Какой вид обработки персональных данных применяется в банке
Перейти к содержимому

Какой вид обработки персональных данных применяется в банке

  • автор:

Автоматизированная и неавтоматизированная обработка персональных данных

Автоматизированная и неавтоматизированная обработка персональных данных

Приводя бизнес в соответствие с действующими нормативами законодательства в отношении сбора, хранения и передачи личной информации, ИП и руководителям крупных компаний приходится столкнуться с тем, что есть отдельные правила для неавтоматизированной и автоматизированной обработки ПДн. Оператору необходимо правильно трактовать пункты законов и подзаконных актов, чтобы не нарушать их и обеспечить необходимый уровень информационной безопасности на предприятии.

Общие правила совершения операций с ПДн

Осуществляя сбор частных сведений, физическое или юридическое лицо должно придерживаться определенных требований вне зависимости о того, какой способ обработки персональных данных используется: автоматизированный или неавтоматизированный. Этого требует вступивший в силу в 2006 году закон № согласно которому:

  • получение и последующие операции должны выполняться на законном основании с предварительным уведомлением субъекта и получением его согласия;
  • длительность хранения ПДн определяется временем, необходимым для достижения целей обработки, если иное не прописано в законодательных актах или подписанном сторонами соглашении;
  • при утрате необходимости в обработке персданные должны быть уничтожены;
  • использование личной информации может осуществляться четко в рамках легальных целей и предварительно определенных задач. Этозначит, чтоавтоматизированная или неавтоматизированная обработка ПДн не может осуществляться, если предполагает использование сведений, собранных для других целей;
  • запрещено объединение БД, где содержатся ПДн, собранные для выполнения несовместимых между собой задач;
  • оператору надлежит обеспечить достаточность и точность информации, а неточные и неполные ПДн уничтожать либо уточнять.

Что значит неавтоматизированная обработка персональных данных: особенности и требования к работе с ПДн

Разобраться в том, что такое неавтоматизированная обработка персональных данных, помогает основной регулирующий нормативно-правовой акт по данному вопросу: Постановление Правительства № 687, принятое 15.09.2008.

В соответствии с пунктом первым Положения, утвержденного указанным Постановлением, неавтоматизированной обработкой являются любые действия с персональными данными, при условии, что использование, уточнение, распространение и уничтожение персональных данных осуществляются при непосредственном участии человека. Причем обработку нельзя признать автоматизированной только потому, что персональные данные содержатся в информационной системе или извлечены из нее.

Таким образом использование, уточнение, распространение и уничтожение персональных данных при неавтоматизированной обработке должно осуществляться без использования электронно-вычислительных технологий. Проще говоря, обработка персональных данных будет являться неавтоматизированной при условии, что используемые персональные данные набраны, например, на электронной печатной машинке (что в настоящее врем практически не встречается) и распечатаны на листе бумаги (материальном носителе), при условии что они не будут сохранены в памяти, или откопированы на ксероксе.

Кроме того, необходимо обратить внимание на следующие принципы обработки ПДн без использования средств автоматизации:

  • сведения, при использовании которых не применяется вычислительная техника, должны быть обособленными и фиксироваться на бланках, в специальных формах или на других физических носителях;
  • не допускается объединение на одном носителе личной информации, которая будет обрабатываться для несовместимых целей, а для каждой категории ПДн необходима отдельная форма, бланк и т.д.;
  • обработка персональных данных считается неавтоматизированной, если осуществляется хранение, передача, уточнение и уничтожение сведений при непосредственном участии человека;
  • сотрудники, допущенные к неавтоматизированной обработке, предварительно информируются о требованиях работы с ПДн, наказании за их нарушение и внутренних правилах предприятия в этой области;
  • для получения согласия от субъектов ПДн могут применять типовые формы документов, где должны быть указаны цели обработки и виды собираемой информации;
  • по каждой категории сведений необходимо определить место размещения материального носителя и лицо, ответственное за обеспечение его безопасности. Дополнительно необходимо создать условия, в которых ПДн будут защищены от внешних и внутренних угроз.

