Политика в отношении обработки персональных данных

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
В рамках настоящего документа используются следующие термины и определения:
Наименование термина
Определение термина
Персональные данные
любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (оператор)
государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных
Автоматизированная обработка персональных данных
любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Обработка персональных данных с помощью вычислительной техники.
действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
средств
Распространение персональных данных Предоставление персональных данных
Блокирование персональных данных
временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных
действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обработка персональных данных
любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Политика в отношении обработки персональных данных ПАО «МТС-Банк»
Информационная система персональных данных
совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных
передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Банк
Субъект персональных данных
ПАО «МТС-Банк»
физическое лицо, в отношении которого в соответствии с законом осуществляется обработка персональных данных
Веб-ресурс, сайт
Уникальная страница Банка, предназначенная для публикации в сети Интернет, включающая текстовую, графическую и мультимедиа- компоненты (видео, музыка и т. д.)
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) определяет средства, цели и принципы обработки персональных данных в ПАО «МТС-Банк», (юридический адрес — Россия, 115 432, г. Москва, Андропова пр-т, д. 18, корп. 1) (далее — Банк).
2.2. Настоящая Политика разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных» в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Банка как до, так и после утверждения настоящей Политики.
2.4.Обеспечение безопасности персональных данных и обеспечение соответствия требованиям законодательства Российской Федерации в области обработки и обеспечения безопасности персональных данных является одной из приоритетных задач Банка.
2.5.Персональные данные, обрабатываемые в Банке, относятся к информации ограниченного доступа и на них распространяются все требования по защите информации, установленные во внутренних документах Банка.
2.6. Банк организует и обеспечивает обработку и безопасность персональных данных в соответствии с нормативно-методическими документами регуляторов в области обработки и обеспечения безопасности персональных данных, а также положениями нормативно-правовых актов Российской Федерации.
2.7.Необходимые правовые, организационные и технические меры для защиты персональных данных регламентируются внутренними документами Банка в области защиты информации.
2.8. Политика действует в отношении всех персональных данных, обрабатываемых Банком.
2.9. Во исполнение требований ч. 2 ст. 18.1 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных» данных настоящая Политика размещена на официальном сайте Банка: mtsbank.ru/o-banke/personalnye-dannye/ для обеспечения неограниченного доступа к ней.
3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Банк обрабатывает персональные данные в целях:
− осуществлениебанковскихоперацийизаключение/исполнениедоговороввсоответствиис Уставом Банка и выданными Банку лицензиями на совершение банковских и иных операций;
− рассмотрение возможности предоставления финансовых или иных услуг Субъекту персональных данных в соответствии с законодательством Российской Федерации;
− предоставление Субъекту персональных данных информации, путем осуществления прямых контактов с помощью связи, об оказываемых услугах, о разработке Банком новых продуктов и услуг, об услугах партнеров Банка, информирование о предложениях по продуктам и услугам, а также о проводимых акциях, об оценке качества обслуживания клиентов и мероприятиях (по которым имеется предварительное согласие на их получение);
− проведение акций, мероприятий, опросов, исследований, заключение, исполнение, изменение и прекращение договоров с субъектами персональных и/или реализация совместных проектов;
− проведение мероприятий, необходимых действий по урегулированию заявлений, претензий, запросов Субъектов персональных данных; отработке сообщений по вопросам качества обслуживания, предоставления продуктов, деятельности каналов продаж;
5
Политика в отношении обработки персональных данных ПАО «МТС-Банк»
− формирование и получение данных о кредитной истории Субъекта персональных данных, осуществления Банком функций по обслуживанию Кредита и сбору задолженности;
− обеспечения пропускного режима на объектах Банка;
− рассмотрениевозможностизаключения, заключениеиисполнениетрудового (гражданско- правового) соглашения/договора с Субъектом персональных данных;
− содействие работникам Банка в трудоустройстве, пользования различного вида льготами в соответствии с требованиями законодательства, обучении и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества);
− прием на практику студентов и выпускников учебных заведений для прохождения ознакомительной, учебной, производственной или преддипломной практики, а также для ознакомления с работой подразделений Банка и дальнейшее рассмотрение практиканта как кандидата на открытые вакансии Банка;
− приемнастажировкустудентовивыпускниковучебныхзаведенийсцельюоценкикачества выполнения работ стажером в рамках заявленного Банком проекта для рассмотрения как кандидата на открытые вакансии;
− регистрация Субъектов персональных данных в Единой биометрической системе;
− выявления случаев мошенничества, хищения денежных средств со счета, иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализации последствий таких действий;
− исполнение поручения третьего лица на обработку персональных данных в соответствии с требованиями действующего законодательства;
− а также для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей.
3.2. В целях анализа поведения посетителей сайта на сайте, а также анализа эффективности используемых в сети Интернет средств рекламы и продвижения ресурса, а также для целей оптимизации Банком своих веб-ресурсов, Банк самостоятельно обрабатывает неперсонализированные сведения о посетителях сайта, в частности:
− IP-адрес, используемыйустройствамипользователявсети"Интернет"длявзаимодействия с сайтом Банка;

