Политика сбора, обработки и защиты персональных данных Закрытого акционерного общества «Алма Финанс Банк»

Общие положения

  1. Политика сбора, обработки и защиты персональных данных Закрытого акционерного общества «Алма Финанс Банк» (далее по тексту – «Политика») разработана в соответствии с требованиями законодательства Кыргызской Республики и устанавливает требования по обеспечению безопасности персональных данных, и также какие персональные данные получает Банк, как использует и обменивается ими с другими лицами.
  2. Политика определяет общие принципы, цели, порядок и условия сбора, обработки и защиты персональных данных (далее - обработка) в Закрытом акционерном обществе «Алма Финанс Банк» (далее – Банк).
  3. Настоящая Политика действует в отношении всей информации, которая собирается и обрабатывается при использовании Сервисов Банка и направлена на обеспечение защиты прав и свобод Субъекта персональных данных при обработке его персональных данных и распространяется на все операции с персональными данными, совершаемые Банком, как в автоматизированном режиме, так и без него.
  4. Субъектами регулирования настоящей Политики являются клиенты и все структурные подразделения Банка. Использование Сервисов Банка означает безоговорочное согласие с положениями настоящей Политики.
  5. Политика подлежит изменению, дополнению в случае изменения законодательства и иных регулирующих нормативно-правовых документов в Кыргызской Республике. Изменения и дополнения, вносимые в приложения к настоящей Политике, утверждаются решением Правления Банка.

Основные термины и определения

Сокращение / термин

Расшифровка / определение

Информация персонального характера (Персональные данные)

зафиксированная на носителе информация о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности.

Субъект персональных данных (субъект)

физическое лицо, к которому относятся соответствующие персональные данные.

Согласие субъекта персональных данных

выраженное в форме, предусмотренной законодательством Кыргызской Республики, свободное, конкретное, безоговорочное и осознанное волеизъявление лица, в соответствии с которым субъект оповещает о своем согласии на осуществление процедур, связанных с обработкой его персональных данных.

Обработка персональных данных

любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Конфиденциальность персональных данных

обязательное для соблюдения Банком требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Держатель (обладатель) массива персональных данных

органы государственной власти, органы местного самоуправления и юридические лица, на которые возложены полномочия определять цели, категории персональных данных и контролировать сбор, хранение, обработку и использование персональных данных в соответствии с законодательством Кыргызской Республики. В контексте настоящей Политики данное определение относится к Банку.

Обработка персональных данных

любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Трансграничная передача персональных данных

передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Сервисы

продукты, услуги Банка, в том числе, но не ограничиваясь, Интернет-банкинг, Мобильный банкинг, мобильные приложения.

Принципы обработки персональных данных

  1. Обработка данных осуществляется на основании:
    • Конституции КР;
    • Цифрового кодекса КР;
    • Закона КР «О банках и банковской деятельности»;
    • Договоров, заключаемых между Банком и клиентом.
  1. Обработка персональных данных осуществляется на основе следующих принципов:
    • Законность, справедливость и прозрачность: персональные данные должны обрабатываться на законных основаниях, справедливым и открытым образом в отношении субъекта персональных данных.
    • Минимизация данных: содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
    • Точность: при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Владелец записей должен принимать необходимые меры по удалению или уточнению неполных или неточных персональных данных.
    • Ограничение цели: обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Изменение или расширение цели обработки персональных данных владельцем записей без согласия субъекта не допускается, за исключением случаев, установленных законодательством КР.
    • Ограничение хранения: хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством или обязательным для субъекта договором. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством КР.
    • Целостность и конфиденциальность: обработка персональных данных должна осуществляться способом, обеспечивающим их безопасность, то есть с обязательным принятием организационных и технических мер, предотвращающих несанкционированную или незаконную обработку персональных данных, их случайное или преднамеренное уничтожение, потерю, повреждение или изменение.
  1. Владелец записей несет ответственность за соблюдение принципов, предусмотренных настоящей статьей, и должен быть способен подтвердить их соблюдение.

