АГУЛЬНЫЯ ПАЛАЖЭННІ
Гэта Палітыка распрацавана ў адпаведнасці з нарматыўнымі прававымі актамі, ЛПА, названымі ў дадатку 1 да гэтай Палітыкі. Гэта Палітыка з’яўляецца часткай Палітыкі інфармацыйнай бяспекі Банка ў частцы забеспячэння патрабуемага ўзроўню бяспекі інфармацыі, персанальных даных у аўтаматызаваных сістэмах Банка і без выкарыстання сродкаў аўтаматызацыі пры асабістым звароце фізічнай асобы ў Банк.
Гэта Палітыка служыць асновай для арганізацыі работы па апрацоўцы персанальных даных у Банку, а таксама для распрацоўкі ЛПА (рэестраў, рэгламентаў, методык, тэхналагічных рэгламентаў і інш.), якія рэгламентуюць працэс апрацоўкі персанальных даных у Банку.
Гэту Палітыку дапаўняюць прыватныя Палітыкі апрацоўкі персанальных даных па напрамках дзейнасці, якія адлюстроўваюць мэты апрацоўкі персанальных даных, падставы апрацоўкі, пералік суб’ектаў персанальных даных і апрацоўваемых даных для кожнай Палітыкі, згодна з напрамкам бізнес-працэсу: Палітыка апрацоўкі персанальных даных кліентаў і контрагентаў у ААТ «ААБ Беларусбанк», Палітыка апрацоўкі персанальных даных у сферы працоўных і звязаных з імі адносін, падбору персанала, у сферы адукацыі, ажыццяўлення адміністрацыйных працэдур па заявах работнікаў у ААТ «ААБ Беларусбанк», Палітыка відэаназірання ў ААТ «ААБ Беларусбанк», Палітыка ў дачыненні да апрацоўкі файлаў cookie у ААТ «ААБ Беларусбанк» і іншыя палітыкі, звязаныя з апрацоўкай персанальных даных, якія распрацоўваюцца Банкам (далей – прыватныя Палітыкі).
Пры арганізацыі працэсаў апрацоўкі персанальных даных Банк зыходзіць з неабходнасці ўдзелу ўсіх работнікаў Банка ў рамках іх службовых абавязкаў у захаванасці персанальных даных і празрыстасці пры іх апрацоўцы.
Асноўныя тэрміны, скарачэнні і іх азначэнні, якія выкарыстоўваюцца ў гэтай Палітыцы, прыведзены ў дадатку 2 да гэтай Палітыкі.
МЭТЫ АПРАЦОЎКІ ПЕРСАНАЛЬНЫХ ДАНЫХ, СРОДКІ ІХ РЭАЛІЗАЦЫІ
Мэтай гэтай Палітыкі з’яўляецца ўстанаўленне асноўных прынцыпаў і падыходаў да апрацоўкі і забеспячэння абароны персанальных даных у Банку ў адпаведнасці з патрабаваннямі [2].
Банк ажыццяўляе апрацоўку персанальных даных у мэтах:
ідэнтыфікацыі/аўтэнтыфікацыі суб’екта персанальных даных пры ажыццяўленні банкаўскіх і іншых аперацый;
ажыццяўлення банкаўскіх і іншых аперацый, здзелак у адпаведнасці з заканадаўствам, Статутам Банка, выдадзенымі Банку спецыяльнымі дазволамі (ліцэнзіямі), ЛПА;
заключэння з суб’ектам персанальных даных любых дагавораў і іх далейшага выканання (у тым ліку змянення і скасавання);
прадастаўлення суб’екту персанальных даных інфармацыі аб аказваемых Банкам паслугах (здзяйсняемых аперацыях), аб распрацоўцы Банкам новых банкаўскіх прадуктаў і паслуг, аб паслугах (прадуктах) арганізацый, удзельнікаў банкаўскага холдынгу;
правядзення Банкам акцый, апытанняў, даследаванняў, іншых аналагічных мерапрыемстваў;
ажыццяўлення рассылкі паведамленняў інфармацыйнага характару, прапаноў скарыстацца паслугамі (прадуктамі) Банка, іншых прапаноў, рэкламнай, даведачнай інфармацыі, звязаных з аказаннем Банкам паслуг;
вядзення кадравай работы і арганізацыі ўліку кандыдатаў і работнікаў Банка;
рэгулявання працоўных і іншых, непасрэдна звязаных з імі, адносін;
прадастаўлення персанальных даных дзяржаўным органам у рамках выканання заканадаўства ў адпаведнасці з артыкулам 121 [1];
выканання патрабаванняў у дачыненні да персанальных даных у рамках выканання [3];
прадастаўлення персанальных даных суб’ектаў персанальных даных – рэзідэнтаў у ПК «Міжбанкаўская сістэма ідэнтыфікацыі кліентаў» ААТ «Нябанкаўская крэдытна-фінансавая арганізацыя «АРІП» у рамках выканання [5], [6];
прадастаўлення персанальных даных у адпаведнасці з патрабаваннямі заканадаўства ў рамках ажыццяўлення Банкам прафесійнай дзейнасці на рынку каштоўных папер [4];
выяўлення Банкам выпадкаў махлярства, крадзяжу грашовых сродкаў, іншых супрацьпраўных дзеянняў, прадухілення такіх супрацьпраўных дзеянняў у далейшым і лакалізацыі наступстваў такіх дзеянняў;
павышэння якасці абслугоўвання насельніцтва;
аптымізацыі бізнес-працэсаў Банка;
фарміравання спецыяльных прапаноў для кліентаў з наступным іх продажам з дапамогай дыстанцыйных банкаўскіх паслуг Банка, кантакт-цэнтра, устаноў Банка;
удасканалення прадуктаў/паслуг Банка;
прадастаўлення персанальных даных суб’ектаў персанальных даных у аўтаматызаваную сістэму ўліку базавых рахункаў ААТ «Беларускі міжбанкаўскі разліковы цэнтр»;
прадастаўлення персанальных даных суб’ектаў персанальных даных упаўнаважанай асобе на падставе дагавору для апрацоўкі персанальных даных ад імя Банка або ў інтарэсах Банка;
іншых, якія не супярэчаць заканадаўству.
