1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
В рамках настоящего документа используются следующие термины и определения:
Наименование термина
Определение термина
Персональные данные
любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (оператор)
государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных
Автоматизированная обработка персональных данных
любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Обработка персональных данных с помощью вычислительной техники.
действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
средств
Распространение персональных данных Предоставление персональных данных
Блокирование персональных данных
временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных
действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обработка персональных данных
любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Политика в отношении обработки персональных данных ПАО «МТС-Банк»
Информационная система персональных данных
совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных
передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Банк
Субъект персональных данных
ПАО «МТС-Банк»
физическое лицо, в отношении которого в соответствии с законом осуществляется обработка персональных данных
Веб-ресурс, сайт
Уникальная страница Банка, предназначенная для публикации в сети Интернет, включающая текстовую, графическую и мультимедиа- компоненты (видео, музыка и т. д.)
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) определяет средства, цели и принципы обработки персональных данных в ПАО «МТС-Банк», (юридический адрес — Россия, 115 432, г. Москва, Андропова пр-т, д. 18, корп. 1) (далее — Банк).
2.2. Настоящая Политика разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных» в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Банка как до, так и после утверждения настоящей Политики.
2.4.Обеспечение безопасности персональных данных и обеспечение соответствия требованиям законодательства Российской Федерации в области обработки и обеспечения безопасности персональных данных является одной из приоритетных задач Банка.
2.5.Персональные данные, обрабатываемые в Банке, относятся к информации ограниченного доступа и на них распространяются все требования по защите информации, установленные во внутренних документах Банка.
2.6. Банк организует и обеспечивает обработку и безопасность персональных данных в соответствии с нормативно-методическими документами регуляторов в области обработки и обеспечения безопасности персональных данных, а также положениями нормативно-правовых актов Российской Федерации.
2.7.Необходимые правовые, организационные и технические меры для защиты персональных данных регламентируются внутренними документами Банка в области защиты информации.
2.8. Политика действует в отношении всех персональных данных, обрабатываемых Банком.
2.9. Во исполнение требований ч. 2 ст. 18.1 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных» данных настоящая Политика размещена на официальном сайте Банка: mtsbank.ru/o-banke/personalnye-dannye/ для обеспечения неограниченного доступа к ней.
3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Банк обрабатывает персональные данные в целях:
− осуществлениебанковскихоперацийизаключение/исполнениедоговороввсоответствиис Уставом Банка и выданными Банку лицензиями на совершение банковских и иных операций;
− рассмотрение возможности предоставления финансовых или иных услуг Субъекту персональных данных в соответствии с законодательством Российской Федерации;
− предоставление Субъекту персональных данных информации, путем осуществления прямых контактов с помощью связи, об оказываемых услугах, о разработке Банком новых продуктов и услуг, об услугах партнеров Банка, информирование о предложениях по продуктам и услугам, а также о проводимых акциях, об оценке качества обслуживания клиентов и мероприятиях (по которым имеется предварительное согласие на их получение);
− проведение акций, мероприятий, опросов, исследований, заключение, исполнение, изменение и прекращение договоров с субъектами персональных и/или реализация совместных проектов;
− проведение мероприятий, необходимых действий по урегулированию заявлений, претензий, запросов Субъектов персональных данных; отработке сообщений по вопросам качества обслуживания, предоставления продуктов, деятельности каналов продаж;
5
Политика в отношении обработки персональных данных ПАО «МТС-Банк»
− формирование и получение данных о кредитной истории Субъекта персональных данных, осуществления Банком функций по обслуживанию Кредита и сбору задолженности;
− обеспечения пропускного режима на объектах Банка;
− рассмотрениевозможностизаключения, заключениеиисполнениетрудового (гражданско- правового) соглашения/договора с Субъектом персональных данных;
− содействие работникам Банка в трудоустройстве, пользования различного вида льготами в соответствии с требованиями законодательства, обучении и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества);
− прием на практику студентов и выпускников учебных заведений для прохождения ознакомительной, учебной, производственной или преддипломной практики, а также для ознакомления с работой подразделений Банка и дальнейшее рассмотрение практиканта как кандидата на открытые вакансии Банка;
− приемнастажировкустудентовивыпускниковучебныхзаведенийсцельюоценкикачества выполнения работ стажером в рамках заявленного Банком проекта для рассмотрения как кандидата на открытые вакансии;
− регистрация Субъектов персональных данных в Единой биометрической системе;
− выявления случаев мошенничества, хищения денежных средств со счета, иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализации последствий таких действий;
− исполнение поручения третьего лица на обработку персональных данных в соответствии с требованиями действующего законодательства;
− а также для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей.
3.2. В целях анализа поведения посетителей сайта на сайте, а также анализа эффективности используемых в сети Интернет средств рекламы и продвижения ресурса, а также для целей оптимизации Банком своих веб-ресурсов, Банк самостоятельно обрабатывает неперсонализированные сведения о посетителях сайта, в частности:
− IP-адрес, используемыйустройствамипользователявсети"Интернет"длявзаимодействия с сайтом Банка;