− время данного взаимодействия;
− наименованиеинтернет-провайдерапользователя;

− поисковые запросы пользователя;

− географический адрес точки подключения пользователя к сети «Интернет»;

− наименование страны пользователя;
− сведения об объеме потребленного сетевого трафика, параметры устройства доступа к
сервисам Банка (цифровые отпечатки программы просмотра страниц сайта Банка, идентификатор мобильного телефона/сим-карты, информация о местоположении устройства доступа к сервисам Банка (на основе данных сети оператора сотовой связи и сигналов GPS);
− информация о версии операционной системы и модели устройства доступа к сервисам Банка;
− техническая информация об устройстве доступа к сервисам Банка и используемом ПО (количество посетителей сайта, количество визитов на сайт, среднее время, проведенное на сайте за визит, запрошенный контент сайта, поведение на сайте, глубина просмотра и т. д.);

Посетители сайта заранее уведомляются о такой обработке и, в случае несогласия с ней, могут покинуть сайт Банка или воспользоваться режимом анонимной работы в программе просмотра веб- ресурсов. В этом случае их данные не обрабатываются.
4. ПРАВОВЫЕ ОСНОВАНИЯ ДЛЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Правовым основанием обработки персональных данных в Банке является одно или несколько из следующих условий:
− Устав ПАО «МТС-Банк»
− обработка персональных данных при наличии согласия субъекта персональных данных; − обработка персональных данных при наличии договора, заключаемого с субъектом
персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
− обработка персональных данных для осуществления прав и законных интересов Банка или третьих лиц;
− обработка персональных данных для достижения целей, предусмотренных законодательством.
4.1.1. Согласие на обработку персональных данных
4.1.1.1. Обработка персональных данных может осуществляться Банком на основании согласия на обработку персональных данных. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Банком.
4.1.1.2. Равнозначным содержащему собственноручную подпись Субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с требованиями законодательства.
4.1.1.3. Согласие на обработку персональных данных может быть дано Субъектом персональных данных или его представителем в любой, позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом, в том числе посредством совершения конклюдентных действий:
− в устной форме — в рамках телефонного звонка воспроизводится текст согласия, после прослушивания которого, Субъект персональных данных выражает свое согласие на обработку персональных данных;
− в электронной форме — при предоставлении Субъекту персональных данных услуг Банка, посредством использования сайта Банка, а также при направлении Субъектом персональных данных электронного почтового сообщения (сообщения в социальных сетях, в мессенджерах, посредством чат-бота или аналогичным способом), содержащего персональные данные, Субъект персональных данных выражает свое согласие на обработку персональных данных отметкой в поле формы или выражает конклюдентные действия.
4.1.1.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных, и соответствует Требованиям ст. 10.1 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных», а также Требованиям к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных

данных для распространения, утверждённых Приказом Роскомнадзора от 24.02.2021 No 18.
4.1.1.5. В рамках отказа Субъекта персональных данных от предоставления своих данных в соответствии с требованием федерального закона Банк разъясняет юридические последствия такого
отказа Субъекту персональных данных.
4.1.1.6. Банк имеет право осуществлять обработку персональных данных без наличия
согласия Субъекта персональных данных, либо в случае отзыва такого согласия только при наличии оснований, указанных в ч.2 ст. 9 Федерального закона No152-ФЗ «О персональных данных».
4.1.2. Договор, заключаемый с субъектом персональных данных
4.1.2.1. Обработка персональных данных может осуществляться Банком для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
4.1.2.2. Заключаемый договор между Банком и субъектом персональных данных не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации.
4.1.2.3. Заключаемый договор между Банком и субъектом персональных данных не может содержать положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
4.1.3. Обработка персональных данных для осуществления прав и законных интересов Банка или третьих лиц
4.1.3.1. Обработка персональных данных может выполняться Банком для осуществления прав и законных интересов Банка или третьих лиц, в том числе в случаях, предусмотренных нормативно-правовыми актами, приведенными в п. 4.1. настоящей Политики.
4.1.3.2. Обработка персональных данных может выполняться Банком для осуществления прав и законных интересов Банка или третьих лиц для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
4.1.4.Обработка персональных данных для достижения целей, предусмотренных законодательством
Обработка персональных данных может осуществляться Банком в соответствии и во исполнение совокупности следующих федеральных законов и принятых на их основе нормативных правовых актов, регулирующих отношения, связанные с деятельностью Банка:
− Трудовой Кодекс Российской Федерации от 30.12.2001 г. No 197-ФЗ;
− Гражданский Кодекс Российской Федерации (часть первая) 30.11.1994 г. No 51-ФЗ;
− Налоговый кодекс Российской Федерации (часть первая) от 31.07.1998 No146-ФЗ (ред. от
04.08.2023);

− Федеральный закон от 06.12.2011 No402-ФЗ «О бухгалтерском учете»;
− Федеральный закон от 27 июля 2006 г. No 149-ФЗ «Об информации, информационных
технологиях и о защите информации»;
− Федеральный закон от 06.04.2011 No63-ФЗ «Об электронной подписи»;
− Федеральный закон от 02.12.1990 No 395−1 «О банках и банковской деятельности»;
− Федеральный закон от 30.12.2004 No 218-ФЗ «О кредитных историях»;
− Федеральный закон от 22.04.1996 No 39-ФЗ «О рынке ценных бумаг»;
− Федеральный закон 26.12.1995 No 208-ФЗ «Об акционерных обществах»;

− Федеральный закон от 07.08.2001 No 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
− Федеральный закон от 10.12.2003 N 173-ФЗ «О валютном регулировании и валютном контроле»;
− Федеральный закон от 03.07.2016 No 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях»;
− Федеральный закон от 01.04.1996 No 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
− Федеральный закон от 22.10.2004 г. No 125-ФЗ «Об архивном деле в Российской Федерации».

5. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. При определении состава обрабатываемых персональных данных Банк руководствуется минимально необходимым перечнем персональных данных для достижения целей обработки персональных данных.
5.2. В Банке осуществляется обработка персональных данных следующих категорий субъектов:
− субъекты, не являющиеся работниками Банка;
− субъекты, являющиеся работниками Банка.
5.3.К категориям субъектов персональных данных, чьи персональные данные
обрабатываются Банком, относятся:
5.3.1. Субъекты, не являющиеся работниками Банка:
− соискатели на вакантную должность;
− родственники работников;
− студенты и выпускники учебных заведений;
− лица, оказывающие услуги (работы) на основании гражданско-правовых договоров;

− физические лица, которым оформляются пропуска на территорию мест нахождения Банка,
его филиалов, представительств, внутренних структурных подразделений (Посетители);