Канкрэтныя мэты апрацоўкі персанальных даных пазначаны ў дадатку 3 да гэтай Палітыкі, а таксама ў прыватных Палітыках.
Мэты гэтай Палітыкі рэалізуюцца з дапамогай:
інвентарызацыі працэсаў (каналаў), ПК, падчас якіх ажыццяўляецца апрацоўка персанальных даных;
аналізу ЛПА, дагавораў на адпаведнасць нормам гэтай Палітыкі і заканадаўства ў частцы апрацоўкі персанальных даных і пры неабходнасці ўнясення змяненняў у ЛПА, дагаворы;
размяшчэння інфармацыі на карпаратыўным вэб-сайце Банка ў сетцы Інтэрнэт у дачыненні да апрацоўкі персанальных даных для наведвальнікаў сайта;
дапрацоўкі ПК Банка;
вызначэння падраздзялення/асобы, адказнай за ажыццяўленне ўнутранага кантролю за апрацоўкай персанальных даных.
АГУЛЬНЫЯ ПРЫНЦЫПЫ АПРАЦОЎКІ ПЕРСАНАЛЬНЫХ ДАНЫХ
Апрацоўка персанальных даных ажыццяўляецца на аснове агульных прынцыпаў:
законнасці загадзя вызначаных канкрэтных мэт і спосабаў апрацоўкі персанальных даных;
недапушчальнасці ўздзеяння на тэхнічныя сродкі апрацоўкі персанальных даных, у выніку якога парушаецца іх функцыянаванне;
забеспячэння магчымасці неадкладнага аднаўлення персанальных даных, мадыфікаваных (змененых) або знішчаных у выніку неправамернага (несанкцыянаванага доступу) да іх;
адпаведнасці аб’ёму, характару і спосабаў апрацоўкі персанальных даных мэтам апрацоўкі персанальных даных;
забеспячэння празрыстага характару апрацоўкі персанальных даных шляхам прадастаўлення суб’екту персанальных даных адпаведнай інфармацыі, якая датычыцца апрацоўкі яго персанальных даных;
дакладнасці персанальных даных, іх дастатковасці для мэт апрацоўкі, недапушчальнасці апрацоўкі персанальных даных, залішніх ў адносінах да мэт, заяўленых пры зборы персанальных даных;
забеспячэння канфідэнцыяльнасці і бяспекі апрацоўваемых персанальных даных, пастаяннага кантролю выканання патрабаванняў па іх абароне;
забеспячэння захоўвання персанальных даных у форме, якая дазваляе ідэнтыфікаваць суб’екта персанальных даных, не даўжэй, чым гэтага патрабуюць заяўленыя мэты.
Апрацоўка персанальных даных ажыццяўляецца Банкам пасля атрымання згоды суб’екта персанальных даных на апрацоўку яго персанальных даных для адной або некалькіх канкрэтных мэт, за выключэннем выпадкаў, прадугледжаных [2].
У выпадку неабходнасці змянення першапачаткова заяўленых мэт апрацоўкі персанальных даных Банк абавязаны атрымаць згоду суб’екта персанальных даных на апрацоўку яго персанальных даных у адпаведнасці са змененымі мэтамі апрацоўкі персанальных даных пры адсутнасці іншых падстаў для такой апрацоўкі.
Да атрымання згоды суб’екта персанальных даных Банк у пісьмовай форме, у выглядзе электроннага дакумента або ў іншай электроннай форме, якая адпавядае форме выказвання такой згоды, прадастаўляе суб’екту персанальных даных інфармацыю, якая змяшчае:
назву і месца знаходжання Банка;
мэты апрацоўкі персанальных даных;
пералік персанальных даных, на апрацоўку якіх даецца згода суб’екта персанальных даных;
тэрмін, на які даецца згода субекта персанальных даных;
інфармацыю аб упаўнаважаных асобах у выпадку, калі апрацоўка персанальных даных будзе ажыццяўляцца такімі асобамі;
пералік дзеянняў з персанальнымі данымі, на ажыццяўленне якіх даецца згода суб’екта персанальных даных, агульнае апісанне Выкарыстоўваемых Банкам спосабаў апрацоўкі персанальных даных;
іншую інфармацыю, неабходную для забеспячэння празрыстасці працэсу апрацоўкі персанальных даных.