− время данного взаимодействия;
− наименованиеинтернет-провайдерапользователя;

− поисковые запросы пользователя;

− географический адрес точки подключения пользователя к сети «Интернет»;
  • − наименование страны пользователя;
  • − сведения об объеме потребленного сетевого трафика, параметры устройства доступа к
  • сервисам Банка (цифровые отпечатки программы просмотра страниц сайта Банка, идентификатор мобильного телефона/сим-карты, информация о местоположении устройства доступа к сервисам Банка (на основе данных сети оператора сотовой связи и сигналов GPS);
  • − информация о версии операционной системы и модели устройства доступа к сервисам Банка;
  • − техническая информация об устройстве доступа к сервисам Банка и используемом ПО (количество посетителей сайта, количество визитов на сайт, среднее время, проведенное на сайте за визит, запрошенный контент сайта, поведение на сайте, глубина просмотра и т. д.);

Посетители сайта заранее уведомляются о такой обработке и, в случае несогласия с ней, могут покинуть сайт Банка или воспользоваться режимом анонимной работы в программе просмотра веб- ресурсов. В этом случае их данные не обрабатываются.
4. ПРАВОВЫЕ ОСНОВАНИЯ ДЛЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Правовым основанием обработки персональных данных в Банке является одно или несколько из следующих условий:
− Устав ПАО «МТС-Банк»
− обработка персональных данных при наличии согласия субъекта персональных данных; − обработка персональных данных при наличии договора, заключаемого с субъектом
персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
− обработка персональных данных для осуществления прав и законных интересов Банка или третьих лиц;
− обработка персональных данных для достижения целей, предусмотренных законодательством.
4.1.1. Согласие на обработку персональных данных
4.1.1.1. Обработка персональных данных может осуществляться Банком на основании согласия на обработку персональных данных. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Банком.
4.1.1.2. Равнозначным содержащему собственноручную подпись Субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с требованиями законодательства.
4.1.1.3. Согласие на обработку персональных данных может быть дано Субъектом персональных данных или его представителем в любой, позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом, в том числе посредством совершения конклюдентных действий:
− в устной форме — в рамках телефонного звонка воспроизводится текст согласия, после прослушивания которого, Субъект персональных данных выражает свое согласие на обработку персональных данных;
− в электронной форме — при предоставлении Субъекту персональных данных услуг Банка, посредством использования сайта Банка, а также при направлении Субъектом персональных данных электронного почтового сообщения (сообщения в социальных сетях, в мессенджерах, посредством чат-бота или аналогичным способом), содержащего персональные данные, Субъект персональных данных выражает свое согласие на обработку персональных данных отметкой в поле формы или выражает конклюдентные действия.
4.1.1.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных, и соответствует Требованиям ст. 10.1 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных», а также Требованиям к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных

данных для распространения, утверждённых Приказом Роскомнадзора от 24.02.2021 No 18.
4.1.1.5. В рамках отказа Субъекта персональных данных от предоставления своих данных в соответствии с требованием федерального закона Банк разъясняет юридические последствия такого
отказа Субъекту персональных данных.
4.1.1.6. Банк имеет право осуществлять обработку персональных данных без наличия
согласия Субъекта персональных данных, либо в случае отзыва такого согласия только при наличии оснований, указанных в ч.2 ст. 9 Федерального закона No152-ФЗ «О персональных данных».
4.1.2. Договор, заключаемый с субъектом персональных данных
4.1.2.1. Обработка персональных данных может осуществляться Банком для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
4.1.2.2. Заключаемый договор между Банком и субъектом персональных данных не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации.
4.1.2.3. Заключаемый договор между Банком и субъектом персональных данных не может содержать положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
4.1.3. Обработка персональных данных для осуществления прав и законных интересов Банка или третьих лиц
4.1.3.1. Обработка персональных данных может выполняться Банком для осуществления прав и законных интересов Банка или третьих лиц, в том числе в случаях, предусмотренных нормативно-правовыми актами, приведенными в п. 4.1. настоящей Политики.
4.1.3.2. Обработка персональных данных может выполняться Банком для осуществления прав и законных интересов Банка или третьих лиц для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
4.1.4.Обработка персональных данных для достижения целей, предусмотренных законодательством
Обработка персональных данных может осуществляться Банком в соответствии и во исполнение совокупности следующих федеральных законов и принятых на их основе нормативных правовых актов, регулирующих отношения, связанные с деятельностью Банка:
− Трудовой Кодекс Российской Федерации от 30.12.2001 г. No 197-ФЗ;
− Гражданский Кодекс Российской Федерации (часть первая) 30.11.1994 г. No 51-ФЗ;
− Налоговый кодекс Российской Федерации (часть первая) от 31.07.1998 No146-ФЗ (ред. от
04.08.2023);
  • − Федеральный закон от 06.12.2011 No402-ФЗ «О бухгалтерском учете»;
  • − Федеральный закон от 27 июля 2006 г. No 149-ФЗ «Об информации, информационных
  • технологиях и о защите информации»;
  • − Федеральный закон от 06.04.2011 No63-ФЗ «Об электронной подписи»;
  • − Федеральный закон от 02.12.1990 No 395−1 «О банках и банковской деятельности»;
  • − Федеральный закон от 30.12.2004 No 218-ФЗ «О кредитных историях»;
  • − Федеральный закон от 22.04.1996 No 39-ФЗ «О рынке ценных бумаг»;
  • − Федеральный закон 26.12.1995 No 208-ФЗ «Об акционерных обществах»;

− Федеральный закон от 07.08.2001 No 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
− Федеральный закон от 10.12.2003 N 173-ФЗ «О валютном регулировании и валютном контроле»;
− Федеральный закон от 03.07.2016 No 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях»;
− Федеральный закон от 01.04.1996 No 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
− Федеральный закон от 22.10.2004 г. No 125-ФЗ «Об архивном деле в Российской Федерации».

5. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. При определении состава обрабатываемых персональных данных Банк руководствуется минимально необходимым перечнем персональных данных для достижения целей обработки персональных данных.
5.2. В Банке осуществляется обработка персональных данных следующих категорий субъектов:
− субъекты, не являющиеся работниками Банка;
− субъекты, являющиеся работниками Банка.
5.3.К категориям субъектов персональных данных, чьи персональные данные
обрабатываются Банком, относятся:
5.3.1. Субъекты, не являющиеся работниками Банка:
− соискатели на вакантную должность;
− родственники работников;
− студенты и выпускники учебных заведений;
− лица, оказывающие услуги (работы) на основании гражданско-правовых договоров;
  • − физические лица, которым оформляются пропуска на территорию мест нахождения Банка,
  • его филиалов, представительств, внутренних структурных подразделений (Посетители);
− представители и работники компаний контрагентов (юридических лиц, индивидуальных
предпринимателей);
− представители субъектов персональных данных — опекуны, иные законные представители,
обладающие правами действовать от имени субъекта персональных данных;
− физические лица и индивидуальные предприниматели, намеревающиеся вступить или
состоящие в договорных и иных гражданско-правовых отношениях с Банком, в том числе через партнеров или контрагентов Банка (заемщики, залогодатели, поручители, вкладчики, владельцы банковских счетов, лица, арендующие банковские сейфовые ячейки; отправители/получатели платежей, депоненты и иные лица, пользующиеся финансовыми услугами Банка);
− лица, обработка персональных данных которых необходима для возникновения и/или исполнения указанных договорных и иных гражданско-правовых отношений (наследник (-и) и иные лица, не состоящие в гражданско-правовых отношениях с Банком);
− акционеры/участники;
− физические лица, аффилированные с Банком;
− физические лица, входящие в органы управления Банка;
− выгодоприобретатели / бенефициары;
− лица, самостоятельно предоставившие свои персональные данные, обратившись в Банк
  • посредством направления почтового отправления (письма), электронного почтового сообщения, сообщения в социальных сетях, в мессенджерах, посредством чат-бота или аналогичным способом;
− пользователи сайта/мобильного приложения Банка — физических и юридических лиц. 5.3.2. Субъекты, являющиеся работниками Банка:
− работники (в т.ч. уволенные);
5.4. При обработке Банком персональных данных не допускается сбор избыточных персональных данных по отношению к заявленным целям обработки. В состав обрабатываемых персональных данных могут входить:
− фамилия, имя, отчество;
− пол;
− число, месяц, год рождения, место рождения, страна рождения;

