7.10.1. В организации БС РФ должны быть определены, документально зафиксированы и утверждены руководством организации БС РФ цели обработки персональных данных.
7.10.2. В организации БС РФ должна быть определена необходимость уведомления Уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных.
7.10.3. Для каждой цели обработки персональных данных должны быть определены, документально зафиксированы и утверждены руководством организации БС РФ:
- объем и содержание персональных данных;
- сроки обработки, в том числе сроки хранения персональных данных;
- необходимость получения согласия субъектов персональных данных.
7.10.4. В организации БС РФ рекомендуется проводить классификацию персональных данных в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных.
Рекомендуется выделять следующие категории персональных данных:
- персональные данные, отнесенные в соответствии с Федеральным законом "О персональных данных" [5] к специальным категориям персональных данных;
- персональные данные, отнесенные в соответствии с Федеральным законом "О персональных данных" [5] к биометрическим персональным данным;
- персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным;
- персональные данные, отнесенные в соответствии с Федеральным законом "О персональных данных" [5] к общедоступным или обезличенным персональным данным.
7.10.5. Передача персональных данных организацией БС РФ третьему лицу должна осуществляться с согласия субъекта персональных данных. В том случае, если организация БС РФ поручает обработку персональных данных третьему лицу на основании договора, существенным условием такого договора является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
7.10.6. Организация БС РФ должна прекратить обработку персональных данных и уничтожить собранные персональные данные, если иное не установлено законодательством РФ, в следующих случаях и в сроки, установленные законодательством РФ:
- по достижении целей обработки или при утрате необходимости в их достижении;
- по требованию субъекта персональных данных или Уполномоченного органа по защите прав субъектов персональных данных - если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством РФ;
- при невозможности устранения оператором допущенных нарушений при обработке персональных данных.
В организации БС РФ должен быть определен и документально зафиксирован порядок уничтожения персональных данных (в том числе и материальных носителей персональных данных).
7.10.7. В организации БС РФ должен быть определен и документально зафиксирован порядок обработки обращений субъектов персональных данных (или их законных представителей) по вопросам обработки их персональных данных.
7.10.8. В организации БС РФ должен быть определен и документально зафиксирован порядок действий в случае запросов Уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных.
7.10.9. В организации БС РФ должен быть определен и документально зафиксирован подход к отнесению АБС к информационным системам персональных данных (ИСПДн).
В организации БС РФ должен быть определен и документально зафиксирован перечень ИСПДн. В перечень ИСПДн должны быть включены как минимум АБС, целью создания и использования которых является обработка персональных данных.
АБС, реализующие банковские платежные технологические процессы, не относятся к ИСПДн.
7.10.10. Для каждой ИСПДн организации БС РФ должны быть определены и документально зафиксированы:
- цель обработки персональных данных;
- объем и содержание обрабатываемых персональных данных;
- перечень действий с персональными данными и способы их обработки.
Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных должны соответствовать целям обработки. В том случае, если для выполнения банковского информационного технологического процесса, реализацию которого поддерживает ИСПДн, нет необходимости в обработке определенных персональных данных, эти персональные данные должны быть удалены.