Апрацоўка персанальных даных без згоды суб’екта персанальных даных забараняецца, за выключэннем апрацоўкі персанальных даных у мэтах, устаноўленых артыкуламі 6, 8 [2], у іншых выпадках, устаноўленых заканадаўчымі актамі.
У Банку выкарыстоўваюцца наступныя спосабы апрацоўкі персанальных даных: неаўтаматызаваны, аўтаматызаваны, змешаны.
КАТЭГОРЫІ СУБ’ЕКТАЎ ПЕРСАНАЛЬНЫХ ДАНЫХ І ПЕРАЛІК АПРАЦОЎВАЕМЫХ ПЕРСАНАЛЬНЫХ ДАНЫХ
Персанальнымі данымі з’яўляецца не толькі інфармацыя, якая прама ідэнтыфікуе або дазваляе ідэнтыфікаваць фізічную асобу, але і тая інфармацыя, якая ў сукупнасці з іншай маючайся або даступнай інфармацыяй з разумнай верагоднасцю можа быць выкарыстана для ідэнтыфікацыі фізічнай асобы.
Банк не ажыццяўляе апрацоўку спецыяльных персанальных даных, якія датычацца расавай і нацыянальнай прыналежнасці, палітычных поглядаў, рэлігійных або іншых перакананняў, генетычных даных, калі іншае не ўстаноўлена заканадаўствам.
Да суб’ектаў персанальных даных адносяцца:
работнікі (былыя работнікі) Банка, кандыдаты для прыёму на працу, а таксама іх блізкія сваякі;
студэнты і іншыя асобы, якія праходзяць (якія праходзілі) у Банку практыку;
фізічныя асобы (акрамя работнікаў Банка), якія ўваходзяць (якія ўваходзілі) у органы кіравання Банка[1];
фізічныя асобы, з якімі Банк заключыў (збіраецца заключыць) дагаворы грамадзянска-прававога характару;
фізічныя асобы, якія здзейснілі (збіраюцца здзейсніць) банкаўскую і (або) іншую аперацыю, здзелку;
фізічныя асобы, якія адносяцца да афіліраваных асоб, інсайдараў, узаемазвязаных асоб Банка;
акцыянеры Банка;
фізічныя асобы, якія прадстаўляюць законныя інтарэсы кліентаў (юрыдычных асоб, індывідуальных прадпрымальнікаў, фізічных асоб);
фізічныя асобы, якія набылі або маюць намер набыць паслугі трэціх асоб пры пасярэдніцтве Банка або якія не маюць з Банкам дагаворных адносін пры ўмове, што іх персанальныя даныя ўключаны ў аўтаматызаваныя сістэмы Банка і апрацоўваюцца ў адпаведнасці з заканадаўствам аб персанальных даных;
фізічныя асобы, персанальныя даныя якіх зроблены імі агульнадаступнымі, а іх апрацоўка не парушае іх правоў і законных інтарэсаў і адпавядае патрабаванням, устаноўленым заканадаўствам аб персанальных даных;
іншыя фізічныя асобы, якія выказалі згоду на апрацоўку Банкам іх персанальных даных, або фізічныя асобы, апрацоўка персанальных даных якіх неабходна Банку для дасягнення мэт, прадугледжаных заканадаўствам.
Катэгорыі суб’ектаў персанальных даных і пералік апрацоўваемых персанальных даных пазначаны ў дадатку 3 да гэтай Палітыкі, а таксама прыватных Палітыках. Гэты пералік персанальных даных, апрацоўваемых Банкам, не з’яўляецца вычарпальным. Пералік персанальных даных, апрацоўваемых Банкам, можа пашырацца з улікам патрабаванняў заканадаўства і ЛПА.
Захоўванне персанальных даных ажыццяўляецца ў форме, якая дазваляе ідэнтыфікаваць суб’екта персанальных даных, не даўжэй, чым таго патрабуюць заяўленыя мэты апрацоўкі персанальных даных, акрамя выпадкаў, калі тэрмін захоўвання персанальных даных устаноўлены заканадаўствам, дагаворам, заключаным з суб’ектам персанальных даных.[1] Для мэт гэтага абзаца тэрмін «орган кіравання» ўключае Наглядальны савет Банка.