− гражданство;
− статус (резидент/нерезидент);
− семейное положение;
− социальное положение (в т.ч. сведения о социальных льготах);
− сведения о принадлежащем клиенту имуществе;
− сведения об опеке и попечительстве / об усыновлении;
− образование;
− должность;
− место работы;
− сведения о воинском учете;
− сведения о трудовой деятельности;
− данные документов, удостоверяющих личность;
− реквизиты и данные, содержащиеся в трудовой книжке;
  • − реквизиты и данные содержащиеся в водительском удостоверении;
  • − реквизиты и данные содержащиеся в миграционной карте;
  • − реквизиты и данные содержащиеся в разрешении на временное проживание;
  • − дата и адрес (проживания, регистрации, постановки на учет);
  • − сведения о составе семьи и степени родства;
  • − идентификационный номер налогоплательщика;
  • − страховой номер индивидуального лицевого счёта
  • − сведения о наличии задолженности по налогам, сборам, штрафам;
  • − информация о состоянии индивидуального счета в пенсионном фонде РФ;
  • − сведения о доходах;
  • − реквизиты счетов Субъектов персональных данных;
  • − реквизиты банковских карт;
  • − остатки и суммы движения по счетам;
  • − тип и категория банковских карт и лимиты по ним;
  • − кодовая информация по банковским картам;
  • − контактные данные (телефон, адрес электронной почты);
  • − кредитная история;
  • − сведения, содержащиеся в документах, подтверждающих право на льготы;
  • − фото и видеоизображения;
  • − сведения, указанные в актах гражданского состояния (рождение, заключение брака,
  • расторжение брака, усыновление (удочерение), установление отцовства, перемена имени и смерть);
− сведения из трудового договора работника;
− биометрические персональные данные, обрабатываемые в случаях, предусмотренных
Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных», а также Федеральным законом от 29.12.2022 No 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»;
− данные разрешения на работу или патент;
− сведения о посетителях сайта, cookie — файлы;
− IP-адрес, используемый устройствами пользователя в сети Интернет для взаимодействия с
сайтом Банка (включая адрес в сети Интернет, используемый устройством пользователя, на которое 11
Политика в отношении обработки персональных данных ПАО «МТС-Банк»
установлено мобильное приложение Банка), а также время данного взаимодействия, наименование интернет-провайдера пользователя, поисковые запросы пользователя, географический адрес точки подключения пользователя к сети «Интернет», наименование страны пользователя, сведения об объеме потребленного сетевого трафика;
− параметры устройства доступа к сервисам Банка (цифровые отпечатки программы просмотра страниц сайта Банка, идентификатор мобильного телефона/сим-карты, информация о местоположении устройства доступа к сервисам Банка (на основе данных сети оператора сотовой связи и сигналов GPS), информация о версии операционной системы (далее — ОС) и модели устройства доступа к сервисам Банка, техническая информация об устройстве доступа к сервисам Банка и используемом ПО.
5.5.Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Банком не осуществляется.
5.6. Банк вправе осуществлять обработку сведений о состоянии здоровья в соответствии с Трудовым кодексом, Федеральным законом от 29.11.2010 No 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», Федеральным законом от 17.07.1999 No 178-ФЗ «О государственной социальной помощи», а также Федеральным законом от 15.12.2001 No 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации».
5.7. Банк вправе осуществлять обработку биометрических персональных данных с целью идентификации клиентов при оказании банковских услуг, в соответствии со ст. 9−10 Федерального закона от 29.12.2022 No 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», а также для пропуска работников на территорию Банка.
5.8. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав Субъектов персональных данных (или при отсутствии возможности оценки адекватности защиты), может осуществляться Банком исключительно в случаях исполнения договора, стороной которого является Субъект персональных данных, либо при наличии согласия в письменной форме Субъекта персональных данных на трансграничную передачу его персональных данных, либо в иных случаях, когда такая передача допускается в соответствии с положениями действующего российского законодательства о персональных данных.
6. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1.Принципы обработки персональных данных
6.1.1. Обработка персональных данных Банком осуществляется на основе следующих принципов:
− законность и справедливость обработки персональных данных;
− обработка персональных данных ограничивается достижением конкретных, заранее определенных и конкретных целей обработки;
− не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
− соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки;
− достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
− не допускается объединение созданных для несовместимых между собой целей баз
данных, содержащих персональные данные;
− хранение персональных данных осуществляется в форме, позволяющей определить
субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных;
− производится уничтожение персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.2.Перечень действий с персональными данными
6.2.1. Банк осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление и уничтожение персональных данных.
6.3.Способы обработки персональных данных
6.3.1. Обработка персональных данных в Банке осуществляется следующими способами:
− неавтоматизированная обработка персональных данных;
− автоматизированная обработка персональных данных;
− смешанная обработка персональных данных.
6.3.2. Автоматизированная обработка персональных данных осуществляется в соответствии
с требованиями постановления Правительства Российской Федерации от 01.11.2012 г. No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и методических документов ФСТЭК и ФСБ России по защите информации, а также Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».
6.3.3. Неавтоматизированная обработка персональных данных осуществляется в соответствии с требованиями постановления Правительства Постановление Российской Федерации от 15.09.2008 No 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», нормативных и методических документов ФСТЭК и ФСБ России по защите информации, а также Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».
6.4.Передача персональных данных
6.4.1. Банк вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
6.4.2. При поручении обработки третьему лицу Банк поручает такую обработку с согласия субъекта персональных данных и на основании заключаемого с этим лицом договора, с включением в такой договор обязательных положений по соблюдению принципов и правил обработки и защиты персональных данных, предусмотренных Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных».
6.4.3. В поручении Банка определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого

лица соблюдать конфиденциальность персональных данных, требования, предусмотренные ч.5 ст. ст.18, 18.1 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных».
6.4.4. Лицо, осуществляющее обработку персональных данных по поручению Банка, обязано соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных».
6.4.5. Перечень третьих лиц, которым в рамках осуществления договорных отношений поручается обработка персональных данных, указывается на официальном сайте Банка https://www.mtsbank.ru/o-banke/korporativnye-dokumenty/.
6.4.6. Право доступа к персональным данным Субъектов персональных данных на бумажных и электронных носителях имеют работники Банка в соответствии с их должностными обязанностями.
6.5.Хранение и сроки обработки персональных данных
6.5.1. При осуществлении хранения персональных данных Банк использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных».
6.5.2. Персональные данные неиспользуемые в операционной деятельности Банка, и цель обработки которых не достигнута, могут быть переведены на архивное хранение с соблюдением всех необходимых требований в сфере организации хранения, комплектования, учета и использования архивных документов, определенных Федеральным законом от 22.10.2004 No 125-ФЗ «Об архивном деле в Российской Федерации» и Перечне типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Федерального архивного агентства от 20.12.2019 г. No 236).
6.5.3. Сроки обработки персональных данных определяются сроком действия согласия, договора с Субъектом персональных данных, а также требованиями законодательства Российской Федерации, приведенным в Разделе 4 настоящей Политики.
6.5.4. Создание фото- и видеоизображений в помещениях Банка и на прилегающей территории может производиться Банком с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов. Указанные фото- и видеоизображения, не используются с целью идентификации Субъектов персональных данных и не рассматриваются Банком как биометрические персональные данные.
6.6.Уничтожение персональных данных
6.6.1. Персональные данные Субъектов персональных данных подлежат уничтожению в следующих случаях, если иное не предусмотрено соглашением, договором или федеральным законом:
− достижения целей обработки персональных данных или утраты необходимости в достижении этих целей;
− выявления неправомерной обработки данных, предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки;
− достижение максимальных сроков хранения документов, содержащих персональные данные;
− истечения срока действия согласия на обработку персональных данных, отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется;
− прекращения деятельности организации.
6.6.2. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в ч.6 ст.21 Федерального закона от 27.07.2006 No152-ФЗ «О персональных

данных», Банк осуществляет блокирование таких данных или обеспечивает их блокирование (если обработка осуществляется другим лицом, действующим по поручению Банка) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.

7. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. В соответствии с частью 2 статьи 19 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных» для обеспечения безопасности персональных данных при их обработке в Банке применяются организационные и технические меры защиты, необходимые для обеспечения соответствия установленным уровням защищенности персональных данных, в том числе:
− назначен работник, ответственный за организацию обработки персональных данных;
− разработан пакет организационно-распорядительных документов, регламентирующих порядок обработки и обеспечения безопасности персональных данных;
− персональные данные обрабатываются в соответствии с требованиями организационно- распорядительных документов Банка, регламентирующих порядок обработки и обеспечения безопасности персональных данных;
− применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных;
− осуществляется внутренний контроль соответствия обработки персональных данных требованиям организационно-распорядительных документов Банка, а также требованиям к обеспечению безопасности персональных данных;
− работники Банка, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями организационно-распорядительных документов Банка;
− определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
− предоставление доступа к персональным данным работникам Банка, только для выполнения их должностных/функциональных обязанностей;
7.2. Функции обеспечения контроля за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных Банка, возложены на ответственное структурное подразделение и работников, ответственных за организацию обработки и обеспечение безопасности персональных данных.

8.1. Банк обязуется:

8. ПРАВА И ОБЯЗАННОСТИ
− организовывать обработку персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных»;
− отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных»;
− сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Банку необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
− в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
− обеспечить конфиденциальность информации ограниченного доступа, содержащей персональные данные субъектов персональных данных;
− обеспечить выполнение требований, предъявляемых к обработке персональных данных законодательством и внутренними документами Банка;
− в случае реорганизации или ликвидации Банка осуществлять учет, сохранность и передачу персональных данных субъектов персональных данных на государственное хранение в соответствии с законодательством Российской Федерации.
8.2. Банк имеет право:
− самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных» или другими федеральными законами;
− поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Банка, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных»;
− в случае отзыва субъектом персональных данных согласия на обработку персональных данных Банк вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в ч.5 ст. 21 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных».
8.3. Субъект персональных данных, предоставляющий Банку право на обработку своих персональных данных, в соответствии с положениями Федерального закона от 27.07.2006 No 152-ФЗ