Автоматизированная обработка персональных данных: что это и какие АС существуют

Под автоматизированной обработкой персональных данных понимается их обработка при помощи средств вычислительной техники. Средствами вычислительной техники могут быть электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства, в том числе и установленное программное обеспечение. Системы, которые осуществляют подобные операции, отличаются между собой уровнем полномочий субъектов доступа, наличием разных уровней конфиденциальности, режимом функционирования (индивидуальный, коллективный). Также выделяют 4 уровня защищенности, отличающиеся по требованиям к обеспечению безопасности. Определение уровня защищенности призвано упростить и ускорить подбор мер защиты при работе с персональными данными. В зависимости от УЗ автоматизированная система должна быть оснащена различными средствами защиты.

На оператора возлагается обязанность по созданию ограничений доступа, проведению мероприятий для профилактики несанкционированного получения ПДн сторонними лицами, назначению ответственных за безопасность АС лиц, своевременному выявлению утечки сведений, контролю уровня защищенности и незамедлительному восстановлению системы. Построение эффективности СЗПДн требует профессиональных знаний и навыков, которые есть у специалистов нашего Центра. Обращайтесь к нам, чтобы проконсультироваться по поводу обеспечения защиты АС и оптимизации неавтоматизированной обработки ПДн.

Данная статья актуализирована с учетом изменений Федерального закона «О персональных данных» от 31 декабря 2017 года.

Информация о том, как банк обрабатывает ваши данные и для чего

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования.

Обработка персональных данных включает в себя, в том числе:
систематизацию;
накопление;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
уничтожение.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

обработка ПДн осуществляется на законной и справедливой основе;
обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
обработка ПДн, несовместимая с целями сбора ПДн, не допускается;

не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки;

при обработке ПДн обеспечивается точность ПДн и их достаточность, в случаях необходимости и актуальность ПДн по отношению к заявленным целям их обработки;

хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Банк осуществляет обработку ПДн в следующих целях:
анализ потенциальных заемщиков кредитных средств;
внешнее обучение работника;
внутреннее обучение работника;
воинский учет;
проведение аудита;
взыскание просроченной задолженности с клиентов Банка;
дистанционное обслуживание клиентов Банка;
добровольное медицинское страхование работников;
заключение договоров ипотечного кредитования;

заключение договоров на обслуживание клиентов, предоставление банковских услуг, идентификация клиентов;

заключение и исполнение договоров на брокерское обслуживание на рынке ценных бумаг;
защита интересов Банка при поступлении исковых заявлений субъектов ПДн; информирование Банка России;
кадровый учет работников;
начисление, выплата заработной платы и иных начислений/удержаний, подготовка отчетности;

начисление заработной платы клиентам в рамках услуги «Зарплатный проект»; обеспечение финансовых обязательств клиента;

обеспечение функционирования IT-инфраструктуры Банка;
обслуживание физических лиц по банковским картам;
осуществление переводов со счетов клиентов Банка;
организация контрольно-пропускного режима;
оформление доверенностей;
направление в командировки;

оценка соответствия соискателя квалификационным требованиям и (или) требованиям к деловой репутации, установленным федеральными законами;

оценка соответствия соискателя требованиям к деловой репутации, установленным федеральными законами;

повышение качества обслуживания клиентов и предоставляемых Банком услуг, повышение лояльности клиентов;

повышение лояльности работников;

подбор персонала; подготовка отчетности для регуляторов, подготовка внутренней управленческой отчетности, контроль затрат и бюджета;

предоставление налоговых вычетов;
прием и отправка корреспонденции;
проведение закупочных процедур в интересах Банка;
проверка соискателей на трудоустройство в Банк;
продвижение услуг на рынке;

противодействие неправомерному использованию инсайдерской информации в части ведения списка инсайдеров;

реализация банковских продуктов корпоративным клиентам;

сопровождение кредитных операций, взаимодействие с бюро кредитных историй; хранение ценных бумаг клиентов банка.