ПРАВЫ І АБАВЯЗКІ СУБ’ЕКТА ПЕРСАНАЛЬНЫХ ДАНЫХ І БАНКА, МЕХАНІЗМ ІХ РЭАЛІЗАЦЫІ СУБ’ЕКТАМ
Суб’ект персанальных даных мае права:
адклікаць сваю згоду на апрацоўку сваіх персанальных даных у любы час без тлумачэння прычын шляхам падачы Банку заявы ў пісьмовай форме або ў выглядзе электроннага дакумента, або ў форме, з дапамогай якой атрымана яго згода[1];
на атрыманне інфармацыі, якая датычыцца апрацоўкі сваіх персанальных даных, шляхам падачы Банку заявы ў пісьмовай форме або ў выглядзе электроннага дакумента бясплатна, за выключэннем выпадкаў, прадугледжаных заканадаўчымі актамі, якая змяшчае:
- назву аператара і яго месца знаходжання;
- пацвярджэнне факта апрацоўкі персанальных даных Банкам (упаўнаважанай асобай);
- яго персанальныя даныя і крыніца іх атрымання;
- прававыя падставы і мэты апрацоўкі персанальных даных;
- тэрмін, на які дадзена яго згода;
- назву і месца знаходжання ўпаўнаважанай асобы, калі апрацоўка персанальных даных даручана такой асобе;
- іншую інфармацыю, прадугледжаную заканадаўствам. Пры падачы заявы суб’ект персанальных даных не павінен абгрунтоўваць сваю цікавасць да запытваемай інфармацыі;
патрабаваць ад Банка ўнясення змяненняў у свае персанальныя даныя ў выпадку, калі персанальныя даныя з’яўляюцца няпоўнымі, састарэлымі або недакладнымі, шляхам падачы Банку заявы ў пісьмовай форме або ў выглядзе электроннага дакумента з прыкладаннем адпаведных дакументаў і (або) іх завераных ва ўстаноўленым парадку копій, якія пацвярджаюць неабходнасць унясення змяненняў у персанальныя даныя (копіі прадстаўляемых дакументаў павінны быць завераны арганізацыяй/органам, які выдаў арыгіналы дакументаў, іншым спосабам, прадугледжаным заканадаўствам);
атрымліваць ад Банка інфармацыю аб прадастаўленні сваіх персанальных даных трэцім асобам адзін раз у каляндарны год бясплатна, калі іншае не прадугледжана [2] і іншым заканадаўчымі актамі, шляхам падачы Банку заявы ў пісьмовай форме або ў выглядзе электроннага дакумента;
патрабаваць ад Банка бясплатнага спынення апрацоўкі сваіх персанальных даных, уключаючы іх выдаленне, пры адсутнасці падстаў для апрацоўкі персанальных даных, прадугледжаных [2] і іншымі заканадаўчымі актамі, шляхам падачы Банку заявы ў пісьмовай форме або ў выглядзе электроннага дакумента;
абскардзіць дзеянні (бяздзейнасці) і рашэнні Банка, звязаныя з апрацоўкай яго персанальных даных, якія парушаюць яго правы пры апрацоўцы персанальных даных, ва ўпаўнаважаны орган па абароне правоў суб’ектаў персанальных даных – Нацыянальны цэнтр абароны персанальных даных у парадку, устаноўленым заканадаўствам аб зваротах грамадзян і юрыдычных асоб. Прынятае ўпаўнаважаным органам па абароне правоў суб’ектаў персанальных даных рашэнне можа быць абскарджана суб’ектам персанальных даных у суд у парадку, устаноўленым заканадаўствам;
прымаць іншыя прадугледжаныя заканадаўствам меры па абароне сваіх правоў.
Рэалізацыя правоў суб’екта персанальных даных, адлюстраваных у абзацах трэцім – шостым пункта 5.1 гэтай Палітыкі, ажыццяўляецца шляхам падачы ў Банк адпаведнай заявы ў пісьмовай форме або ў выглядзе электроннага дакумента ў выпадках, прадугледжаных [2].
Заява суб’екта персанальных даных павінна змяшчаць:
прозвішча, уласнае імя, імя па бацьку (калі такое маецца), адрас яго месца жыхарства (месца знаходжання);
дату нараджэння;
выкладанне сутнасці патрабаванняў суб’екта персанальных даных;
ідэнтыфікацыйны нумар суб’екта персанальных даных, пры адсутнасці такога нумара – нумар ДСА суб’екта персанальных даных, у выпадках, калі гэта інфармацыя пазначалася суб’ектам персанальных даных пры дачы сваёй згоды або апрацоўка персанальных даных ажыццяўляецца без згоды суб’екта персанальных даных;
асабісты подпіс або электронны лічбавы подпіс суб’екта персанальных даных. Заява аб адкліканні згоды можа быць таксама накіравана ў форме, з дапамогай якой атрымана згода (каналы дыстанцыйнага банкаўскага абслугоўвання і да т.п.).
Права абскарджання дзеянняў (бяздзейнасці) і рашэнняў Банка, якія парушаюць правы суб’екта персанальных даных пры апрацоўцы персанальных даных, рэалізуецца шляхам накіравання скаргі ў Нацыянальны цэнтр абароны персанальных даных.
За садзейнічаннем у рэалізацыі правоў суб’ект персанальных даных можа звярнуцца ў аддзел па ажыццяўленні ўнутранага кантролю за апрацоўкай персанальных даных, накіраваўшы пісьмовы зварот на паштовы адрас: 220089, г.Мінск, пр-т Дзяржынскага, 18.
Банк мае права:
апрацоўваць персанальныя даныя суб’екта персанальных даных у адпаведнасці з заяўленай мэтай;
патрабаваць ад суб’екта персанальных даных прадастаўлення дакладных персанальных даных, неабходных для ідэнтыфікацыі суб’екта персанальных даных, а таксама ў іншых выпадках, прадугледжаных заканадаўчымі актамі;
апрацоўваць агульнадаступныя персанальныя даныя фізічных асоб;
у асобных выпадках даручаць апрацоўку персанальных даных упаўнаважанай асобе;
ажыццяўляць іншыя дзеянні, звязаныя з апрацоўкай персанальных даных, якія не супярэчаць дзеючаму заканадаўству.
