Приказ Банка России от 15.05.2025 N ОД-950
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
от 15 мая 2025 г. N ОД-950
ОБ УТВЕРЖДЕНИИ ПОЛИТИКИ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКЕ РОССИИ И ОТМЕНЕ
ПРИКАЗА БАНКА РОССИИ ОТ 22.08.2018 N ОД-2189
Во исполнение пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и в целях повышения уровня защищенности персональных данных при их обработке в Банке России приказываю:
1. Утвердить Политику обработки персональных данных в Банке России (далее - Политика обработки ПД) согласно приложению к настоящему приказу.
2. Структурным подразделениям Банка России в своей деятельности руководствоваться Политикой обработки ПД.
3. Департаменту по связям с общественностью в десятидневный срок со дня издания настоящего приказа разместить Политику обработки ПД на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".
4. Структурным подразделениям центрального аппарата Банка России, ответственным за сопровождение сайтов и приложений Банка России в информационно-телекоммуникационной сети "Интернет" (за исключением официального сайта Банка России), в десятидневный срок со дня издания настоящего приказа разместить Политику обработки ПД на страницах сайтов и приложений Банка России в информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор персональных данных.
5. Отменить приказ Банка России от 22.08.2018 N ОД-2189 "Об Основных направлениях политики обработки персональных данных в Центральном банке Российской Федерации (Банке России)".
6. Контроль за исполнением настоящего приказа возложить на заместителя Председателя Банка России Зубарева Г.А.
Председатель Банка России
Э.С.НАБИУЛЛИНА
Приложение
к приказу Банка России
"Об утверждении Политики обработки
персональных данных в Банке России
и отмене приказа Банка России
от 22.08.2018 N ОД-2189"
ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКЕ РОССИИ
Глава 1. Общие положения
1.1. Настоящая Политика обработки ПД является основополагающим документом, определяющим основы деятельности Банка России как оператора персональных данных при обработке и защите персональных данных.
1.2. В настоящей Политике обработки ПД используются термины и определения в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), а также следующие определения:
ресурс персональных данных - совокупность персональных данных, объединенных целями обработки персональных данных, обрабатываемых с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств;
сервисы веб-аналитики - сервисы сбора, систематизации и анализа данных о действиях посетителей сайта в информационно-телекоммуникационной сети "Интернет".
1.3. Во исполнение требований законодательства Российской Федерации в области персональных данных Банком России принимаются нормативные и иные акты по вопросам обработки персональных данных, определяющие цели обработки персональных данных, для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, устранение последствий таких нарушений.
1.4. Обработка персональных данных в Банке России осуществляется с соблюдением принципов и положений, предусмотренных законодательством Российской Федерации в области персональных данных и настоящей Политикой обработки ПД.
Глава 2. Цели обработки персональных данных, категории
и перечень обрабатываемых персональных данных, категории
субъектов, персональные данные которых обрабатываются
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Банк России обрабатывает персональные данные в целях осуществления и выполнения:
2.2.1. Функций, полномочий и обязанностей, возложенных на Банк России Конституцией Российской Федерации, Федеральным законом от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (далее - Федеральный закон "О Центральном банке Российской Федерации (Банке России)"), иными нормативными правовыми актами Российской Федерации, а также нормативными и иными актами Банка России, устанавливающими статус, цели деятельности, функции и полномочия Банка России.
2.2.2. Полномочий и обязанностей, возложенных на Банк России как на работодателя трудовым законодательством, законодательством о налогах и сборах, пенсионным и другим законодательством, в том числе нормативными и иными актами Банка России, устанавливающими гарантии и льготы работникам (бывшим работникам) Банка России и членам их семей, кредитования служащих Банка России, а также предоставления работникам Банка России и членам их семей социально-бытовых услуг.
2.2.3. Полномочий и обязанностей, связанных с финансово-хозяйственной и иной внутренней деятельностью Банка России, в том числе с исполнением обязательств по гражданско-правовым договорам, представлением интересов Банка России в сторонних органах и организациях, проведением статистического учета, исследовательских работ, организации документационного обеспечения, внутренних коммуникаций.
2.2.4. Полномочий и обязанностей, связанных с информационной деятельностью Банка России, в том числе по вопросам функционирования официального сайта Банка России, иных сайтов и приложений Банка России в информационно-телекоммуникационной сети "Интернет", доступа к ним посетителей (пользователей), приема и рассмотрения обращений посетителей (пользователей), поступивших через них, размещения информации, в том числе персональных данных работников Банка России и иных лиц, в случаях, предусмотренных законодательством Российской Федерации, нормативными актами Банка России.
2.2.5. Организации оказания медицинских и иных услуг, направленных на охрану здоровья работников (бывших работников) Банка России и членов их семей.