Цели обработки персональных данных

  1. Банк осуществляет обработку персональных данных в следующих целях:
    • заключения, исполнения, расторжения, прекращения договоров между Банком и субъектом персональных данных в рамках осуществления предпринимательской и иной деятельности;
    • установления личности субъекта персональных данных для выполнения требований законодательства, внутренних нормативных документов Банка по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, политики «знай своего клиента»;
    • выполнения требований законодательства КР, а также законодательства иностранных государств в пределах и объеме, установленных законодательством КР;
    • предложения финансовых продуктов (финансовых услуг) Банком и/или продвижения товаров (работ, услуг, результатов интеллектуальной деятельности) иных лиц;
    • проведения опросов, статистических исследований, анализа рынка, конкурсов и розыгрышей призов в рамках маркетинговых инициатив, в том числе путем осуществления прямых контактов с субъектом персональных данных;
    • осуществления кадрового администрирования (поиск и подбор персонала, заключение, исполнение, расторжение и прекращение трудовых договоров и иных соглашений в рамках исполнения трудовых функций и обязанностей);
    • в иных случаях, предусмотренных законодательством КР.
  2. Перечень персональных данных, обрабатываемых в Банке, определяется в соответствии с законодательством Кыргызской Республики и внутренними документами Банка с учетом целей обработки персональных данных.

Объем и состав обрабатываемых персональных данных

  1. Банк для достижения целей деятельности, выполнения функций, полномочий и обязанностей, предусмотренных законодательством КР, осуществляет обработку персональных данных следующих субъектов:
    • клиентов, контрагентов, их представителей и контактных лиц контрагентов в составе и сроком, необходимыми для заключения, исполнения, расторжения и прекращения договора, стороной которого является субъект персональных данных;
    • участников маркетинговых исследований в составе и сроком, необходимыми для достижения статистических или иных исследовательских целей, при условии обязательного обезличивания персональных данных;
    • работников Банка в составе и сроком, необходимыми для заключения, исполнения, расторжения и прекращения трудового договора;
    • кандидатов на замещение вакантных должностей в составе и сроком, необходимыми для заключения, исполнения, расторжения и прекращения договора;
    • директоров, акционеров, учредителей, супругов акционеров/участников, наследников, акционеров, инсайдеров в составе и сроком, необходимыми для достижения целей деятельности Банка, выполнения функций, полномочий и обязанностей, предусмотренных законодательством КР;
    • аффилированных лиц Банка/лиц, связанных с Банком особыми отношениями, в составе и сроком, необходимыми для достижения целей деятельности Банка, выполнения функций, полномочий и обязанностей, предусмотренных законодательством КР;
    • лиц, проходящих по судебным и иным производствам с участием Банка в составе и сроком, необходимыми для правового обеспечения деятельности Банка, а также защиты законных прав и интересов Банка и его клиентов;
    • поручителей/гарантов, заемщиков, залогодателей по финансовым инструментам в составе и сроком, необходимыми для заключения, исполнения, расторжения и прекращения договора;
    • банков-корреспондентов в рамках корреспондентских отношений и контрагентов в рамках политики «знай своего клиента» в составе и сроком, необходимыми для заключения, исполнения, расторжения, прекращения договора/установления деловых отношений;
    • иных лиц, персональные данные которых должны обрабатываться согласно требованиям законодательства КР.

