Общие положения

Настоящая Политика конфиденциальности определяет порядок обработки и защиты персональных данных пользователей сайта. Документ разработан в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и иных нормативных правовых актов Российской Федерации.

Использование сайта означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки его персональных данных. В случае несогласия с этими условиями пользователь должен прекратить использование сайта.

Оператор персональных данных

Оператором персональных данных, обрабатываемых в рамках использования сайта, является юридическое лицо, осуществляющее деятельность через данный интернет-ресурс. Оператор самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных, а также определяет цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Категории обрабатываемых данных

Оператор может обрабатывать следующие персональные данные пользователей:

  • Фамилия, имя, отчество
  • Контактные данные (адрес электронной почты, номер телефона)
  • Паспортные данные и данные иных удостоверяющих личность документов
  • Финансовая информация (данные о доходах, кредитная история, банковские реквизиты)
  • Технические данные (IP-адрес, информация о браузере, данные cookie)
  • Иная информация, предоставленная пользователем добровольно

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не осуществляется.

Цели обработки

Обработка персональных данных пользователей осуществляется в следующих целях:

  • Идентификация пользователя при использовании сайта и предоставлении услуг
  • Предоставление пользователю доступа к персонализированным ресурсам сайта
  • Установление с пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования сайта
  • Определение местоположения пользователя для обеспечения безопасности, предотвращения мошенничества
  • Подтверждение достоверности и полноты персональных данных, предоставленных пользователем
  • Предоставление пользователю эффективной клиентской и технической поддержки
  • Проведение статистических и иных исследований на основе обезличенных данных
  • Выполнение обязательств по договорам и соглашениям с пользователем

Правовые основания

Обработка персональных данных осуществляется на следующих правовых основаниях:

  • Согласие субъекта персональных данных на обработку его персональных данных
  • Заключение и исполнение договора, стороной которого является субъект персональных данных
  • Выполнение оператором обязанностей, предусмотренных законодательством Российской Федерации
  • Осуществление прав и законных интересов оператора или третьих лиц

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем направления соответствующего письменного заявления оператору.

Порядок обработки

Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных действующим законодательством. Обработка включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таких средств. При обработке персональных данных оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

Передача третьим лицам

Оператор может передавать персональные данные пользователей третьим лицам в следующих случаях:

  • Пользователь выразил свое согласие на такие действия
  • Передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры
  • В рамках продажи или иной передачи бизнеса (полностью или в части), при этом к приобретателю переходят все обязательства по соблюдению условий настоящей Политики
  • В целях обеспечения возможности защиты прав и законных интересов оператора или третьих лиц в случаях, когда пользователь нарушает условия использования сайта
  • При обработке персональных данных оператором, которому оператор поручает обработку персональных данных на основании заключенного договора

При передаче персональных данных третьим лицам оператор требует от таких лиц соблюдения конфиденциальности и обеспечения безопасности передаваемых персональных данных.

Меры безопасности

Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных пользователей от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.

К таким мерам относятся:

  • Назначение ответственных за организацию обработки персональных данных
  • Принятие локальных актов по вопросам обработки персональных данных
  • Ознакомление работников оператора с положениями законодательства о персональных данных, а также с настоящей Политикой
  • Ограничение и разграничение доступа к персональным данным
  • Идентификация и аутентификация субъектов доступа и объектов доступа
  • Учет и хранение материальных носителей персональных данных
  • Обнаружение фактов несанкционированного доступа к персональным данным
  • Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа
  • Постоянный контроль за обеспечением уровня защищенности персональных данных

Права субъекта данных

Субъект персональных данных имеет право:

  • На получение информации, касающейся обработки его персональных данных
  • На уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
  • На отзыв согласия на обработку персональных данных
  • На обжалование действий или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке
  • На защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке

Для реализации своих прав субъект персональных данных может направить соответствующий запрос оператору.

Файлы cookie

Сайт использует технологию cookie для обеспечения удобства пользования сайтом, сбора статистической информации о посещаемости, а также для персонализации контента и рекламных объявлений. Cookie — это небольшие текстовые файлы, которые сохраняются на устройстве пользователя при посещении сайта.

Пользователь может отключить использование cookie в настройках своего браузера. Следует учитывать, что отключение cookie может привести к ограничению функциональности сайта.