Банк абавязаны:
тлумачыць суб’екту персанальных даных яго правы, звязаныя з апрацоўкай персанальных даных, механізм іх рэалізацыі;
атрымліваць згоду суб’екта персанальных даных, за выключэннем выпадкаў, вызначаных заканадаўчымі актамі;
прадастаўляць суб’екту персанальных даных інфармацыю аб яго персанальных даных, аб прававых падставах і мэтах апрацоўкі персанальных даных, тэрміне, на які дадзена згода, пераліку дзеянняў з персанальнымі данымі, а таксама аб прадастаўленні яго персанальных даных трэцім асобам, за выключэннем выпадкаў, вызначаных заканадаўчымі актамі;
уносіць змяненні ў персанальныя даныя, якія з’яўляюцца няпоўнымі, састарэлымі або недакладнымі, за выключэннем выпадкаў, вызначаных заканадаўчымі актамі;
спыняць апрацоўку персанальных даных, а таксама ажыццяўляць іх выдаленне або блакіраванне (забяспечваць спыненне апрацоўкі персанальных даных, а таксама іх выдаленне або блакіраванне ўпаўнаважанай асобай) пры адсутнасці падстаў для апрацоўкі персанальных даных, прадугледжаных заканадаўчымі актамі;
інфармаваць упаўнаважаны орган па абароне правоў суб’ектаў персанальных даных аб парушэннях сістэм абароны персанальных даных, за выключэннем выпадкаў, прадугледжаных упаўнаважаным органам па абароне правоў суб’ектаў персанальных даных;
ажыццяўляць змяненне, блакіраванне або выдаленне недакладных, або атрыманых незаконным шляхам персанальных даных суб’екта персанальных даных па патрабаванні ўпаўнаважанага органа па абароне правоў суб’ектаў персанальных даных, калі іншы парадак унясення змяненняў у персанальныя даныя, іх блакіравання або выдалення не ўстаноўлены заканадаўчымі актамі;
прымаць прававыя, арганізацыйныя і тэхнічныя меры па забеспячэнні абароны персанальных даных ад несанкцыянаванага або выпадковага доступу да іх, змянення, блакіравання, капіравання, распаўсюджвання, прадастаўлення, выдалення персанальных даных, а таксама ад іншых неправамерных дзеянняў у дачыненні да персанальных даных;
выконваць іншыя патрабаванні, прадугледжаныя заканадаўствам аб персанальных даных.[1] Адкліканне згоды суб’екта персанальных даных не мае адваротнай сілы ў адпаведнасці з [2].
ТРАНСГРАНІЧНАЯ ПЕРАДАЧА ПЕРСАНАЛЬНЫХ ДАНЫХ
Банк ажыццяўляе трансгранічную перадачу персанальных даных суб’ектам, якія знаходзяцца ў замежных дзяржавах, на тэрыторыі якіх забяспечваецца належны ўзровень абароны правоў суб’ектаў персанальных даных, без атрымання іх згоды ў адпаведнасці з артыкуламі 6, 8 [2].
Пералік замежных дзяржаў, на тэрыторыі якіх забяспечваецца належны ўзровень абароны правоў суб’ектаў персанальных даных, вызначаецца Нацыянальным цэнтрам па абароне персанальных даных.
Банк ажыццяўляе трансгранічную перадачу персанальных даных суб’ектам, якія знаходзяцца ў замежных дзяржавах, на тэрыторыі якіх не забяспечваецца належны ўзровень абароны правоў суб’ектаў персанальных даных:
са згоды суб’екта персанальных даных пры ўмове, што суб’ект персанальных даных праінфармаваны аб рызыках, якія ўзнікаюць у сувязі з адсутнасцю належнага ўзроўню іх абароны;
па іншых прававых падставах у адпаведнасці з артыкулам 9 [2], а таксама ў іншых выпадках, устаноўленых заканадаўствам.АПРАЦОЎКА ПЕРСАНАЛЬНЫХ ДАНЫХ УПАЎНАВАЖАНАЙ АСОБАЙ ПА ДАРУЧЭННІ БАНКА
Банк ажыццяўляе апрацоўку персанальных даных самастойна.
Банк мае права даручыць апрацоўку персанальных даных ад імя Банка або ў яго інтарэсах упаўнаважанай асобе. Упаўнаважаная асоба, якая ажыццяўляе апрацоўку персанальных даных па даручэнні Банка, абавязана выконваць патрабаванні Закона. Пералік дзеянняў упаўнаважанай асобы з персанальнымі данымі, мэты апрацоўкі, абавязак па выкананні канфідэнцыяльнасці і забеспячэнні абароны персанальных даных вызначаюцца дагаворам, заключаным паміж Банкам і ўпаўнаважанай асобай.
Банк можа даручыць апрацоўку персанальных даных упаўнаважаным асобам у мэтах:
праектавання і абслугоўвання інтэрнэт-інструментаў і дадаткаў, праграмнага забеспячэння;
апрацоўкі даных аб здзелках і кліентах, уключаючы выпадкі прыцягнення праграмна-тэхнічных комплексаў трэціх асоб, у тым ліку, у мэтах ацэнкі крэдытаздольнасці кліента;
правядзення маркетынгавых мерапрыемстваў або падзей і кіравання камунікацыямі з кліентамі;
падрыхтоўкі справаздач і статыстыкі, распрацоўкі прадуктаў;
дастаўкі паштовых адпраўленняў (дакументаў) з дапамогай паштовай або кур’ерскай сувязі.