«О персональных данных» имеет право:
− на доступ к своим персональным данным;
− требовать прекращения обработки персональных данных (при отсутствии оснований для
отказа, предусмотренных Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных»);
− на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных Банком;
правовые основания и цели обработки персональных данных;
цели и применяемые Банком способы обработки персональных данных;
наименование и место нахождения Банка, сведения о лицах, которые имеют доступ
к персональным данным или которым могут быть раскрыты персональные данные
на основании договора с Банком или на основании федерального закона;
перечень обрабатываемых персональных данных и источник их получения;
сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных
  • Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных»;
  • информацию об осуществлении или предполагаемой трансграничной передаче
  • данных;
  • наименование и адрес лица, осуществляющего обработку персональных данных по
  • поручению Банка, как оператора персональных данных, если обработка поручена
  • или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом от 27.07.2006 No 152-ФЗ «О
  • персональных данных» или другими федеральными законами.
− на обжалование действий или бездействий Банка в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке в случае нарушений требований
Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных».

9. РЕАГИРОВАНИЕ НА ОБРАЩЕНИЯ И ЗАПРОСЫ В ОБЛАСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. При обращении, запросе в письменном или электронном виде Субъекта персональных данных или его законного представителя, Банк руководствуется требованиями ст. 14, 18 и 20 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных». Заявление должно быть оформлено в произвольной форме с соблюдением требований Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных» и содержать:
− серию, номер основного документа, удостоверяющего личность Субъекта персональных данных (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе; − сведения, подтверждающие участие Субъекта персональных данных в отношениях с Банком (номер договора, дата заключения договора, условное словесное обозначение и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных
Банком;
− подпись Субъекта персональных данных (его представителя).
9.2. В течение десяти дней от даты получения запроса Субъекта персональных данных или
его законного представителя Банк предоставляет запрошенную информацию или мотивированный отказ.
9.3. Банк предоставляет сведения, указанные в п. 8.3. настоящей Политики, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
9.4. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
9.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных», в том числе если:
− обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
− доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.6.В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Уполномоченного органа по защите прав субъектов персональных данных Банк осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
9.7. В случае подтверждения факта неточности персональных данных Банк на основании сведений, представленных субъектом персональных данных или его представителем либо Уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
9.8. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Уполномоченного органа по защите прав субъектов персональных данных Банк осуществляет блокирование неправомерно
обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с 19
Политика в отношении обработки персональных данных ПАО «МТС-Банк»
момента такого обращения или получения запроса.
9.9.При выявлении Банком, Уполномоченным органом по защите прав субъектов
персональных данных или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Банк:
− в течение 24 часов: уведомляет Уполномоченный орган по защите прав субъектов персональных данных о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Банком на взаимодействие с Уполномоченным органом по защите прав субъектов персональных данных по вопросам, связанным с инцидентом;
− в течение 72 часов: уведомляет Уполномоченный орган по защите прав субъектов персональных данных о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

10. ПОРЯДОК ВВОДА В ДЕЙСТВИЕ И ПЕРЕСМОТРА ПОЛИТИКИ
10.1. Ввод в действие и утверждение настоящего документа осуществляется в соответствии с внутренним порядком Банка.
10.2. Пересмотр Политики осуществляется на периодической и внеплановой основе.
10.3. Внеплановое внесение изменений может производиться:
− в случае изменения действующей нормативно-правовой базы в области обработки и
защиты информации;
− по результатам анализа инцидентов информационной безопасности, оценки операционных
рисков и рисков информационной безопасности;
− по результатам проведения самооценок и аудитов информационной безопасности;
− в случае изменения организационной структуры Банка;
− в случае изменения технологических и бизнес-процессов Банка.
10.4. На периодической основе настоящая Политика должна пересматриваться не реже одного
раза в два года.