− представители и работники компаний контрагентов (юридических лиц, индивидуальных
предпринимателей);
− представители субъектов персональных данных — опекуны, иные законные представители,
обладающие правами действовать от имени субъекта персональных данных;
− физические лица и индивидуальные предприниматели, намеревающиеся вступить или
состоящие в договорных и иных гражданско-правовых отношениях с Банком, в том числе через партнеров или контрагентов Банка (заемщики, залогодатели, поручители, вкладчики, владельцы банковских счетов, лица, арендующие банковские сейфовые ячейки; отправители/получатели платежей, депоненты и иные лица, пользующиеся финансовыми услугами Банка);
− лица, обработка персональных данных которых необходима для возникновения и/или исполнения указанных договорных и иных гражданско-правовых отношений (наследник (-и) и иные лица, не состоящие в гражданско-правовых отношениях с Банком);
− акционеры/участники;
− физические лица, аффилированные с Банком;
− физические лица, входящие в органы управления Банка;
− выгодоприобретатели / бенефициары;
− лица, самостоятельно предоставившие свои персональные данные, обратившись в Банк

посредством направления почтового отправления (письма), электронного почтового сообщения, сообщения в социальных сетях, в мессенджерах, посредством чат-бота или аналогичным способом;

− пользователи сайта/мобильного приложения Банка — физических и юридических лиц. 5.3.2. Субъекты, являющиеся работниками Банка:
− работники (в т.ч. уволенные);
5.4. При обработке Банком персональных данных не допускается сбор избыточных персональных данных по отношению к заявленным целям обработки. В состав обрабатываемых персональных данных могут входить:
− фамилия, имя, отчество;
− пол;
− число, месяц, год рождения, место рождения, страна рождения;

− гражданство;
− статус (резидент/нерезидент);
− семейное положение;
− социальное положение (в т.ч. сведения о социальных льготах);
− сведения о принадлежащем клиенту имуществе;
− сведения об опеке и попечительстве / об усыновлении;
− образование;
− должность;
− место работы;
− сведения о воинском учете;
− сведения о трудовой деятельности;
− данные документов, удостоверяющих личность;
− реквизиты и данные, содержащиеся в трудовой книжке;

− реквизиты и данные содержащиеся в водительском удостоверении;
− реквизиты и данные содержащиеся в миграционной карте;
− реквизиты и данные содержащиеся в разрешении на временное проживание;
− дата и адрес (проживания, регистрации, постановки на учет);
− сведения о составе семьи и степени родства;
− идентификационный номер налогоплательщика;
− страховой номер индивидуального лицевого счёта
− сведения о наличии задолженности по налогам, сборам, штрафам;
− информация о состоянии индивидуального счета в пенсионном фонде РФ;
− сведения о доходах;
− реквизиты счетов Субъектов персональных данных;
− реквизиты банковских карт;
− остатки и суммы движения по счетам;
− тип и категория банковских карт и лимиты по ним;
− кодовая информация по банковским картам;
− контактные данные (телефон, адрес электронной почты);
− кредитная история;
− сведения, содержащиеся в документах, подтверждающих право на льготы;
− фото и видеоизображения;
− сведения, указанные в актах гражданского состояния (рождение, заключение брака,
расторжение брака, усыновление (удочерение), установление отцовства, перемена имени и смерть);