Сайт может использовать следующие типы cookie:

  • Сессионные cookie, которые удаляются после закрытия браузера
  • Постоянные cookie, которые сохраняются на устройстве в течение определенного периода времени
  • Сторонние cookie, устанавливаемые третьими лицами, чьи сервисы используются на сайте

Изменения политики

Оператор вправе вносить изменения в настоящую Политику конфиденциальности. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

При существенных изменениях условий Политики оператор уведомляет пользователей путем размещения соответствующего уведомления на сайте. Продолжение использования сайта после внесения таких изменений означает согласие пользователя с новой редакцией Политики.

Контактная информация

По всем вопросам, связанным с обработкой персональных данных, пользователи могут обращаться к оператору. Оператор обязуется рассмотреть любое обращение в кратчайшие сроки и дать ответ в соответствии с требованиями законодательства.

Сроки хранения

Персональные данные пользователей обрабатываются в течение срока, необходимого для достижения целей обработки, если иной срок не предусмотрен законодательством Российской Федерации или договором, стороной которого является субъект персональных данных. По истечении указанных сроков персональные данные подлежат уничтожению или обезличиванию.

Конкретные сроки хранения различных категорий персональных данных устанавливаются внутренними документами оператора с учетом требований законодательства.

Международная передача данных

Оператор может осуществлять трансграничную передачу персональных данных на территорию иностранных государств, которые обеспечивают адекватную защиту прав субъектов персональных данных. Перечень таких государств утверждается уполномоченным органом по защите прав субъектов персональных данных.

В случае трансграничной передачи персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, такая передача может осуществляться только при наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

Ответственность

Оператор несет ответственность за соблюдение требований законодательства о персональных данных в соответствии с действующим законодательством Российской Федерации. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Оператор освобождается от ответственности за ущерб, причиненный пользователю в силу неправомерного использования персональных данных, если докажет, что ущерб возник не по его вине.

Разрешение споров

Все споры и разногласия, возникающие между оператором и пользователем в связи с применением настоящей Политики конфиденциальности, подлежат разрешению путем переговоров. В случае невозможности разрешения спора путем переговоров, спор подлежит рассмотрению в суде по месту нахождения оператора в соответствии с действующим законодательством Российской Федерации.

Применимое право

Настоящая Политика конфиденциальности, а также отношения между оператором и пользователем, возникающие в связи с применением Политики, регулируются и подлежат толкованию в соответствии с законодательством Российской Федерации. Все условия Политики конфиденциальности являются существенными.

Заключительные положения

Настоящая Политика конфиденциальности является публичным документом и доступна любому пользователю сети Интернет при переходе по соответствующей ссылке на сайте. Оператор вправе вносить изменения в Политику в одностороннем порядке. Действующая редакция Политики постоянно доступна на сайте.

Настоящая Политика конфиденциальности распространяется на все отношения между оператором и пользователем, связанные с обработкой персональных данных, которые ранее не были урегулированы соответствующими соглашениями между ними.

Автоматизированное принятие решений

Оператор может осуществлять автоматизированную обработку персональных данных, включая профилирование, для анализа или прогнозирования аспектов, касающихся личных предпочтений, интересов, поведения пользователя. Такая обработка проводится в целях повышения качества предоставляемых услуг, персонализации контента и предложений.

Пользователь вправе потребовать объяснения логики автоматизированного принятия решений, а также оспорить такие решения, направив соответствующее заявление оператору.

Обработка данных несовершеннолетних

Обработка персональных данных несовершеннолетних пользователей осуществляется только с согласия их законных представителей (родителей, опекунов). Оператор принимает разумные меры для проверки возраста пользователей и получения необходимых согласий в случаях, когда это требуется по закону.

Законные представители несовершеннолетних имеют право отозвать согласие на обработку персональных данных ребенка и потребовать удаления такой информации.

Технические аспекты обработки

Обработка персональных данных осуществляется с использованием современных информационных систем, обеспечивающих конфиденциальность и безопасность обрабатываемой информации. Технические средства защиты включают:

  • Шифрование передаваемых данных с использованием протоколов SSL/TLS
  • Регулярное обновление программного обеспечения и систем безопасности
  • Резервное копирование данных для обеспечения их сохранности
  • Мониторинг и анализ событий безопасности в режиме реального времени

Взаимодействие с регуляторами

Оператор сотрудничает с уполномоченными органами по защите прав субъектов персональных данных и иными контролирующими органами в рамках исполнения требований законодательства. По запросам таких органов оператор предоставляет необходимую информацию о порядке обработки персональных данных и принимаемых мерах защиты.

