Порядок обработки персональных данных

Порядок обработки персональных данных участников мероприятия «Хакатон»

1.    Общие положения
1.1.        Порядок разработан во исполнение внутренних нормативных документов (далее – ВНД) ПАО Сбербанк (далее – Банк) по вопросам организации обработки и защиты персональных данных (далее – ПДн) для регулирования обработки ПДн при проведении событийного мероприятия «Хакатон» (далее – Мероприятие). Документ не отменяет необходимость соблюдения требований вышестоящих ВНД Банка и законодательства Российской Федерации по вопросам организации обработки и защиты ПДн.
1.2.        К работе с ПДн при организации и проведении Мероприятия допускаются работники Банка, указанные в Приложении 5 к Распоряжению (далее – Ответственные работники). Ответственные работники несут ответственность за исполнение требований законодательства Российской Федерации и ВНД при обработке ПДн, а также за своевременное уничтожение ПДн.
1.3.        Порядок регулирует отношения по обработке ПДн совершеннолетних дееспособных физических лиц, а также несовершеннолетних частично дееспособных физических лиц старше 14 лет, принимающих участие в Мероприятии (далее – участники).
1.4.        Совершеннолетние дееспособные физические лица, а также несовершеннолетние частично дееспособные физические лиц старше 14 лет приглашаются на Мероприятие в рамках процесса по проведению рекламной кампании для неопределенного круга лиц, направленной на привлечение целевой аудитории через анонсы Мероприятия во внешних каналах коммуникации. Участники самостоятельно регистрируются на Мероприятие по полученной в рамках взаимодействия ссылке на сайте Мероприятия уральскийкод.рф, заполняя форму регистрации, предполагающую сбор ПДн участника.

2.             Основания и цели обработки ПДн
2.1.        Цели обработки ПДн, состав обрабатываемых ПДн и правовые основания обработки ПДн изложены в Приложении 1 к Порядку.
2.2.        Согласие на обработку ПДн несовершеннолетних субъектов предоставляется их законными представителями. Ответственные работники проверяют наличие полномочий законного представителя. К документам, подтверждающим полномочия, относятся свидетельство о рождении ребёнка, свидетельство об усыновлении, постановление либо решение суда об установлении опеки или попечительства. Скан-копии документов должны быть загружены на сайт Мероприятия при регистрации.
2.3.        Порядок размещения документов, регулирующих обработку ПДн, на сайте Мероприятия уральскийкод.рф (далее – Сайт) и связанный с ними функционал Сайта описаны в Приложении 2 к Порядку.
3.             Действия (операции) с ПДн
3.1.        ПДн обрабатываются на территории Российской Федерации как с использованием средств автоматизации, так и без использования таких средств путем совершения следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, уничтожение, предоставление, доступ.
4.             Хранение ПДн, учет согласий
4.1.        Ответственные работники осуществляют учет и хранение согласий в соответствии с требованиями ВНД Банка^[1]. Согласия в электронном виде и сведения о предоставлении согласий в электронном виде хранятся автоматизированных рабочих местах (далее – АРМ) Ответственных работников, указанных в Приложении 5.
          При сборе согласий на Сайте обеспечивается сохранение информации, которая позволит доказать факт дачи согласия. Такая информация включает в себя:
-      текст согласия или сведения, позволяющие установить редакцию согласия;
-      сведения, позволяющие установить лицо (идентификационные данные субъекта ПДн (например, Ф.И.О., номер телефона, IP-адрес, иной уникальный ID), давшее согласие;
-      признак акцепта согласия;
-      дата и время акцепта согласия.
4.2.        Согласия (сведения о предоставлении согласий) подлежат хранению в течение всего срока их действия либо до отзыва согласий, а по его окончании/ в случае отзыва – в течение срока, установленного ВНД Банка^[2]. Отзывы согласий подлежат хранению в течение срока, аналогичного нормативному сроку хранения согласий.
4.3.        ПДн в электронном виде хранятся на автоматизированных рабочих местах (далее – АРМ) Ответственных работников в соответствии с требованиями ВНД Банка^[3].
5.             Прекращение обработки ПДн, уничтожение ПДн
5.1.        Банк обязан прекратить обработку ПДн (обеспечить прекращение обработки ПДн) и произвести уничтожение ПДн (обеспечить уничтожение ПДн) при наступлении любого из следующих случаев, если у Банка нет иных целей для обработки ПДн и правовых оснований для такой обработки:
-     цели обработки ПДн достигнуты (срок уничтожения – 30 календарных дней);
-     ПДн больше не требуются для достижения целей, для которых они были получены (срок уничтожения – 30 календарных дней);
-     истек срок, в течение которого действует согласие на обработку ПДн (если ПДн обрабатываются на основании согласия) (срок уничтожения – 30 календарных дней);
-     субъект ПДн отозвал свое согласие на обработку ПДн (если ПДн обрабатываются на основании согласия) (срок уничтожения – 30 календарный дней);
-     субъект ПДн направил требование о прекращении обработки ПДн (срок прекращения – 10 рабочих дней, срок может быть продлен на 5 рабочих дней, при условии направления в адрес субъекта ПДн мотивированного уведомления с указанием причин о продлении срока);
-     Банком от субъекта ПДн получены сведения, подтверждающие, что ПДн получены незаконно или избыточны для цели обработки (срок уничтожения – 7 рабочих дней);
-     Банком по итогам проверки, проведенной Банком по обращению субъекта ПДн или надзорного органа, выявлены случаи неправомерной обработки ПДн, и при этом обеспечить правомерность обработки ПДн невозможно (срок уничтожения – 10 рабочих дней).
5.2.        Уничтожение персональных данных осуществляется в порядке и в сроки, предусмотренные законодательством о ПДн и ВНД Банка^[4]^.

[1] п. 3.1, 3.2.1 ч. 1 Сборника стандартов по организации обработки персональных данных в ПАО Сбербанк от 19.03.2019 № 4916; п. 22 ч.1 Сборника стандартов управления безопасностью на стадиях жизненного цикла автоматизированных систем от 26.02.2018 № 4732.
[2] Перечень документов со сроками хранения, образующихся в деятельности ПАО Сбербанк и его филиалов
№ 1350 в актуальной редакции.
[3] В частности, в соответствии с п. 2.2.3 ч. 1 Сборника стандартов по организации обработки персональных данных в ПАО Сбербанк от 19.03.2019 № 4916, ч. 1 Сборника стандартов управления кибербезопасностью от 09.02.2018
№ 4727.
[4] п. 2.6.3 ч. 1 Сборника стандартов по организации обработки персональных данных в ПАО Сбербанк от 19.03.2019 № 4916. В частности, требования к срокам уничтожения ПДн регламентированы п 2.6.3.3., а способы уничтожения указаны в п. 2.6.3.4.