ЗАКЛЮЧНЫЯ ПАЛАЖЭННІ
Пытанні, якія датычацца апрацоўкі персанальных даных, не закранутыя ў гэтай Палітыцы, рэгулююцца заканадаўствам.
У выпадку супярэчнасці паміж нормамі гэтай Палітыкі і заканадаўствам дзейнічаюць палажэнні заканадаўства.
Дадатак 1
ПЕРАЛІК нарматыўных прававых актаў, ЛПА[1]
- Банкаўскі кодэкс Рэспублікі Беларусь.
- Закон Рэспублікі Беларусь ад 07.05.2021 № 99-З «Аб абароне персанальных даных».
- Закон Рэспублікі Беларусь ад 30.06.2014 № 165-З «Аб мерах па прадухіленні легалізацыі даходаў, атрыманых злачынным шляхам, фінансавання тэрарыстычнай дзейнасці і фінансавання распаўсюджвання зброі масавага паражэння».
- Закон Рэспублікі Беларусь ад 05.01.2015 № 231-З «Аб рынку каштоўных папер».
- Указ Прэзідэнта Рэспублікі Беларусь ад 18.04.2019 № 148 «Аб лічбавых банкаўскіх тэхналогіях».
- Інструкцыя аб парадку функцыянавання міжбанкаўскай сістэмы ідэнтыфікацыі, зацверджаная пастановай Праўлення Нацыянальнага банка Рэспублікі Беларусь ад 21.09.2016 № 497.
- Рэгламент № 2016/679 Еўрапейскага парламента і Савета Еўрапейскага Саюза «Аб абароне фізічных асоб пры апрацоўцы персанальных даных і аб свабодным абарачэнні такіх даных, а таксама аб адмене Дырэктывы 95/46/ЕС (Агульны Рэгламент аб абароне персанальных даных)», прыняты ў г.Бруселі 27.04.2016.
[1] З прыняццем новых нарматыўных прававых актаў, ЛПА або ўнясеннем у іх змяненняў кіравацца нанава прынятымі актамі.
Дадатак 2
Тэрміны, скарачэнні і іх азначэнні,
якія выкарыстоўваюцца ў гэтай Палітыцы
- аўтэнтыфікацыя – працэдура праверкі даных, прадастаўленых фізічнымі асобамі, іх прадстаўнікамі, шляхам іх параўнання з данымі, раней зафіксаванымі Банкам;
- Банк – ААТ «ААБ Беларусбанк»;
- блізкія сваякі – сваякі па прамой ўзыходнай і сыходнай лініі: бацькі, усынавіцелі (удачарыцелі) і дзеці (у тым ліку усыноўленыя (удачароныя)); дзяды, бабкі і ўнукі; паўнародныя і непаўнародныя (якія маюць агульных бацьку або маці) браты і сёстры; муж (жонка); вышэйназваныя сваякі мужа (жонкі);
- даччыныя кампаніі[1] – унітарныя прадпрыемствы Банка і даччыныя таварыствы;
- ДСА – дакумент, які сведчыць асобу;
- ідэнтыфікацыя – комплекс мерапрыемстваў па выяўленні даных аб фізічнай асобе, а таксама па пацвярджэнні дакладнасці гэтых даных;
- ЛПА – лакальныя прававыя акты Банка;
- ПК – праграмны комплекс;
- рэзідэнты – фізічныя асобы – грамадзяне Рэспублікі Беларусь, а таксама замежныя грамадзяне і асобы без грамадзянства, якія атрымалі дазвол на пастаяннае пражыванне ў Рэспубліцы Беларусь;
- сваякі – бацькі, дзеці, у тым ліку усыноўленыя (удачаронныя), усынавіцелі (удачарыцелі), родныя браты і сёстры мужа (жонкі);
- згода – згода суб’екта персанальных даных, якая можа быць атрымана ў пісьмовай форме, у выглядзе электроннага дакумента або ў іншай электроннай форме;
- установа Банка – цэнтр кліенцкага абслугоўвання, абласное ўпраўленне, цэнтр банкаўскіх паслуг, цэнтр банкаўскіх паслуг з дадатковымі функцыямі, прадстаўніцтва Банка.
Тэрміны «аператар», «упаўнаважаная асоба», «апрацоўка персанальных даных», «персанальныя даныя», «спецыяльныя персанальныя даныя», «агульнадаступныя персанальныя даныя», «суб’ект персанальных даных», выкарыстоўваюцца ў значэннях, вызначаных [2].
[1] У рамках гэтага Палажэння ўнітарнае прадпрыемства «АСБ БРОКЕР» адносіцца да катэгорыі «даччыная кампанія».