В соответствии с положениями ФЗ «О персональных данных» субъект ПДн имеет право:
1) получить сведения, касающиеся обработки ПДн Банком, а именно:
подтверждение факта обработки ПДн Банком;
правовые основания и цели обработки ПДн Банком;
применяемые Банком способы обработки ПДн;

наименование и место нахождения Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Банком или на основании ФЗ «О персональных данных»;

обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки ПДн Банком, в том числе сроки их хранения;
порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Банка, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами;

2) потребовать от Банка уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

3) отозвать согласие на обработку ПДн в предусмотренных законом случаях.

Если субъект ПДн считает, что Банк осуществляет обработку его ПДн с нарушением требований ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Банка в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

С полным текстом политики обработки ПДн можно ознакомиться по ссылке

Сookies — это небольшой фрагмент данных, который веб-сайт запрашивает у браузера, используемого на Вашем компьютере или мобильном устройстве. Cookies отражают Ваши предпочтения или действия на веб-сайте, а также сведения об оборудовании пользователя, дате и времени сессии. Сookies хранятся локально на Вашем компьютере или мобильном устройстве. При желании Вы можете удалить сохраненные Cookies в настройках браузера. Cookies используются Банком в целях улучшения работы веб-сайта. Сведения о действиях пользователей веб-сайта обрабатываются для совершенствования продуктов и услуг Банка, определения предпочтений пользователя, предоставления целевой информации по продуктам и услугам Банка и партнеров Банка. 3. Как мы обрабатываем Ваши Cookies? Наш сайт обрабатывает полученные данные, в том числе с использованием метрических программ, таких как Яндекс.Метрика.

Сессионные

Существуют только во временной памяти в течение времени, когда пользователь находится на странице веб-сайта. Браузеры обычно удаляют сессионные Cookies после того, как Вы закрываете окно веб-сайта. Сессионные Cookies позволяют веб-сайту помнить информацию о Вашем выборе на предыдущем сайте, чтобы избежать необходимости повторного ввода информации.

Постоянные

Сookies, которые хранятся на Вашем компьютере и не удаляются при закрытии браузера. Постоянные Сookies могут сохранять пользовательские настройки для определенного веб-сайта, позволяя использовать эти предпочтения в будущих сеансах просмотра. Такие Cookies позволяют идентифицировать Вас как уникального пользователя веб-сайта и при Вашем возвращении на веб-сайт помогают вспомнить информацию о Вас и ранее совершенных действиях.

Статистические

Включают в себя информацию о том, как Вы используете веб-сайт. Например, какие страницы Вы посещаете, по каким ссылкам переходите. Главная цель таких Cookies — улучшение функций сайта.

Обработка персональных данных в АО «АЛЬФА-БАНК»

Политика в отношении обработки персональных данных определяет основные принципы и правила по обработке персональных данных, которыми мы руководствуемся в нашей работе, а также в общении с клиентами, поставщиками, акционерами и сотрудниками. Политика в отношении обработки персональных данных распространяется на всех сотрудников Альфа-Банка.

При обработке персональных данных мы стремимся соблюдать требования законодательства Российской Федерации, в частности Федеральный закон № 152-ФЗ «О персональных данных», а также нормы и правила, установленные в банке.

Банк с большим уважением относится к правам и свободам всех физических лиц, в том числе находящихся на территории Европейского Союза, и потому принимает все необходимые и достаточные правовые, организационные и технические меры для обеспечения конфиденциальности персональных данных, безопасности персональных данных при их обработке в соответствии с общими принципами и правилами обработки персональных данных и применимым законодательством Российской Федерации.

Виды персональных данных

Виды персональных данных

Процветание бизнеса тесно связано с тем, насколько серьезно организация подходит к обеспечению информационной безопасности. Особое значение имеет определение и нейтрализация угроз безопасности, касающихся несанкционированного доступа к личной информации клиентов и партнеров. Персональные данные — это виды сведений, которые дают возможность косвенно либо напрямую идентифицировать гражданина и в отдельных случаях получить о нем дополнительную информацию.