Порядок и условия обработки персональных данных

  1. К персональным данным, относятся: фамилия, имя, отчество, дата рождения, адрес место жительства, данные документа, удостоверяющего личность (наименование, серия, номер, даты выдачи документа, орган, выдавший документ), гражданство, имущественное положение, место рождения, номер телефона, адрес электронной почты, пол, образование, профессия, семейное положение, файлы cookie, родственные связи, информации о трудовой деятельности, медицинская справка, справка о несудимости, трудовая книжка, информация о наградах, мобильные приложения (фото и видео материалы клиентов, номер телефона, модель телефона, версия операционной системы, геолокация, файлы cookie, история действий с датой и временем проведения операций).
  2. Обработка персональных данных, совершаемое Банком включает в себя любые операции или набор операций, выполняемых независимо от способов, автоматическими средствами или без таковых, в целях сбора, записи, хранения, актуализации, группировки, блокирования, стирания и разрушения персональных данных.
  3. Обработка персональных данных осуществляется при условии получения согласия субъекта персональных данных (далее - Согласие), за исключением установленных законодательством случаев, когда обработка персональных данных может осуществляться без такого согласия.
  4. Способы уведомления субъекта персональных данных:
    • SMS-уведомления;
    • электронная почта;
    • другое.
  5. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает его в письменной форме на бумажном носителе, в форме электронного документа, а также через дистанционные каналы обслуживания Банка в случаях, предусмотренных законодательством Кыргызской Республики и внутренними документами Банка.
  6. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, актуализация персональных данных, а также выявление неправомерной обработки персональных данных.
  7. Для достижения целей обработки при наличии согласия субъекта персональных данных Банк вправе передавать персональные данные третьим лицам при условии, что на получателя данных возлагается обязанность соблюдения режима конфиденциальности этих данных.
  8. При обработке персональных данных Банк принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
  9. Доступ к персональным данным предоставляется только уполномоченным работникам Банка в пределах их должностных обязанностей.
  10. Персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора. По достижении целей обработки персональные данные подлежат уничтожению либо обезличиванию, если иное не предусмотрено законодательством Кыргызской Республики.
  11. Обработка персональных данных клиентов Банка осуществляется с учетом требований законодательства Кыргызской Республики о банковской тайне.

Права субъектов персональных данных и Банка

  1. Субъект персональных данных имеет право:
    • на доступ к их персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных Законодательством Кыргызской Республики;
    • на уточнение их персональных данных, их блокирование или уничтожение в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
    • на принятие предусмотренных законом мер по защите своих прав, в том числе обращение в уполномоченный государственный орган по персональным данным;
    • направить владельцу записей возражение против обработки персональных данных о нем определенными способами или в определенных целях. Банк обязан немедленно прекратить обработку персональных данных указанными способами или в указанных целях при наличии оснований, установленных Цифровым кодексом Кыргызской Республики;
    • на осуществление иных прав, предусмотренных законодательством Кыргызской Республики.
  2. Субъект персональных данных обязан:
    • предоставлять Банку только достоверные данные о себе;
    • предоставлять документы, содержащие персональные данные в объеме, необходимом для цели обработки;
    • сообщать Банку об уточнении (обновлении, изменении) своих персональных данных.
  3. Банк имеет право:
    • получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
    • уточнять предоставленные субъектом персональные данные.
  4. Банк обязан:
    • обрабатывать персональные данные в порядке, установленном Законодательством Кыргызской Республики;
    • рассматривать обращения субъекта персональных данных по вопросам обработки персональных данных и давать ответы в срок, не превышающий 7 дней с момента подачи заявления;
    • предоставлять субъекту персональных данных возможность безвозмездного доступа к его персональным данным;
    • принимать меры по актуализации персональных данных в связи с обращением субъекта персональных данных;
    • организовывать защиту персональных данных в соответствии с требованиями законодательства Кыргызской Республики.
  5. По письменному запросу субъекта персональных данных Банк обязан сообщить информацию об осуществляемой им обработке персональных данных с отражением следующей информации:
    • подтверждение факта обработки персональных данных Банком;
    • правовые основания и цели обработки персональных данных;
    • цели и применяемые Банком способы обработки персональных данных;
    • наименование и место нахождения Банка, сведения о лицах (за исключением работников держателя, которые имеют доступ к персональным данным или которым могут быть переданы персональные данные на основании договора с Банком массива персональных данных или на основании закона;
    • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
    • сроки обработки персональных данных, в том числе сроки их хранения;
    • порядок осуществления субъектом персональных данных своих прав по вопросам актуализации, блокирования и уничтожения персональных данных;
    • информацию об осуществленной или о предполагаемой трансграничной передаче данных.
  6. Банк обязан ограничить обработку цифровых записей в отношении субъекта персональных данных:
    • при получении возражения против обработки - на время рассмотрения возражения;
    • при получении требования отраслевого регулятора в сфере персональных данных об ограничении обработки - на срок, указанный в требовании;
    • при возникновении оснований для исправления или удаления персональных записей - до их исправления или удаления.