Дадатак 3
МЭТЫ АПРАЦОЎКІ, КЛАСІФІКАЦЫЯ СУБ’ЕКТАЎ
І ПЕРАЛІК АПРАЦОЎВАЕМЫХ ПЕРСАНАЛЬНЫХ ДАНЫХ
№ п/п |
Мэты апрацоўкі персанальных даных |
Катэгорыі суб’ектаў персанальных даных, даныя якіх апрацоўваюцца |
Пералік апрацоўваемых персанальных даных |
Прававыя падставы апрацоўкі персанальных даных |
Тэрмін захоўвання персанальных даных |
---|---|---|---|---|---|
1. |
Разгляд зваротаў суб’ектаў персанальных даных, у тым ліку ўнесеных у кнігу заўваг і прапаноў |
Фізічныя асобы, індывідуальныя прадпрымальнікі, фізічныя асобы, якія прадстаўляюць законныя інтарэсы юрыдычных асоб, індывідуальных прадпрымальнікаў, якія накіравалі зварот, іншыя асобы, чые персанальныя даныя пазначаны ў звароце |
Прозвішча, імя, імя па бацьку (калі такое маецца), адрас месца жыхарства (месца знаходжання), іншыя персанальныя даныя, пазначаныя ў звароце |
Абз. 20 арт. 6 і абз. 17 п. 2 арт. 8 Закона Рэспублікі Беларусь ад 07.05.2021 № 99-З «Аб абароне персанальных даных» (далей – Закон № 99-З) (Закон Рэспублікі Беларусь ад 18.07.2011 № 300-З «Аб зваротах грамадзян і юрыдычных асоб» (далей – Закон № 300-З)) |
Даныя асоб, якія накіравалі зварот (у тым ліку іншых асоб, чые персанальныя даныя пазначаны ў звароце), – 5 гадоў з даты апошняга звароту. Даныя асоб, якія ўнеслі зварот у кнігу заўваг і прапаноў, – 5 гадоў пасля заканчэння вядзення кнігі заўваг і прапаноў |
2. |
Папярэдні запіс на асабісты прыём |
Фізічныя асобы, індывідуальныя прадпрымальнікі, фізічныя асобы, якія прадстаўляюць законныя інтарэсы юрыдычных асоб, індывідуальных прадпрымальнікаў, якія звяртаюцца для запісу на асабісты прыём у Банк |
Прозвішча, імя, імя па бацьку (калі такое маецца), кантактны тэлефон |
Абз. 20 арт. 6 Закона № 99-З (арт. 6 Закона № 300-З) |
5 гадоў |
3. |
Правядзенне асабістага прыёму |
Фізічныя асобы, індывідуальныя прадпрымальнікі, фізічныя асобы, якія прадстаўляюць законныя інтарэсы юрыдычных асоб, індывідуальных прадпрымальнікаў, якія выклалі падчас асабістага прыёму зварот у Банк, іншыя асобы, чые персанальныя даныя могуць быць пазначаны ў ходзе правядзення асабістага прыёму |
Прозвішча, імя, імя па бацьку (калі такое маецца), адрас месца жыхарства (месца знаходжання), кантактны тэлефон, адрас электроннай пошты, іншыя персанальныя даныя, пазначаныя ў звароце |
Абз. 20 арт. 6 і абз. 17 п. 2 арт. 8 Закона № 99-3 (Закон № 300-З) |
5 гадоў |
4. |
Разгляд зваротаў, якія паступілі на «прамыя тэлефонныя лініі» |
Фізічныя асобы, індывідуальныя прадпрымальнікі, фізічныя асобы, якія прадстаўляюць законныя інтарэсы юрыдычных асоб, індывідуальных прадпрымальнікаў, якія звярнуліся ў Банк, іншыя асобы, чые персанальныя даныя пазначаны ў ходзе правядзення «прамой тэлефоннай лініі» |
Прозвішча, імя, імя па бацьку (калі такое маецца), адрас месца жыхарства (месца знаходжання), кантактны тэлефон, адрас электроннай пошты, іншыя персанальныя даныя, пазначаныя ў звароце |
Абз. 20 арт. 6 і абз. 17 п. 2 арт. 8 Закона № 99-З (пастанова Савета Міністраў Рэспублікі Беларусь ад 23.07.2012 № 667 «Аб некаторых пытаннях работы са зваротамі грамадзян і юрыдычных асоб») |
5 гадоў |
5. |
Вядзенне ўліку асоб, якія з’яўляюцца акцыянерамі Банка
|
Акцыянеры Банка |
Прозвішча, імя, імя па бацьку (калі такое маецца), даныя ДСА (ідэнтыфікацыйны нумар, серыя, нумар, назва органа, які выдаў дакумент, дата выдачы дакумента, тэрмін дзеяння дакумента), адрас месца жыхарства (месца знаходжання), банкаўскія рэквізіты для выплаты даходаў па акцыях (пазначаюцца пры іх наяўнасці), іншыя звесткі, неабходныя для забеспячэння дэпазітарнага ўліку правоў на акцыі, па ўзгадненні з дэпанентам (дата нараджэння, пол, рэзідэнцтва, грамадзянства, месца нараджэння, адрас электронной пошты, кантактны тэлефон) |