Осуществляя любой вид обработки ПДн, предприниматель, компания либо муниципальный/государственный орган обязаны придерживаться прописанных в ФЗ-152 требований, в частности, продумать систему защиты от НСД и последующего несанкционированного использования. В зависимости от того, какие виды ПДн вы обрабатываете, нужны будут определенные СЗИ, поэтому важно разобраться с актуальной классификацией. Обращаем внимание, что под персональными данными понимаются данные, касающиеся конкретного человека. То есть абстрактный адрес электронной почты либо мобильный номер к таковым не относятся, поскольку не представляется возможным определить, чьи они. Четко проследить разницу можно на примере опросов — если вы просите сообщить имя и фамилию либо семейное положение, то речь идет о ПДн, соответственно нужно просить согласие на обработку, а в случае анонимного анкетирования такой необходимости не возникает.

Категории и виды ПДн

В процессе установления уровня защищенности и организации мероприятий, направленных на нейтрализацию угроз безопасности, приоритетное значение имеет классификация ПДн, предусмотренная ФЗ-152 и Постановление Правительства № 1119. В них прописано четыре категории ПДн, которые обрабатываются в ИС:

  1. Общедоступные — те, которые опубликованы в открытых источниках с согласия владельца (если субъект хочет удалить сведения, он может подать заявление оператору либо обратиться в суд). К таким относятся дата, место рождения, адрес прописки и проживания, профессия и место работы, адрес электронной почты, телефонный номер, образование.
  2. Специальные — ПДн, которые касаются сексуальной жизни субъекта, его политических, философских и религиозных воззрений, а также расовой и половой принадлежности. Доступ к такой информации предоставляется только по решению суда, в рамках работы органов правосудия, при реализации международных соглашений либо после получения письменного разрешения владельца.
  3. Биометрические — любые биологические либо физиологические особенности, которые дают возможность определить личность субъекта, к примеру, ДНК, фотографии, группа крови, рисунок сетчатки глаза, отпечатки пальцев и т.д. Оператору для обработки подобных ПДн нужно предварительно получить разрешение (за исключением случаев, когда есть судебное решение либо речь идет о расследовании преступлений). Однако если хранение осуществляется не с целью установления личности, то сведения не относятся к категории биометрических ПДн (в зависимости от ситуации их можно определить как специальные либо общедоступные).
  4. Иные — ПДн, которые нельзя определить ни в одну из других групп. Фактически, это дополнительная информация о человеке, которая часто меняется: размер зарплаты, социальный статус, рабочий стаж, длительность и даты отпуска и т.д.

Помимо того, можно выделить несколько разновидностей персональных данных в зависимости от целей и способа их обработки:

  • сведения в муниципальных и государственных ИС;
  • личные сведения в полностью автоматизированных системах;
  • ПДн, необходимые для агитации политических сил, раскрутки товаров и услуг;
  • трансграничная передача данных (когда информация передается за пределы страны).

Какие можно выделить типы персональных данных?

Кроме описанных видов ПД, классифицировать личные сведения граждан можно на основании положений ТК, Конституции Российской Федерации и других ФЗ. Например, при организации трудовых процессов происходит обработка двух типов документов:

  1. Подаваемые сотрудниками в момент приема на работу и подписания соглашения с работодателем. Речь идет о трудовой книжке, дипломах об окончании учебных заведений, паспорте, сертификатах, подтверждающих специальные знания, документах о постановке/снятии с воинского учета и т.д.
  2. Формируемые непосредственно работодателем в отношении персонала. К данному типу относятся внутренние приказы (о зачислении, о выдаче премиальных средств), расчетная документация, персональная карточка.

Есть еще несколько способов разделения персональных данных по разным критериям:

  • по содержанию — биометрические и не биометрические;
  • по направлению — обычные и специальные;
  • по степени доступа — конфиденциальные и те, которые находятся в общем доступе.

Зачем проводить классификацию ПДн?

Проанализировать виды персональной информации и понять, какие именно сведения вы используете в своей деятельности, очень важно. От этого зависит список законодательных требований к защите ИС, и, соответственно, затраты на внедрение средств профилактики и реагирования на УБ. Кроме того, это позволит избежать нарушений и штрафных санкций со стороны контролирующих органов, а также завоевать репутацию надежной компании, что положительно скажется на уровне дохода.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *