Политика соблюдения конфиденциальности и обеспечения безопасности персональных данных при их обработке, разработана АО "НК Банк" в соответствии с Федеральным Законом от 27.07.2006 г. № 152- ФЗ "О персональных данных".

1. Сведения об операторе.
1.1. Наименование оператора: Акционерное общество «НК Банк» (АО «НК Банк»).
1.2. Адрес оператора.
Адрес местонахождения: Российская Федерация, 125047, город Москва, Миусская
площадь, дом 2.
Почтовый адрес: Российская Федерация, 125047, город Москва, Миусская площадь,
дом 2.
1.3. Регистрационный номер записи в реестре: 08-0029139.
1.4. ИНН: 7734205131.
1.5. Коды: ОГРН 1027739038536.
2. Общие положения.
2.1. Настоящая Политика соблюдения конфиденциальности и обеспечения безопасности
персональных данных при их обработке в АО «НК Банк» (далее – Политика, Банк)
разработана в соответствии с требованиями Федерального закона от 27.07.2006г. №152-
ФЗ «О персональных данных» (далее – ФЗ № 152 «О персональных данных»).
2.2. Цель Политики состоит в доведении до клиентов и лиц, желающих воспользоваться
продуктами и услугами Банка, необходимой информации, определяющей состав
обрабатываемых персональных данных, цели их обработки, а также соблюдение
требований безопасности, предусмотренных действующим законодательством.
2.3. Предоставление клиентам Банка банковских продуктов и услуг требует сбора и
дальнейшей обработки персональных данных, позволяющих идентифицировать
клиентов Банка, их представителей и (или выгодоприобретателей) и осуществлять их
обслуживание. Состав и объём сведений определяются внутренними нормативными
документами Банка, договорами с клиентами, а так же федеральным законодательством.
В случае непредставления указанными лицами требуемой информации Банк имеет право
отказать им в обслуживании.
2.4. Во исполнение требований ст. 18.1 ФЗ № 152 «О персональных данных» действующая
редакция Политики размещается на официальном сайте Банка http://www.nkbank.ru/.
2.5. Основные термины, используемые в Политике:
 Персональные данные – любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных
данных);
 Оператор персональных данных (оператор) - государственный орган, муниципальный
орган, юридическое или физическое лицо, самостоятельно или совместно с другими
лицами организующие и (или) осуществляющие обработку персональных данных, а
также определяющие цели обработки персональных данных, состав персональных
данных, подлежащих обработке, действия (операции), совершаемые с персональными
данными;
 Обработка персональных данных - любое действие (операция) или совокупность
действий (операций) с персональными данными, совершаемых с использованием
средств автоматизации или без их использования;
 Автоматизированная обработка персональных данных - обработка персональных
данных с помощью средств вычислительной техники;
 Распространение персональных данных - действия, направленные на раскрытие
персональных данных неопределенному кругу лиц;
 Предоставление персональных данных - действия,

 Уничтожение персональных данных - действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной
системе персональных данных и (или) в результате которых уничтожаются
материальные носители персональных данных;
 Информационная система персональных данных - совокупность содержащихся в
базах данных персональных данных и обеспечивающих их обработку
информационных технологий и технических средств;
 Конфиденциальность персональных данных – обязанность оператора и иных лиц,
получивших доступ к персональным данным, не раскрывать третьим лицам и не
распространять персональные данные без согласия субъекта персональных данных,
если иное не предусмотрено федеральным законом.
2.6. Субъект, персональные данные которого обрабатываются в Банке, имеет права,
определённые в ст. 14 – 17 ФЗ № 152 «О персональных данных», в том числе:
 получать перечень обрабатываемых персональных данных и источник их получения;
 узнавать сроки обработки персональных данных, в том числе сроки их хранения;
 получать сведения о том, какие юридические последствия для субъекта персональных
данных может повлечь за собой обработка его персональных данных.
Субъект персональных данных имеет право вносить предложения по внесению
изменений в свои данные в случае обнаружения в них неточностей, требовать извещения
Банком всех лиц, которым ранее были сообщены неверные или неполные персональные
данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
Обращения субъектов персональных данных и ответы на них подлежат регистрации и
учёту в соответствии с порядком документооборота, установленным в Банке.
2.7. Банк, как оператор обрабатывающий персональные данных возлагает на себя
обязанности определенные ФЗ № 152 «О персональных данных», в том числе ст. 18 –
22 ФЗ:
 обработку персональных данных субъектов персональных данных, только в целях
установленных федеральным законодательством и принятыми в соответствии с ним
нормативными правовыми актами;
 предоставление персональных данных субъектам персональных данных по их
запросу, с указанием цели обработки персональных данных и ее правовое основание;
 выполнение мер по обеспечению безопасности персональных данных при их
обработке;
 уведомление уполномоченного органа по защите прав субъектов персональных
данных об обработке персональных данных.