− сведения из трудового договора работника;
− биометрические персональные данные, обрабатываемые в случаях, предусмотренных
Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных», а также Федеральным законом от 29.12.2022 No 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»;
− данные разрешения на работу или патент;
− сведения о посетителях сайта, cookie — файлы;
− IP-адрес, используемый устройствами пользователя в сети Интернет для взаимодействия с
сайтом Банка (включая адрес в сети Интернет, используемый устройством пользователя, на которое 11
Политика в отношении обработки персональных данных ПАО «МТС-Банк»
установлено мобильное приложение Банка), а также время данного взаимодействия, наименование интернет-провайдера пользователя, поисковые запросы пользователя, географический адрес точки подключения пользователя к сети «Интернет», наименование страны пользователя, сведения об объеме потребленного сетевого трафика;
− параметры устройства доступа к сервисам Банка (цифровые отпечатки программы просмотра страниц сайта Банка, идентификатор мобильного телефона/сим-карты, информация о местоположении устройства доступа к сервисам Банка (на основе данных сети оператора сотовой связи и сигналов GPS), информация о версии операционной системы (далее — ОС) и модели устройства доступа к сервисам Банка, техническая информация об устройстве доступа к сервисам Банка и используемом ПО.
5.5.Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Банком не осуществляется.
5.6. Банк вправе осуществлять обработку сведений о состоянии здоровья в соответствии с Трудовым кодексом, Федеральным законом от 29.11.2010 No 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», Федеральным законом от 17.07.1999 No 178-ФЗ «О государственной социальной помощи», а также Федеральным законом от 15.12.2001 No 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации».
5.7. Банк вправе осуществлять обработку биометрических персональных данных с целью идентификации клиентов при оказании банковских услуг, в соответствии со ст. 9−10 Федерального закона от 29.12.2022 No 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», а также для пропуска работников на территорию Банка.
5.8. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав Субъектов персональных данных (или при отсутствии возможности оценки адекватности защиты), может осуществляться Банком исключительно в случаях исполнения договора, стороной которого является Субъект персональных данных, либо при наличии согласия в письменной форме Субъекта персональных данных на трансграничную передачу его персональных данных, либо в иных случаях, когда такая передача допускается в соответствии с положениями действующего российского законодательства о персональных данных.

6. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1.Принципы обработки персональных данных
6.1.1. Обработка персональных данных Банком осуществляется на основе следующих принципов:
− законность и справедливость обработки персональных данных;
− обработка персональных данных ограничивается достижением конкретных, заранее определенных и конкретных целей обработки;
− не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
− соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки;
− достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
− не допускается объединение созданных для несовместимых между собой целей баз
данных, содержащих персональные данные;
− хранение персональных данных осуществляется в форме, позволяющей определить
субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных;
− производится уничтожение персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.2.Перечень действий с персональными данными
6.2.1. Банк осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление и уничтожение персональных данных.
6.3.Способы обработки персональных данных
6.3.1. Обработка персональных данных в Банке осуществляется следующими способами:
− неавтоматизированная обработка персональных данных;
− автоматизированная обработка персональных данных;
− смешанная обработка персональных данных.
6.3.2. Автоматизированная обработка персональных данных осуществляется в соответствии
с требованиями постановления Правительства Российской Федерации от 01.11.2012 г. No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и методических документов ФСТЭК и ФСБ России по защите информации, а также Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».
6.3.3. Неавтоматизированная обработка персональных данных осуществляется в соответствии с требованиями постановления Правительства Постановление Российской Федерации от 15.09.2008 No 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», нормативных и методических документов ФСТЭК и ФСБ России по защите информации, а также Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».
6.4.Передача персональных данных
6.4.1. Банк вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
6.4.2. При поручении обработки третьему лицу Банк поручает такую обработку с согласия субъекта персональных данных и на основании заключаемого с этим лицом договора, с включением в такой договор обязательных положений по соблюдению принципов и правил обработки и защиты персональных данных, предусмотренных Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных».
6.4.3. В поручении Банка определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого

лица соблюдать конфиденциальность персональных данных, требования, предусмотренные ч.5 ст. ст.18, 18.1 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных».
6.4.4. Лицо, осуществляющее обработку персональных данных по поручению Банка, обязано соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных».
6.4.5. Перечень третьих лиц, которым в рамках осуществления договорных отношений поручается обработка персональных данных, указывается на официальном сайте Банка https://www.mtsbank.ru/o-banke/korporativnye-dokumenty/.
6.4.6. Право доступа к персональным данным Субъектов персональных данных на бумажных и электронных носителях имеют работники Банка в соответствии с их должностными обязанностями.
6.5.Хранение и сроки обработки персональных данных
6.5.1. При осуществлении хранения персональных данных Банк использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных».
6.5.2. Персональные данные неиспользуемые в операционной деятельности Банка, и цель обработки которых не достигнута, могут быть переведены на архивное хранение с соблюдением всех необходимых требований в сфере организации хранения, комплектования, учета и использования архивных документов, определенных Федеральным законом от 22.10.2004 No 125-ФЗ «Об архивном деле в Российской Федерации» и Перечне типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Федерального архивного агентства от 20.12.2019 г. No 236).
6.5.3. Сроки обработки персональных данных определяются сроком действия согласия, договора с Субъектом персональных данных, а также требованиями законодательства Российской Федерации, приведенным в Разделе 4 настоящей Политики.
6.5.4. Создание фото- и видеоизображений в помещениях Банка и на прилегающей территории может производиться Банком с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов. Указанные фото- и видеоизображения, не используются с целью идентификации Субъектов персональных данных и не рассматриваются Банком как биометрические персональные данные.
6.6.Уничтожение персональных данных
6.6.1. Персональные данные Субъектов персональных данных подлежат уничтожению в следующих случаях, если иное не предусмотрено соглашением, договором или федеральным законом:
− достижения целей обработки персональных данных или утраты необходимости в достижении этих целей;
− выявления неправомерной обработки данных, предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки;
− достижение максимальных сроков хранения документов, содержащих персональные данные;
− истечения срока действия согласия на обработку персональных данных, отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется;
− прекращения деятельности организации.
6.6.2. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в ч.6 ст.21 Федерального закона от 27.07.2006 No152-ФЗ «О персональных

данных», Банк осуществляет блокирование таких данных или обеспечивает их блокирование (если обработка осуществляется другим лицом, действующим по поручению Банка) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.

7. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. В соответствии с частью 2 статьи 19 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных» для обеспечения безопасности персональных данных при их обработке в Банке применяются организационные и технические меры защиты, необходимые для обеспечения соответствия установленным уровням защищенности персональных данных, в том числе:
− назначен работник, ответственный за организацию обработки персональных данных;
− разработан пакет организационно-распорядительных документов, регламентирующих порядок обработки и обеспечения безопасности персональных данных;
− персональные данные обрабатываются в соответствии с требованиями организационно- распорядительных документов Банка, регламентирующих порядок обработки и обеспечения безопасности персональных данных;
− применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных;
− осуществляется внутренний контроль соответствия обработки персональных данных требованиям организационно-распорядительных документов Банка, а также требованиям к обеспечению безопасности персональных данных;
− работники Банка, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями организационно-распорядительных документов Банка;
− определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
− предоставление доступа к персональным данным работникам Банка, только для выполнения их должностных/функциональных обязанностей;
7.2. Функции обеспечения контроля за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных Банка, возложены на ответственное структурное подразделение и работников, ответственных за организацию обработки и обеспечение безопасности персональных данных.

8.1. Банк обязуется:

8. ПРАВА И ОБЯЗАННОСТИ
− организовывать обработку персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных»;
− отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных»;
− сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Банку необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
− в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
− обеспечить конфиденциальность информации ограниченного доступа, содержащей персональные данные субъектов персональных данных;
− обеспечить выполнение требований, предъявляемых к обработке персональных данных законодательством и внутренними документами Банка;
− в случае реорганизации или ликвидации Банка осуществлять учет, сохранность и передачу персональных данных субъектов персональных данных на государственное хранение в соответствии с законодательством Российской Федерации.
8.2. Банк имеет право:
− самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных» или другими федеральными законами;
− поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Банка, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных»;
− в случае отзыва субъектом персональных данных согласия на обработку персональных данных Банк вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в ч.5 ст. 21 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных».
8.3. Субъект персональных данных, предоставляющий Банку право на обработку своих персональных данных, в соответствии с положениями Федерального закона от 27.07.2006 No 152-ФЗ