Абз. 20 арт. 6 Закона № 99-3 (Закон Рэспублікі Беларусь ад 09.12.1992 № 2020-ХII «Аб гаспадарчых таварыствах»; Банкаўскі кодэкс Рэспублікі Беларусь; Інструкцыя аб раскрыцці інфармацыі, зацверджаная пастановай Праўлення Нацыянальнага банка Рэспублікі Беларусь ад 11.01.2013 № 19, Інструкцыя аб парадку ажыццяўлення дэпазітарнай дзейнасці, зацверджаная пастановай Міністэрства фінансаў Рэспублікі Беларусь ад 28.04.2018 № 30) |
На працягу тэрміну, пакуль суб’ект з’яўляецца акцыянерам Банка. |
6. |
Фарміраванне спісаў на залічэнне дывідэндаў акцыянерам Банка |
Акцыянеры Банка |
Прозвішча, імя, імя па бацьку (калі такое маецца), банкаўскія рэквізіты для выплаты даходаў па акцыях, адрас месца жыхарства (места знаходжання), сума дывідэндаў |
Aбз. 20 арт. 6 Закона № 99-3 (Закон Рэспублікі Беларусь ад 09.12.1992 № 2020-ХII «Аб гаспадарчых таварыствах») |
5 гадоў |
7. |
Падбор кандыдатаў у члены Наглядальнага савета Банка |
Члены (кандыдаты ў члены) Наглядальнага савета Банка |
Прозвішча, імя, імя па бацьку (калі такое маецца), дата і месца нараджэння, грамадзянства, месца працы, пасада, даныя ДСА (ідэнтыфікацыйны нумар, серыя, нумар, назва органа, які выдаў дакумент, дата выдачы), адрас месца жыхарства (месца знаходжання), кантактны тэлефон, адрас электроннай пошты, звесткі аб вышэйшай адукацыі, перападрыхтоўцы на ўзроўні вышэйшай адукацыі з атрыманнем кваліфікацыі, веданне замежных моў і ступень валодання імі, вучоная ступень, вучонае званне, ці з’яўляецца дэпутатам, наяўнасць дзяржаўных узнагарод, звесткі аб непагашанай або незнятай судзімасці, звесткі аб удзеле ў статутных фондах юрыдычных асоб (назва юрыдычнай асобы, сума і доля ўдзелу), папярэдняе месца працы, наяўнасць ведаў і вопыту, неабходных для выканання абавязкаў члена Наглядальнага Савета Банка, звесткі на прадмет наяўнасці ўзнікнення патэнцыяльнага канфлікта інтарэсаў, іншыя звесткі на прадмет адпаведнасці кваліфікацыйным патрабаванням да дзелавой рэпутацыі, устаноўленым заканадаўствам |
Абз. 20 арт. 6, абз. 17 п. 2 арт. 8 Закона № 99-3 (ст. 38, 51 Закона Рэспублікі Беларусь ад 09.12.1992 № 2020-ХII «Аб гаспадарчых таварыствах»; арт. 109-1 Банкаўскага кодэкса Рэспублікі Беларусь; гл. 5 Інструкцыі аб парадку правядзення Нацыянальным банкам ацэнкі адпаведнасці кваліфікацыйным патрабаванням і патрабаванням да дзелавой рэпутацыі, аб атэстацыі і спецыяльнай атэстацыі, зацверджанай пастановай Праўлення Нацыянальнага банка Рэспублікі Беларусь ад 19.12.2012 № 669) |
Пастаянна |
8. |
Арганізацыя функцыянавання Наглядальнага савета Банка |
Члены Наглядальнага савета Банка |
Прозвішча, імя, імя па бацьку (калі такое маецца), месца працы, пасада, кантактны тэлефон, адрас электроннай пошты, пасведчанне аб праходжанні ацэнкі адпаведнасці кваліфікацыйным патрабаванням і патрабаванням да дзелавой рэпутацыі ў Нацыянальным банку |
Абз. 20 арт. 6 Закона № 99-3 (арт. 51, 52 Закона Рэспублікі Беларусь ад 09.12.1992 № 2020-ХII «Аб гаспадарчых таварыствах»; арт. 109-1 Банкаўскага кодэкса Рэспублікі Беларусь) |
Пастаянна |
9. |
Улік афіліраваных асоб Банка |
Асобы, якія адносяцца да афіліраваных асоб Банка |
Прозвішча, імя, імя па бацьку (калі такое маецца), ідэнтыфікацыйны нумар, адрас месца жыхарства (месца знаходжання), рэзідэнцтва |
Абз. 20 арт. 6 Закона № 99-3 (арт. 56 Закона Рэспублікі Беларусь ад 09.12.1992 № 2020-ХII «Аб гаспадарчых таварыствах») |
10 гадоў |
10. |
Вядзенне спісу інсайдараў і ўзаемазвязаных з імі асоб Банка |
Асобы, якія адносяцца да інсайдараў і ўзаемазвязаных з імі асоб Банка |
Прозвішча, імя, імя па бацьку (калі такое маецца), дата нараджэння, ідэнтыфікацыйны нумар, месца працы, пасада |
Абз. 20 арт. 6 Закона № 99-З (арт. 115, 122 Банкаўскага кодэкса Рэспублікі Беларусь) |
10 гадоў |
11. |
Забеспячэнне прапускнога рэжыму |
Наведвальнікі Банка |
Прозвішча, імя, імя па бацьку (калі такое маецца) |
Абз. 20 арт. 6 Закона № 99-3 (арт. 9 Закона Рэспублікі Беларусь ад 08.11.2006 № 175-3 «Аб ахоўнай дзейнасці ў Рэспубліцы Беларусь» |
5 гадоў |