3. Перечень обрабатываемых персональных данных.
3.1. В процессе своей деятельности Банк может осуществлять обработку следующих
персональных данных:
 фамилия, имя, отчество (в том числе прежние), пол, дата и место рождения;
 паспортные данные, данные других документов, удостоверяющих личность (серия
номер, дата выдачи, код подразделения и наименование органа, выдавшего
документ),гражданство;
 адрес места жительства (по паспорту и фактический) и дата регистрации по месту
жительства или месту пребывания;
 индивидуальный номер налогоплательщика (при наличии);
 номера контактных телефонов, адрес электронной почты;
 информация о счетах и операциях по ним;
 учетные записи, сертификаты и другие аналогичные данные пользователей систем
дистанционного банковского обслуживания и владельцев банковских карт
 информация о платежеспособности, составе семьи и имущественных правах лиц,
изъявивших желание воспользоваться кредитными продуктами Банка;
 сведения о трудовых отношениях субъектов персональных данных;
 сведения, собираемые в целях исполнения требований действующего законодательства
РФ при рассмотрении вопросов приёма на работу, обеспечения необходимых условий
работы и профессионального роста, а также полученные в результате осуществления
трудовых отношений с работниками Банка.
3.2. В процессе своей деятельности Банк может осуществлять обработку следующих
персональных данных работников и клиентов: фамилия, имя, отчество, год, месяц, дата
и место рождения, адрес, семейное, социальное, имущественное положение,
образование, профессия, доходы, и другие указанные в договорах и/или соглашениях,
заключенных между Банком и работниками и/или клиентами, и/или иных документах,
представляемых работниками и/или клиентами в Банк в виде оригиналов и/или копий
документов.
4. Порядок и условия обработки персональных данных.
4.1. Обработка персональных данных (в соответствии с условиями договоров между Банком
и клиентами, а также требованиями действующего законодательства РФ) может
осуществляться как путём неавтоматизированной обработки персональных данных, так
и автоматизированной обработки персональных данных с регламентированной системой
доступа, с возможной передачей полученной информации по локальной сети, а так же с
использованием сети общего пользования Интернет.
4.2. Банк вправе поручить обработку персональных данных другому лицу с согласия
субъекта персональных данных, если иное не предусмотрено федеральным законом, на
основании заключаемого с этим лицом договора, в том числе государственного или
муниципального контракта, либо путем принятия государственным или муниципальным
органом соответствующего акта. При этом ответственность перед субъектом
персональных данных за действия указанного лица несет Банк, а лицо, осуществляющее
обработку персональных данных по поручению Банка, несет ответственность перед
Банком (пп. 3, 5 ст. 6 ФЗ № 152 «О персональных данных»).
4.3. В случае если Банк уступит свои права по заключенному между Банком и Клиентом
договору/соглашению третьему лицу (в том числе некредитной и небанковской
организации), то персональные данные могут быть переданы им этому третьему лицу,
при этом Банк обязан уведомить Клиента о наименовании и реквизитах этого третьего
лица, путем направления Клиенту соответствующего уведомления по почтовому адресу,
указанному в договоре/соглашении права по которому уступаются третьему лицу, если
иной порядок направления корреспонденции не установлен этим
договором/соглашением.
4.4. В рамках достижения целей обработки персональных данных при взаимодействии с
третьими лицами:
 Клиент подтверждает и гарантирует Банку, что на дату представления в Банк
персональных данных третьих лиц (физических лиц: поручителей, родственников и
т.д.) им получены письменные согласия каждого из таких третьих лиц (физических
лиц) на обработку Банком их персональных данных, полностью соответствующее по
форме и содержанию требованиям законодательства Российской Федерации о
персональных данных. Клиент настоящим подтверждает и гарантирует, что в дату
получения от каждого из третьих лиц согласия на обработку Банком его персональных
данных он представляет (представит) им информацию, предусмотренную пунктом 3 ст.
18 Закона № 152-ФЗ, а именно:
- наименование и адрес Банка;
- цель обработки персональных данных
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных
данных» права субъекта персональных данных;
- источник получения персональных данных.