Оператор уведомляет уполномоченный орган о начале обработки персональных данных в установленном законодательством порядке.

Обучение и повышение осведомленности

Оператор регулярно проводит обучение сотрудников, имеющих доступ к персональным данным, по вопросам защиты и обработки персональных данных. Программа обучения включает:

  • Изучение требований Федерального закона № 152-ФЗ и подзаконных актов
  • Ознакомление с внутренними политиками и процедурами обработки данных
  • Тренировки по реагированию на инциденты безопасности
  • Тестирование знаний сотрудников по вопросам защиты персональных данных

Оценка воздействия на защиту данных

При планировании новых процессов обработки персональных данных, которые могут создавать высокие риски для прав и свобод субъектов персональных данных, оператор проводит оценку воздействия на защиту данных. Такая оценка включает анализ:

  • Характера, масштаба, контекста и целей обработки
  • Необходимости и соразмерности обработки
  • Рисков для прав и свобод субъектов данных
  • Запланированных мер по снижению выявленных рисков

Уведомление об инцидентах

В случае нарушения безопасности персональных данных, которое может привести к высокому риску для прав и свобод субъектов персональных данных, оператор уведомляет уполномоченный орган по защите прав субъектов персональных данных в установленные законодательством сроки.

При высоком риске для прав и свобод субъектов данных оператор также информирует самих субъектов о произошедшем инциденте и возможных последствиях.

Порядок обработки запросов субъектов данных

Оператор устанавливает четкий порядок рассмотрения запросов субъектов персональных данных. Все поступающие обращения регистрируются в специальном журнале учета с присвоением входящего номера и даты получения.

Срок рассмотрения запроса не превышает 30 календарных дней с момента его получения. В случае необходимости этот срок может быть продлен еще на 30 дней с уведомлением субъекта о причинах продления.

Ответ на запрос предоставляется в той же форме, в которой был направлен запрос, если иное не предусмотрено законодательством или соглашением сторон.

Ведение реестра обработки данных

Оператор ведет реестр обработки персональных данных, который содержит следующую информацию:

  • Наименование и контактные данные оператора
  • Цели обработки персональных данных
  • Категории субъектов и категории обрабатываемых данных
  • Категории лиц, которым раскрываются данные
  • Сроки обработки различных категорий данных
  • Общее описание мер безопасности
  • Сведения о трансграничной передаче данных

Реестр ведется в электронной форме и регулярно актуализируется при изменении условий обработки.

Специальные процедуры для удаления данных

Уничтожение персональных данных осуществляется с соблюдением следующих требований:

  • Уничтожение материальных носителей производится способом, исключающим возможность восстановления информации
  • Удаление электронных данных выполняется с использованием специального программного обеспечения
  • Факт уничтожения документируется соответствующим актом
  • Срок хранения актов об уничтожении составляет не менее 5 лет

При обезличивании данных используются методы, исключающие возможность восстановления персональной информации.

Процедура реагирования на утечки данных

При выявлении инцидентов безопасности оператор действует по следующему алгоритму:

  1. Немедленная изоляция затронутых систем
  2. Оценка масштаба и последствий инцидента
  3. Уведомление уполномоченного органа в течение 24 часов
  4. Принятие мер по устранению последствий
  5. Расследование причин инцидента
  6. Разработка и реализация корректирующих мер

Все инциденты фиксируются в журнале учета с подробным описанием принятых мер.

Внутренний контроль соблюдения политики

Оператор организует систему внутреннего контроля за соблюдением требований настоящей Политики, которая включает:

  • Периодические проверки соблюдения процедур обработки данных
  • Аудит систем безопасности не реже одного раза в год
  • Контроль доступа сотрудников к персональным данным
  • Мониторинг выполнения требований законодательства
  • Анализ эффективности принимаемых мер защиты

Результаты контроля оформляются соответствующими отчетами и учитываются при совершенствовании процессов обработки.

Обновление и пересмотр политики

Пересмотр настоящей Политики осуществляется в следующих случаях:

  • Изменение законодательства в области защиты персональных данных
  • Изменение бизнес-процессов оператора
  • Выявление недостатков в действующей системе защиты
  • По результатам внутренних и внешних проверок
  • При внедрении новых технологий обработки данных

Изменения в Политику вносятся приказом руководителя оператора с обязательным ознакомлением всех сотрудников, имеющих доступ к персональным данным.

Специальные категории данных в финансовой сфере

В рамках оказания финансовых услуг оператор может обрабатывать данные, относящиеся к финансовому положению и кредитной истории пользователей. Такая обработка осуществляется исключительно в целях оценки платежеспособности и рисков при предоставлении финансовых услуг, а также для выполнения требований законодательства о противодействии легализации доходов.

Оператор гарантирует, что доступ к таким данным имеют только уполномоченные сотрудники, прошедшие специальное обучение и проверку.

Порядок взаимодействия с кредитными бюро

Оператор может передавать и получать информацию о кредитной истории пользователей в бюро кредитных историй в соответствии с Федеральным законом № 218-ФЗ «О кредитных историях». Такое взаимодействие осуществляется:

  • При рассмотрении заявок на получение финансовых услуг
  • Для формирования кредитной истории пользователя
  • В целях выполнения требований законодательства о кредитных историях
  • Для минимизации кредитных рисков

Пользователь имеет право на бесплатное получение своей кредитной истории в каждом бюро кредитных историй, с которым взаимодействует оператор.

Особенности обработки данных при дистанционном обслуживании

При использовании систем дистанционного банковского обслуживания и мобильных приложений оператор обрабатывает дополнительные категории данных:

  • Биометрические данные (при использовании биометрической аутентификации)
  • Данные о местоположении устройства
  • Информация о транзакциях в режиме реального времени
  • Журналы доступа и активности в системе

Обработка таких данных осуществляется с применением усиленных мер безопасности, включая многофакторную аутентификацию и шифрование на уровне приложения.

Автоматизированные системы принятия решений

В финансовой деятельности оператор активно использует автоматизированные системы оценки рисков и скоринга. Эти системы анализируют:

  • Кредитную историю и платежную дисциплину
  • Финансовые показатели и доходы
  • Поведенческие паттерны при использовании услуг
  • Демографические и социальные характеристики

Пользователь имеет право получить разъяснения по результатам автоматизированной обработки, а также оспорить принятое решение, обратившись к сотруднику оператора.

Специальные требования к хранению финансовых данных

Финансовая информация пользователей хранится с соблюдением особых требований:

  • Данные о банковских счетах и операциях — не менее 5 лет
  • Кредитные договоры и сопутствующая документация — в течение срока действия договора плюс 3 года
  • Данные для целей противодействия легализации доходов/финансированию терроризма — не менее 5 лет с момента совершения операции
  • Информация для налогового учета — в соответствии с требованиями Налогового кодекса РФ

Защита данных при использовании интерфейсов программирования приложений

При интеграции с внешними сервисами через интерфейсы программирования приложений оператор обеспечивает:

  • Аутентификацию и авторизацию всех запросов
  • Шифрование передаваемых данных
  • Ограничение прав доступа в соответствии с принципом минимальных привилегий
  • Мониторинг и ведение журналов всех вызовов интерфейсов программирования приложений
  • Регулярный аудит безопасности интерфейсов программирования приложений

Особенности работы с персональными данными сотрудников

Оператор обрабатывает персональные данные своих сотрудников в соответствии с трудовым законодательством. Такая обработка включает:

  • Заключение и исполнение трудовых договоров
  • Ведение кадрового делопроизводства
  • Расчет и выплату заработной платы
  • Обеспечение социальных гарантий
  • Организацию обучения и повышения квалификации

Доступ к персональным данным сотрудников имеют только уполномоченные сотрудники кадровой службы и бухгалтерии.

Взаимодействие с правоохранительными органами

Предоставление персональных данных правоохранительным и судебным органам осуществляется строго в соответствии с законодательством:

  • На основании официальных запросов установленной формы
  • В рамках возбужденных уголовных дел
  • При выполнении судебных решений и постановлений
  • В случаях, предусмотренных федеральными законами

О всех фактах предоставления информации правоохранительным органам ведется специальный учет.