«О персональных данных» имеет право:
− на доступ к своим персональным данным;
− требовать прекращения обработки персональных данных (при отсутствии оснований для
отказа, предусмотренных Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных»);
− на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных Банком;
правовые основания и цели обработки персональных данных;
цели и применяемые Банком способы обработки персональных данных;
наименование и место нахождения Банка, сведения о лицах, которые имеют доступ
к персональным данным или которым могут быть раскрыты персональные данные
на основании договора с Банком или на основании федерального закона;
перечень обрабатываемых персональных данных и источник их получения;
сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных

Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных»;
информацию об осуществлении или предполагаемой трансграничной передаче
данных;
наименование и адрес лица, осуществляющего обработку персональных данных по
поручению Банка, как оператора персональных данных, если обработка поручена
или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом от 27.07.2006 No 152-ФЗ «О
персональных данных» или другими федеральными законами.

− на обжалование действий или бездействий Банка в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке в случае нарушений требований
Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных».

9. РЕАГИРОВАНИЕ НА ОБРАЩЕНИЯ И ЗАПРОСЫ В ОБЛАСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. При обращении, запросе в письменном или электронном виде Субъекта персональных данных или его законного представителя, Банк руководствуется требованиями ст. 14, 18 и 20 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных». Заявление должно быть оформлено в произвольной форме с соблюдением требований Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных» и содержать:
− серию, номер основного документа, удостоверяющего личность Субъекта персональных данных (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе; − сведения, подтверждающие участие Субъекта персональных данных в отношениях с Банком (номер договора, дата заключения договора, условное словесное обозначение и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных
Банком;
− подпись Субъекта персональных данных (его представителя).
9.2. В течение десяти дней от даты получения запроса Субъекта персональных данных или
его законного представителя Банк предоставляет запрошенную информацию или мотивированный отказ.
9.3. Банк предоставляет сведения, указанные в п. 8.3. настоящей Политики, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
9.4. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
9.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных», в том числе если:
− обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
− доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.6.В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Уполномоченного органа по защите прав субъектов персональных данных Банк осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
9.7. В случае подтверждения факта неточности персональных данных Банк на основании сведений, представленных субъектом персональных данных или его представителем либо Уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
9.8. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Уполномоченного органа по защите прав субъектов персональных данных Банк осуществляет блокирование неправомерно
обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с 19
Политика в отношении обработки персональных данных ПАО «МТС-Банк»
момента такого обращения или получения запроса.
9.9.При выявлении Банком, Уполномоченным органом по защите прав субъектов
персональных данных или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Банк:
− в течение 24 часов: уведомляет Уполномоченный орган по защите прав субъектов персональных данных о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Банком на взаимодействие с Уполномоченным органом по защите прав субъектов персональных данных по вопросам, связанным с инцидентом;
− в течение 72 часов: уведомляет Уполномоченный орган по защите прав субъектов персональных данных о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

10. ПОРЯДОК ВВОДА В ДЕЙСТВИЕ И ПЕРЕСМОТРА ПОЛИТИКИ
10.1. Ввод в действие и утверждение настоящего документа осуществляется в соответствии с внутренним порядком Банка.
10.2. Пересмотр Политики осуществляется на периодической и внеплановой основе.
10.3. Внеплановое внесение изменений может производиться:
− в случае изменения действующей нормативно-правовой базы в области обработки и
защиты информации;
− по результатам анализа инцидентов информационной безопасности, оценки операционных
рисков и рисков информационной безопасности;
− по результатам проведения самооценок и аудитов информационной безопасности;
− в случае изменения организационной структуры Банка;
− в случае изменения технологических и бизнес-процессов Банка.
10.4. На периодической основе настоящая Политика должна пересматриваться не реже одного
раза в два года.