 В случае если Банк уступит свои права по заключенному между Банком и Клиентом
договору/соглашению третьему лицу (в том числе некредитной и небанковской
организации), то персональные данные могут быть переданы им этому третьему лицу,
при этом Банк обязан уведомить Клиента о наименовании и реквизитах этого третьего
лица, путем направления Клиенту соответствующего уведомления по почтовому
адресу, указанному в договоре/соглашении права по которому уступаются третьему
лицу, если иной порядок направления корреспонденции не установлен этим
договором/соглашением.
4.5. В целях соблюдения требований конфиденциальности персональных данных,
установленных ст. 7 ФЗ № 152 «О персональных данных» в Банке установлен режим
конфиденциальности информации, включающей персональные данные.
4.6. В целях соблюдения требований установленных ч. 2 ст. 18.1, ч. 1 ст. 19 ФЗ № 152 «О
персональных данных» в Банке принят комплекс правовых, организационных и
технических мер по обеспечению безопасности персональных данных.
4.7. Хранение персональных данных осуществляется в форме, позволяющей определить
субъекта персональных данных не дольше, чем этого требуют цели обработки
персональных данных, кроме случаев, когда срок хранения персональных данных не
установлен федеральным законом, договором, стороной которого,
выгодоприобретателем или поручителем по которому является субъект персональных
данных.
4.8. Сроки обработки персональных данных определяются в соответствие со сроком
действия договора с субъектом ПДн, с приказом Минкультуры РФ №558 от 25.08.2010г.
«Об утверждении «Перечня типовых управленческих архивных документов,
образующихся в деятельности государственных органов, органов самоуправления и
организаций, с указанием сроков хранения», сроком исковой давности, а также иными
требованиями законодательства и нормативными документами Банка России.
4.9. В рамках соблюдения требований установленных ч. 5 ст. 18 ФЗ № 152 «О персональных
данных» при осуществлении хранения персональных данных Банк использует базы
данных, находящиеся на территории Российской Федерации.
4.10. Персональные данные в бумажном виде хранятся в подразделениях Банка,
которые отвечают за взаимодействие с субъектами персональных данных.
4.11. Персональные данные в электронном виде хранятся в базах данных локальной
компьютерной сети. Безопасность электронных баз данных, содержащих персональные
данные субъекта, обеспечивается системой защиты информации.
5. Цели обработки персональных данных.
5.1. Соблюдение требований действующего законодательства Российской Федерации
при осуществлении деятельности, предусмотренной Уставом Банка, в том числе, но не
исключительно: банковских операций, операций с ценными бумагами в качестве
профессионального участника рынка ценных бумаг, а также для получения информации,
необходимой для выполнения требований действующего законодательства Российской
Федерации, регулирующего деятельность акционерных обществ и кредитных
организации, в частности, но не исключительно:
 Осуществление возложенных на Банк законодательством Российской Федерации
функций в соответствии с Налоговым кодексом Российской Федерации, федеральными
законами, в частности: «О банках и банковской деятельности», «О кредитных
историях», «О противодействии легализации (отмыванию) доходов, полученных
преступным путем, и финансированию терроризма», «О валютном регулировании и
валютном контроле», «О рынке ценных бумаг», «О несостоятельности (банкротстве)
кредитных организаций», «О страховании вкладов физических лиц в банках
Российской Федерации», «Об индивидуальном (персонифицированном) учете в
системе обязательного пенсионного страхования», «О персональных данных»,
нормативными актами Банка России, а также Уставом и нормативными актами Банка.
 Организация учета служащих кредитной организации для обеспечения соблюдения
законов и иных нормативно-правовых актов, содействия служащему в трудоустройстве,
обучении, продвижении по службе, пользования различного вида льготами в
соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом
Российской Федерации, федеральными законами, в частности: «Об индивидуальном
(персонифицированном) учете в системе обязательного пенсионного страхования», «О
персональных данных», а также Уставом и нормативными актами Банка.
 Исполнение договора, одной из сторон которого является субъект персональных
данных.
6. Использование персональных данных.
6.1. Доступ к персональным данным субъекта имеют сотрудники Банка, которым
персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
Перечень сотрудников, допущенных к персональным данным, утверждается приказом
по Банку.
6.2. Обязательства по соблюдению режима конфиденциальности информации, включая
персональные данные, отображены в должностных инструкциях сотрудников,
допущенных к персональным данным, и в отдельных соглашениях.
7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на
запросы субъектов на доступ к персональным данным.
7.1. В случае подтверждения факта неточности персональных данных или неправомерности
их обработки персональные данные подлежат их актуализации Банком, а обработка
прекращается.
7.2. При достижении целей обработки персональных данных, а также в случае отзыва
субъектом персональных данных согласия на их обработку персональные данные
подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или
поручителем по которому является субъект персональных данных;
- оператор не вправе осуществлять обработку без согласия субъекта персональных
данных на основаниях, предусмотренных Федеральным законом "О персональных
данных" или иными федеральными законами;
- иное не предусмотрено иным соглашением между оператором и субъектом
персональных данных.
