или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных настоящим Федеральным законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Банка, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Банком обязанностей, установленных статьей 18.1 Закона №152-ФЗ.
- иные сведения, предусмотренные федеральными законами.
5.2. Право субъекта ПДн на получение информации, касающейся обработки его ПДн, может быть ограничено в случаях, установленных Законом №152-ФЗ.
5.3. Субъект ПДн имеет право потребовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки
5.4. Субъект ПДн имеет право обжаловать в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия при обработке его ПДн;
5.5. Субъект ПДн имеет право защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6. Объем и категории, обрабатываемых персональных данных, категории субъектов ПДн.
6.1 Перечень ПДн, в том числе биометрических ПДн, обрабатываемых в Банке, определяется в соответствии с законодательством Российской Федерации и внутренними документами Банка с учетом целей их обработки и в соответствии с Уведомлением об обработке ПДн, направленным Банком в Роскомнадзор.
6.2. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
6.3. В Банке обрабатываются ПДн, принадлежащие следующим категориям субъектов ПДн:
- работникам Банка,
- кандидатам на вакантные должности в Банке,
- студентам(практикантам);
- пользователям сайта Банка;
- клиентам/контрагентам Банка (представителям клиентов/контрагентов Банка);
- работникам контрагентов/партнеров Банка, субподрядчиков, поставщиков и других юридических лиц, имеющих договорные отношения с Банком;
- владельцам ценных бумаг, выпущенных (выданных) Банком;
- членам и кандидатам в члены органов управления и контроля Банка;
- единоличному исполнительному органу Банка;
- аффилированным лицам Банка;
- лицам, являющимся владельцами и/или состоящим в органах управления юридических лиц - владельцев именных ценных бумаг Банка (в случаях, предусмотренных законодательством);
- лицам, у которых может быть заинтересованность в совершении Банком сделок, согласно ст. 81 ФЗ от 26.12.1995 №208-ФЗ «Об акционерных обществах»;
- руководителям, работникам, участникам (акционерам, товарищам, пайщикам) контрагентов (потенциальных контрагентов) Банка, юридических лиц - клиентов (потенциальных клиентов) Банка.
- выгодоприобретателям, распорядителям, бенефициарным владельцам, поручителям;
- иным субъектам, вступившим или имеющим намерения вступить в договорные отношения с Банком;
- иным субъектам, обращающимся с запросами в Банк (при необходимости обработки их ПДн для целей выполнения их запросов).
6.4. В Банке обрабатываются следующие категории ПДн: фамилия, имя, отчество; дата и место рождения; адрес; семейное положение; имущественное положение; образование; профессия; доходы.
6.5. Другие категории ПДн: кредитная история физических лиц; ИНН, СНИЛС, гражданство, данные документов, удостоверяющих личность, данные миграционных карт, данные документов, подтверждающих право пребывания на территории РФ, номера телефонов, факсов, адреса электронной почты, должность, место работы, адрес места работы, сведения о наличии (отсутствии) судимости субъектов персональных данных для случаев, прямо предусмотренных федеральными законами, данные о воинской обязанности и иные категории в соответствии с требованиями действующего законодательства.
6.6. Производится обработка биометрических ПДн:
- фотографических изображений;
- информации об особенностях строения папиллярных узоров пальцев рук работников Банка;
- информации об особенностях строения рисунка вен ладоней работников Банка и клиентов.
6.7. В Банке запрещена обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
6.8. Обработка данных о состоянии здоровья допускается только в отношении ПДн работников и кандидатов на работу в подразделения Банка в целях исполнения двусторонних договоров, регулирующих трудовые отношения Банка и его работника, а также в целях исполнения действующего трудового законодательства.
7. Порядок и условия обработки персональных данных.
7.1. Обработка ПДн в Банке осуществляется с использованием средств автоматизации и без использования таких средств следующими способами (включая, но не ограничиваясь): сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
7.2. Обработка ПДн в Банке осуществляется с согласия субъекта ПДн кроме случаев, установленных законодательством Российской Федерации, с соблюдением требований по обеспечению конфиденциальности и безопасности ПДн, установленных Законом №152-ФЗ.
- обработка биометрических ПДн, осуществляется только при наличии согласия в письменной форме субъекта ПДн, оформленного в соответствии с п.4 ст.9 Закона №152-ФЗ;
- обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется на основании согласия, которое оформляется отдельно от иных согласий субъекта ПДн в соответствии с требованиями, установленными ст. 10.1 Закона №152-ФЗ;
- обработка ПДн субъектов, не достигших совершеннолетия, осуществляется при наличии согласия законного представителя такого субъекта.