Банк обязан с использованием имеющейся у него контактной информации проинформировать субъекта персональных данных об установлении или снятии ограничений на обработку персональных записей не позднее одного рабочего дня, следующего за днем, когда были установлены или сняты ограничения.

  1. Банк обязан, в том числе на основании запроса субъекта персональных данных, немедленно удалить персональные записи при наличии хотя бы одного из следующих оснований:
    • персональные записи больше не нужны для целей их обработки;
    • прекратило действие основание для обработки персональных данных (в том числе субъект персональных данных отозвал свое согласие и при этом иные основания обработки отсутствуют);
    • по результатам рассмотрения возражения субъекта персональных данных против обработки цифровых данных о нем всеми способами и для всех целей осуществления обработки, владельцем записей принято решение об удалении данных.
  2. В случаях, предусмотренных пунктом 7.7., Банк вправе не удалять персональные данные и хранить их в целях:
    • осуществления принадлежащего ему права на свободу слова;
    • научных, в том числе исторических или статистических исследований, и архивных целях;
    • предъявления претензий и требований, их исполнения или защиты от них;
    • если обязанность хранения таких данных предусмотрена законодательством.
  3. Иные права субъекта персональных данных, а также права и обязанности Банка, связанные с обработкой Банком персональных данных, определяются законодательством Кыргызской Республики в области персональных данных.

Меры по обеспечению безопасности персональных данных при их обработке

  1. Банк стремится осуществлять достаточные и соответствующие законодательству Кыргызской Республики организационные и технические меры для защиты персональных данных от несанкционированного, случайного или незаконного уничтожения, потери, изменения, недобросовестного использования, раскрытия или доступа, а также иных незаконных форм обработки и использования.
  2. Защита персональных данных осуществляется с учетом внутренних нормативных документов Банка в области информационной безопасности.
  3. В целях обеспечения цифровой устойчивости в ходе обработки персональных данных Банк:
    • реализует конструктивную защиту данных при проектировании цифровых технологических систем;
    • ведет учет операций с персональными записями в соответствии с рекомендациями отраслевого регулятора в сфере персональных данных;
    • определяет лицо, ответственное за обработку персональных данных в организации (для организаций с количеством работников более десяти человек), из числа работников организации или привлекаемое на основании договора;
    • организует обучение правилам и рекомендациям в сфере обработки персональных данных и факторам их эффективного применения.
  4. Банк не несет ответственности за раскрытие персональных данных, произошедшее вследствие действий либо бездействия субъекта персональных данных, при условии соблюдения Банком требований законодательства Кыргызской Республики и внутренних процедур информационной безопасности.
  5. Работники Банка, получившие доступ к персональным данным, обязаны соблюдать требования конфиденциальности и обеспечивать защиту персональных данных в пределах предоставленных полномочий.

Заключительные положения

  1. Вопросы, не рассмотренные/не урегулированные Политикой, регулируются соответствующими внутренними нормативными документами Банка и законодательством КР.
  2. В процессе работы в настоящую Политику могут вноситься изменения и дополнения, необходимость которых может быть продиктована требованиями и изменениями условий рынка, законодательной базы Кыргызской Республики, НПА Национального банка Кыргызской Республики, а также другими нормативными документами и внутриорганизационными факторами. Все изменения и/или дополнения, оформляются в виде новой редакции.
  3. Контроль за соблюдением требований настоящей Политики осуществляется уполномоченными подразделениями Банка в пределах их компетенции.
  4. Лица, виновные в нарушении требований настоящей Политики, несут ответственность в соответствии с законодательством Кыргызской Республики и внутренними нормативными документами Банка.