7.3. Банк обязан сообщить субъекту персональных данных или его представителю
информацию об осуществляемой им обработке персональных данных такого субъекта
по запросу последнего.
7.4. Запросы Уполномоченного органа по защите прав субъектов персональных данных и
иных надзорных органов, осуществляющих контроль и надзор в области персональных
данных, рассматриваются, регистрируются и учитываются в соответствии с порядком
документооборота, установленным в Банке.
8. Прекращение обработки персональных данных.
8.1. Банк прекращает обрабатывать персональные данные в случаях:
 Прекращения деятельности Банка;
 Изменения действующего законодательства Российской Федерации;
 В порядке, предусмотренном законодательством РФ, в том числе в случае отзыва
согласия субъекта персональных данных на обработку его персональных данных (пп. 3
- 5 ст. 21 ФЗ № 152 «О персональных данных»).
9. Организация защиты персональных данных.
9.1. В силу специфики банковской деятельности обработка персональных данных в
информационных системах Банка неразрывно связана с защищаемой банковской тайной.
Все работники Банка обязаны хранить тайну об операциях, счетах и вкладах, других
персональных данных его клиентов и корреспондентов, а также об иных сведениях,
устанавливаемых Банком, если это не противоречит действующему законодательству
РФ.
9.2. Являясь кредитной организацией, добровольно присоединившейся к Стандарту Банка
России СТО БР ИББС-1.0.-2012 «Обеспечение информационной безопасности
организаций банковской системы Российской Федерации», Банк хорошо осознаёт
необходимость соблюдения конфиденциальности и обеспечения безопасности
обрабатываемых персональных данных.
9.3. Размещение информационных систем, специальное оборудование и охрана помещений,
в которых ведется работа с персональными данными, организация режима обеспечения
безопасности в этих помещениях обеспечивают сохранность носителей персональных
данных и средств защиты информации, а также исключает возможность
неконтролируемого проникновения или пребывания в этих помещениях посторонних
лиц.
9.4. При обработке персональных данных в информационных системах Банка
обеспечиваются меры, предусмотренные ст.19 152-ФЗ «О персональных данных», в том
числе:
 Проведение мероприятий, направленных на предотвращение несанкционированного
доступа к персональным данным и (или) передачи их лицам, не имеющим права
доступа к такой информации;
 Недопущение воздействия на технические средства автоматизированной обработки
персональных данных, в результате которого может быть нарушено их
функционирование;
 Возможность незамедлительного восстановления персональных данных,
модифицированных или уничтоженных вследствие сбоев в работе информационных
систем и прочих непредвиденных обстоятельств.
9.5. Безопасность персональных данных при их обработке в информационных системах
Банка обеспечивается с помощью организационных и технических мер.
9.6. Организационные меры защиты включают, но не ограничиваются:
9.6.1. определение угроз безопасности персональных данных;
9.6.2. разработку локальных нормативных документов, регламентирующих безопасную
обработку информации, в том числе, персональных данных;
9.6.3. организацию процессов обработки информации с целью минимизации рисков,
своевременную оценку и контроль эффективности принимаемых мер и уровня
защищенности персональных данных;

9.6.4. упорядочивание учет и классификацию объектов информационной
инфраструктуры, взаимодействующих с конфиденциальной информацией, в том
числе, с персональными данными;
9.6.5. учет пользователей, осуществляющих обработку персональных данных, и
доведение до них их обязанностей по соблюдению требований информационной
безопасности при работе с конфиденциальной информацией, в том числе, с
персональными данными;
9.6.6. учет машинных носителей персональных данных;
9.6.7. анализ событий доступа и иных событий безопасности, своевременное принятие
мер.
9.7. Технические меры защиты включают, но не ограничиваются:
9.7.1. применение средств защиты информации, в том числе средств защиты от
воздействия вредоносного кода, шифровальных (криптографических) средств,
прошедших процедуру оценки соответствия средств защиты информации;
9.7.2. защиту и сегментирование сетевой инфраструктуры с целью ограничения
взаимодействия банковских систем, обрабатывающих конфиденциальную
информацию, в том числе, персональные данные, с иными информационными
системами и внешними сетями;
9.7.3. регистрацию событий доступа и иных событий безопасности, выявление и
блокирование попыток несанкционированного доступа к конфиденциальной
информации, в том числе, к персональным данным;
9.7.4. ограничение прав доступа к информации в соответствии с контекстом обработки.