7.3. В Банке запрещено принятие решений на основании исключительно автоматизированной обработки ПДн, которые порождают юридические последствия, в отношении Субъекта ПДн, или иным образом затрагивают его права и законные интересы, кроме случаев и условий, предусмотренных законодательством Российской Федерации.
7.4. Банк вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора, обязательными условиями которого являются соблюдение этим лицом принципов и правил обработки ПДн, предусмотренных Законом №152-ФЗ, обеспечение конфиденциальности ПДн, требований, предусмотренных частью 5 статьи 18 и 18.1, а также соблюдение требований к защите обрабатываемых ПДн в соответствии со ст. 19, в том числе требования об уведомлении Банка о случаях, предусмотренных ч.3.1 ст.21 Закона №152.
7.5. ПДн не раскрываются третьим лицам и не распространяются Банком иным образом без согласия Субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации. При раскрытии (предоставлении) ПДн третьим лицам соблюдаются требования к защите обрабатываемых ПДн в соответствии с требованиями Закона №152-ФЗ.
7.6. Сроки обработки и хранения ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, требованиями законодательства РФ и подзаконных актов, включая нормативные документы Банка России, сроком исковой давности, приказом Федерального архивного агентства (Росархив) от 20.12.2019 г. N 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».
7.7. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, за исключением случаев, когда срок хранения ПДн не установлен Федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.
7.8. Условием прекращения обработки ПДн является достижение целей обработки ПДн, истечение срока действия согласия/ отзыв согласия субъекта ПДн на обработку его ПДн, в случае если иной срок не предусмотрен действующим законодательством, а также выявление неправомерной обработки ПДн.
7.9. Обработка ПДн осуществляется Банком с использованием баз данных находящихся на территории Российской федерации в соответствии с требованиями ч.5 ст.18 Закона № 152-ФЗ.
7.10. При обработке документов на бумажном носителе, содержащих сведения о субъектах ПДн Банком соблюдаются требования, установленные Постановлением Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», а именно, определены места хранения, обеспечены условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.
7.11. Работники Банка, осуществляющие обработку ПДн, несут ответственность за исполнение требований законодательства, настоящей Политики и иных внутренних документов Банка, разработанных в развитие и дополнение настоящей Политики, при осуществлении конкретных видов банковской деятельности, связанных с обработкой ПДн.
7.12. В ходе своей деятельности Банк может осуществлять Трансграничную передачу ПДн в соответствии с требованиями Закона №152-ФЗ, с учетом целей обработки, указанных в разделе 5 настоящей Политики и в соответствии с Уведомлением об обработке ПДн, направленным Банком в Роскомнадзор.
7.13. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных уполномоченных органов по основаниям, предусмотренным действующим законодательством Российской Федерации) получают доступ к ПДн, обрабатываемым в Банке, в объеме и порядке, установленном законодательством Российской Федерации.
8. Обеспечение защиты персональных данных.
8.1. ПДн являются конфиденциальной информацией, Банком строго соблюдаются требования конфиденциальности ПДн, установленные ст. 7 Закона №152-ФЗ, а также принимаются меры по обеспечению безопасности ПДн при их обработке, предусмотренные ч. 2 ст. 18.1, ч. 1 ст. 19 Закона №152-ФЗ, требований и рекомендаций по обеспечению безопасности ПДн, предъявляемых Федеральной службой безопасности РФ, Федеральной службой по техническому и экспортному контролю РФ.
8.2. Система защиты ПДн Банка включает в себя комплекс технических и организационных мер, направленных на нейтрализацию актуальных угроз безопасности ПДн при их обработке в ИСПДн Банка, и учитывает особенности информационной инфраструктуры и архитектуры ИСПДн Банка при использовании информационных технологий. В Банке применяются следующие меры по обеспечению безопасности ПДн:
1) технические меры:
- средства защиты от несанкционированного доступа (как встроенные в прикладное и системное программное обеспечение, так и дополнительные средства);
- антивирусное программное обеспечение;
- средства разграничения доступа к информационным ресурсам;
- межсетевые экраны;
- система обнаружения вторжений;
- средства обнаружения уязвимостей;
- система контроля почтового и веб-трафика.
- средства защиты каналов связи;
- средства криптографической защиты;
- средства контроля целостности.
2) организационные меры:
- определение уровней защищенности ПДн при их обработке в ИСПДн;
- определение угроз безопасности ПДн при их обработке в ИСПДн;
-назначение ответственных за обеспечение безопасности ПДн и ответственного за организацию обработки ПДн;
- учет лиц, допущенных к обработке ПДн;
- получение согласия субъекта ПДн на обработку его ПДн, а также передачу ПДн третьим лицам;
- утверждение внутренних документов, регламентирующих порядок получения и обработки ПДн субъектов ПДн;
- возложение на контрагентов обязанности соблюдения конфиденциальности и безопасности при обработке передаваемых им ПДн;
- возложение на работников Банка, имеющих доступ к ПДн, ответственности за соблюдение требований законодательства РФ и внутренних документов Банка в части, касающейся неразглашения конфиденциальной информации третьим лицам;
- внутренний контроль и аудит соответствия обработки ПДн требованиям Закона N-152-ФЗ и других нормативно-правовых актов;
- утверждение внутренних документов, регламентирующих процесс обеспечения безопасности ПДн на этапах их жизненного цикла.
- публикация Политики в отношении обработки ПДн на сайте Банка.
9. Актуализация, уточнение и уничтожение персональных данных, ответы на запросы субъектов ПДн.
9.1. В случае подтверждения факта неточности ПДн Банк обязан уточить ПДн либо обеспечить их уточнение ПДн, а в случае выявления неправомерной обработки ПДн Банк обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн и в случае, если обеспечить правомерность обработки ПДн невозможно, Банк обязан уничтожить такие ПДн или обеспечить их уничтожение в соответствии со ст.21 Закона №152-ФЗ.
9.2. При достижении цели обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, за исключением случаев, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;
- Банк не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Законом № 152-ФЗ или иными федеральными законами;
- иное не предусмотрено иным соглашением между Банком и субъектом ПДн.
9.3. Уничтожение ПДн производится в соответствии с требованиями и в сроки, установленные Законом № 152-ФЗ и Приказом Роскомнадзора от 28.10.2022 №179 «Об утверждении требований к подтверждению уничтожения персональных данных».
9.4. Банк обязан предоставить субъекту ПДн или его представителю информацию об осуществляемой им обработке ПДн такого субъекта по запросу в соответствии со ст.20 Закона №152-ФЗ.
9.5. Порядок работы с запросами/обращениями субъектов ПДн и их представителей, уполномоченных органов определен требованиями Закона № 152-ФЗ и производится в соответствии с процедурой, утвержденной во внутренних документах Банка.
9.5.1. При обращении в Банк субъекта ПДн с запросом о предоставлении информации, касающейся обработки его ПДн, такой запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе,
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Банком (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения),
- либо сведения, иным образом подтверждающие факт обработки персональных данных Банком.
Запрос должен содержать подпись субъекта персональных данных. Запрос может быть направлен в том числе в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.6. Обращения субъектов ПДн по вопросам, связанным с обработкой ПДн, оформляются в свободной форме и могут быть также направлены через Интернет-банк, Почтой России на официальный адрес Банка, в том числе электронный info@bspb.ru или непосредственно в дополнительный офис/филиал Банка.
10. Мониторинг сведений о субъектах ПДн - пользователях сайта и использование метрических программ.
10.1. Банк использует инструменты веб-аналитики и метрические программы, такие как Яндекс. Метрика (https://yandex.ru/support/metrica/ru/), а также иные при условии наличия правовых оснований и соблюдения требований законодательства, в том числе о локализации данных.
10. 2. В соответствии с требованиями Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» Банком разработаны «Правила применения рекомендательных технологий в ПАО «Банк «Санкт-Петербург» которые размещены по адресу https://www.bspb.ru/disclosure/pravila-rec-tech.
10.3 Банк производит обработку файлов - cookie в целях персонификации сервисов и удобства пользователей. Файлы – cookie содержат обезличенную информацию о прошлых посещениях сайта Банка. Субъект ПДн вправе отключить сбор Файлов – cookie в настройках браузера.
11. Ответственность
10.1. Контроль за актуальностью требований настоящей Политики осуществляется Ответственным за организацию обработки ПДн в Банке.
10.2. Лица, виновные в нарушении норм, регулирующих обработку ПДн и защиту обрабатываемых в Банке ПДн, несут предусмотренную законодательством Российской Федерации ответственность.