2.3. Содержание и объем обрабатываемых персональных данных должны соответствовать целям обработки персональных данных, предусмотренным в пункте 2.2 настоящей главы. Обрабатываемые персональные данные не должны быть избыточными по отношению к целям их обработки.
2.4. Банк России вправе обрабатывать персональные данные, в том числе относящиеся к специальным категориям персональных данных, биометрическим персональным данным, персональным данным, разрешенным субъектом персональных данных для распространения.
2.5. Категории субъектов, персональные данных которых обрабатываются в Банке России, а также категории и перечни обрабатываемых персональных данных, определенные для целей обработки персональных данных, устанавливаются нормативными и иными актами Банка России по вопросам обработки персональных данных.
2.6. Банк России вправе осуществлять идентификацию и (или) аутентификацию физических лиц в соответствии с Федеральным законом от 29.12.2022 N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации".
Глава 3. Правовые основания и условия обработки
персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов Российской Федерации, во исполнение которых и в соответствии с которыми Банк России осуществляет обработку персональных данных, в том числе Федеральный закон "О Центральном банке Российской Федерации (Банке России)", и принимаемые в соответствии с ними нормативные и иные акты Банка России, договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также согласие субъекта персональных данных на обработку его персональных данных в случаях, предусмотренных законодательством Российской Федерации в области персональных данных.
3.2. Обработка Банком России персональных данных осуществляется в соответствии с условиями обработки персональных данных, предусмотренными статьей 6 Федерального закона "О персональных данных".
Глава 4. Основные права и обязанности оператора
персональных данных
4.1. Банк России как оператор персональных данных имеет право:
4.1.1. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами Российской Федерации, нормативными и иными актами Банка России, если иное не предусмотрено Федеральным законом "О персональных данных" или другими федеральными законами.
4.1.2. Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с таким лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Банка России, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом "О персональных данных", конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".
4.1.3. В случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе "О персональных данных".
4.1.4. Осуществлять иные права, предоставленные Федеральным законом "О персональных данных".
4.2. Банк России обязан:
4.2.1. Организовывать и осуществлять обработку персональных данных в соответствии с требованиями Федерального закона "О персональных данных".
4.2.2. Отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Федерального закона "О персональных данных".
4.2.3. Сообщать по запросу уполномоченного органа по защите прав субъектов персональных данных необходимую информацию.
4.2.4. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", не допускать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, за исключением случаев, указанных в пунктах 2 - 4, 8 части 1 статьи 6 Федерального закона "О персональных данных".
4.2.5. Выполнять иные обязанности, предусмотренные Федеральным законом "О персональных данных".
Глава 5. Способы, сроки обработки и хранения
персональных данных
5.1. Обработка персональных данных осуществляется следующими способами:
5.1.1. С использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях.
5.1.2. Без использования средств автоматизации.
5.2. При обработке персональных данных на официальном сайте Банка России, на страницах иных сайтов и приложений Банка России в информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор персональных данных, могут использоваться сервисы веб-аналитики.
Основанием для обработки персональных данных с использованием сервисов веб-аналитики является согласие на обработку персональных данных, предоставляемое субъектом персональных данных непосредственно на официальном сайте Банка России, на страницах иных сайтов и приложений Банка России в информационно-телекоммуникационной сети "Интернет".
5.3. Сроки обработки и хранения персональных данных для каждой цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных законодательством Российской Федерации, и (или) с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает субъект персональных данных, и (или) с согласия субъекта персональных данных на обработку его персональных данных. При этом обработка и хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено законодательством Российской Федерации.
5.4. Банк России не допускает объединение ресурсов персональных данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Глава 6. Организация обработки персональных данных. Порядок
и условия обработки персональных данных
6.1. В целях организации обработки персональных данных в Банке России назначено ответственное лицо, информация о котором содержится в реестре операторов, который ведет уполномоченный орган по защите прав субъектов персональных данных.
6.2. Обработку персональных данных осуществляют работники Банка России, в должностные обязанности которых входит обработка персональных данных.
6.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
6.4. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
6.5. Передача персональных данных третьим лицам осуществляется с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.
6.6. Передача персональных данных органам государственной власти допускается в отсутствие согласия субъекта персональных данных на обработку его персональных данных в порядке и в случаях, предусмотренных законодательством Российской Федерации.
6.7. Трансграничная передача персональных данных осуществляется с учетом ограничений и запретов, предусмотренных законодательством Российской Федерации в области персональных данных.
Глава 7. Уточнение, блокирование, прекращение обработки
и уничтожение персональных данных
7.1. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Банк России осуществляет блокирование персональных данных, относящихся к такому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка России) с момента обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Банк России на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка России) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
7.2. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу либо по запросу уполномоченного органа по защите прав субъектов персональных данных Банк России осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к такому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка России) с момента обращения или получения указанного запроса на период проверки.
