ЗАО «Газпромбанк —
Управление активами»



Утверждено приказом
Генерального директора
№ 32/3 от 15.05.2015



ПОЛИТИКА

ЗАО «ГАЗПРОМБАНК — УПРАВЛЕНИЕ АКТИВАМИ»
В ОБЛАСТИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ







1. Общие положения

1.1. С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства ЗАО «Газпромбанк — Управление активами» далее — Компания) считает важнейшей задачей обеспечение легитимности обработки и безопасности персональных данных субъектов в бизнес-процессах Компании.
Для решения данной задачи в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.

1.2. Обработка персональных данных в Компании основана на следующих принципах:
– законности целей и способов обработки персональных данных и добросовестности;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;
– соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
– достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;
– легитимности организационных и технических мер по обеспечению безопасности персональных данных;
– непрерывности повышения уровня знаний работников Компании в сфере обеспечения безопасности персональных данных при их обработке;
– стремления к постоянному совершенствованию системы защиты персональных данных.

2. Цели обработки персональных данных
В соответствии с принципами обработки персональных данных, в Компании определены состав и цели обработки:
– принятие решения о приеме кандидата на работу в Компанию;
– заключение трудовых, гражданско-правовых договоров и договоров доверительного управления и выполнение обязательств по ним;
– исполнение положений Трудового/Гражданского/Налогового кодексов, других нормативных актов РФ.

3. Правила обработки персональных данных

3.1. В Компании осуществляется обработка следующих категорий ПДн:
– фамилия, имя, отчество;
– контактные данные;
– сведения о рождении;
– сведения о гражданстве;
- сведения о месте жительства;
– паспортные данные или данные иного документа, удостоверяющего личность;
– сведения об образовании;
– сведения о дополнительном образовании и владении иностранными языками;
– сведения о семейном положении;
– сведения о близких родственниках и детях;
– сведения о воинском учете и данные военного билета;
– сведения о трудовой деятельности;
– сведения о пребывании за границей;
– сведения о наличии неисполненных материальных претензий;
– сведения о судимости;
– сведения о наличии водительских прав;
– данные о браке;
– данные о постановке на учет в налоговом органе и налоговом резидентстве;
– данные о государственном пенсионном страховании;
– сведения о трудовой деятельности;
– данные о трудовом стаже;
– данные о трудовом договоре;
– информация об увольнении;
– информация о должности;
– информация об условиях трудоустройства;
– данные для табельного учета;
– информация об отработанном времени;
– данные об отпуске;
– сведения о временной нетрудоспособности;
– информация о банковском счете;
– информация о заработной плате;
– сведения о социальных льготах;
– данные полиса ДМС;
– информация о перечисленных страховых взносах;
– информация о начисленных/удержанных средствах;
– данные о налоговом вычете;
– данные о премиях;
– данные о командировке;
– информация о наличии взысканий;
– информация о наградах;
– сведения о гражданско-правовом договоре;
– сведения о въездной визе (при ее наличии);
– данные свидетельства о регистрации ПБОЮЛ;
– данные о договоре доверительного управления;
– информация о состоянии расчетного счета ДУ (для клиентов ДУ);
– информация о лицевом счете пайщика в реестре.

3.2. В Компании НЕ допускается обработка следующих категорий ПДн: – расовая принадлежность;
– политические взгляды;
– философские убеждения;
– состояние интимной жизни;
– национальная принадлежность;
– религиозные убеждения.

3.3. В Компании осуществляется обработка следующих категорий субъектов ПДн: - кандидаты на вакантные должности;
– работники;
– исполнители по гражданско-правовым договорам;
– клиенты ПИФ;
– клиенты ДУ;
– контрагенты по договорам.

3.4. Компания в ходе своей деятельности может предоставлять персональные данные субъектов следующим лицам: – Федеральной налоговой службе России;
– Федеральной службе по финансовым рынкам;
– Федеральной службе по финансовому мониторингу;
– Пенсионному фонду России;
– специализированным депозитариями и регистраторам;
– кредитным организациям;
– работникам ОАО «Газпромбанк», осуществляющим агентские функции;
- страховым компаниям;
– контрагентам по клиентским сделкам;
– застройщикам объектов недвижимости в рамках исполнения договоров купли-продажи;
– туристическим агентствам;
– частным охранным предприятиям.

3.5. В Компании НЕ обрабатываются биометрические (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) персональные данные.

3.6. В Компании НЕ осуществляется трансграничная передача персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).

3.7. В Компании запрещено принятие решений относительно субъектов персональных данных на основании исключительно автоматизированной обработки их персональных данных.

3.8. В Компании НЕ осуществляется обработка данных о состоянии здоровья и судимости субъектов за исключением случаев, предусмотренных законодательством Российской Федерации.

3.9. Компания НЕ размещает персональные данные субъекта в общедоступных источниках без его предварительного согласия за исключением случаев, предусмотренных законодательством Российской Федерации.

4. Реализованные требования по обеспечению безопасности персональных данных

4.1. С целью обеспечения безопасности персональных данных при их обработке в Компании реализуются требования следующих нормативных документов РФ в области обработки и обеспечения безопасности персональных данных:
– Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
– Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
– Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
– Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Приказ ФСБ России от 10.07.2014 г. №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

4.2. Компания проводит оценку вреда, который может быть причинен субъектам персональных данных и определяет угрозы безопасности персональных данных. В соответствии с выявленными актуальными угрозами Компания применяет необходимые и достаточные организационные и технические меры, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль и оценку эффективности применяемых мер.

4.3. В Компании назначены лица, ответственные за организацию обработки и обеспечения безопасности персональных данных.

4.4. Руководство Компании осознает необходимость и заинтересовано в обеспечении должного как с точки зрения требований нормативных документов РФ‚ так и обоснованного с точки зрения оценки рисков для бизнеса уровня безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании.

Вернуться на главную