В случае выявления неправомерной обработки персональных данных, осуществляемой Банком России или лицом, действующим по поручению Банка России, Банк России в срок, не превышающий трех рабочих дней с даты такого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Банка России.
7.3. Прекращение обработки и уничтожение персональных данных осуществляются в случаях и сроки, предусмотренные Федеральным законом "О персональных данных".
Глава 8. Обеспечение безопасности персональных данных
8.1. Обеспечение безопасности персональных данных, в том числе при их обработке в информационных системах Банка России, осуществляется Банком России в соответствии с законодательством Российской Федерации, включая требования уполномоченного органа по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, а также в соответствии с нормативными и иными актами Банка России.
8.2. При обработке персональных данных Банк России принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных (несанкционированных) действий в отношении персональных данных.
8.3. Обеспечение безопасности персональных данных при их обработке в Банке России достигается применением в том числе следующих мер:
8.3.1. Назначение ответственного за организацию обработки персональных данных в Банке России.
8.3.2. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Банка России.
8.3.3. Издание нормативных и иных актов Банка России по вопросам обработки персональных данных.
8.3.4. Определение перечня ресурсов персональных данных, используемых в Банке России.
8.3.5. Ознакомление работников Банка России, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой обработки ПД, нормативными и иными актами Банка России по вопросам обработки персональных данных, и (или) обучение указанных работников.
8.3.6. Обеспечение учета и хранения материальных носителей персональных данных в условиях, обеспечивающих сохранность и предотвращение несанкционированного доступа к ним.
8.3.7. Реализация разрешительной системы доступа пользователей ресурсов персональных данных к таким ресурсам, программно-аппаратным средствам обработки и защиты информации.
8.3.8. Регистрация и учет действий пользователей ресурсов персональных данных в информационных системах персональных данных Банка России.
8.3.9. Применение средств разграничения и контроля доступа к информационным системам персональных данных Банка России, коммуникационным портам, устройствам ввода-вывода информации, машинным носителям информации.
8.3.10. Реализация парольной защиты при осуществлении доступа пользователей ресурсов персональных данных к информационным системам персональных данных Банка России.
8.3.11. Реализация многофакторной аутентификации при логическом доступе пользователей ресурсов персональных данных к информационным системам персональных данных Банка России.
8.3.12. Применение средств восстановления системы защиты персональных данных.
8.3.13. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
8.3.14. Применение средств межсетевого экранирования.
8.3.15. Организация защиты информационных систем персональных данных Банка России от воздействия вредоносного кода.
8.3.16. Применение средств криптографической защиты информации для обеспечения безопасности персональных данных при их передаче по открытым каналам связи.
8.3.17. Применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации, в том числе средств гарантированного уничтожения (стирания) информации, содержащей персональные данные, или приведения носителей персональных данных в состояние, в котором чтение и (или) восстановление содержащихся в них персональных данных невозможно.
8.3.18. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, указанных в нормативных и иных актах Банка России по обеспечению информационной безопасности, направленных на предотвращение несанкционированного доступа к персональным данным.
8.3.19. Резервное копирование информации, отнесенной к персональным данным.
8.3.20. Обеспечение в информационных системах персональных данных Банка России восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним либо ошибочных действий пользователей ресурсов персональных данных.
8.3.21. Обучение работников Банка России, использующих средства защиты информации, применяемые в информационных системах персональных данных Банка России, правилам работы с ними.
8.3.22. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных Банка России.
8.3.23. Осуществление внутреннего контроля за соответствием принятых мер по защите персональных данных требованиям законодательства Российской Федерации, нормативных и иных актов Банка России по вопросам обработки персональных данных.
8.3.24. Обеспечение пропускного и внутриобъектового режимов на объектах Банка России, включая размещение технических средств обработки персональных данных в пределах границ охраняемой территории, а также зон ограничения доступа, определенных ведомственными техническими требованиями.
Глава 9. Заключительные положения
9.1. Настоящая Политика обработки ПД обязательна для ознакомления и соблюдения всеми работниками Банка России.
Работники Банка России, имеющие доступ к персональным данным, за невыполнение норм, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с законодательством Российской Федерации.
9.2. Настоящая Политика обработки ПД является общедоступной и подлежит размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет", в том числе на страницах иных сайтов и приложений Банка России, с использованием которых осуществляется сбор персональных данных.
9.3. Для сайтов и приложений Банка России, с использованием которых осуществляется сбор персональных данных, в целях ознакомления субъектов персональных данных с более детальной информацией об обработке персональных данных Банк России вправе разрабатывать дополнительные документы по вопросам обработки персональных данных, сбор которых осуществляется через сайты и приложения Банка России, и размещать их на соответствующих страницах сайтов и приложений Банка России. При этом обозначенные документы не могут противоречить требованиям законодательства Российской Федерации и положениям настоящей Политики обработки ПД.