Политика обработки персональных данных
Политика обработки персональных данных сервиса creditsme.kz
1. Общие положения
Политика обработки персональных данных (далее – Политика) разработана в соответствии с законом «О защите персональных данных».
Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ТОО «Финансо КЗ (Finanso KZ)», БИН 210940022214, фактический адрес: г.Астана, район Алматы, улица Күйші Дина, здание 17 (далее – Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Политика Общества в отношении обработки персональных данных применяется ко всей информации, которую Оператор может получить от физических лиц (субъектов персональных данных) – пользователей интернет-ресурсов и услуг Оператора.
В Политике используются следующие основные понятия:
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
- обезличивание персональных данных - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- оператор - лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является ТОО «Финансо КЗ (Finanso KZ)»;
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее - Субъекту персональных данных);
- пользователь- субъект персональных данных;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных.
Оператор имеет право в одностороннем порядке вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на сайте Оператора creditsme.kz (далее – Сайт), если иное не предусмотрено новой редакцией Политики. Ознакомление с актуальной версией Политики остается ответственностью Пользователей.
2. Принципы и условия обработки персональных данных
2.1 Принципы обработки персональных данных
Обработка персональных данных у Оператора осуществляется на основе следующих принципов:
- законности и справедливой основы;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработки только тех персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
- недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
- обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
- уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено законом.
2.2 Цели обработки персональных данных
Оператор производит обработку персональных данных Пользователя с целью:
- предоставления Оператором сервисов и оказания услуг Пользователю (исполнения соглашений и договоров с Пользователем);
- однозначной идентификации Пользователя как стороны в рамках соглашений и договоров;
- предоставления Пользователю персонализированных сервисов;
- связи с Пользователем, в том числе направления уведомлений, запросов и информации, касающихся использования Сервисов, оказания услуг;
- обработки запросов и заявок от Пользователя, формирования и анализа оценки кредитоспособности, как в формате суждения, так и в оцифрованном виде (кредитный рейтинг), в том числе и в агрегированном виде (оценка, основанная на нескольких информационных и аналитических источниках);
- включения Пользователя в базу потенциальных Пользователей Оператора, в том числе для направления Пользователю материалов рекламного характера, предложения Пользователю услуг по телефону, в почтовых отправлениях, в sms-сообщениях или в тексте электронных писем/сообщений (push-уведомления);
- получения услуг, связанных с оперативным получением доступа к кредитным, банковским, страховым и иным продуктам;
- улучшения качества сервисов Оператора, удобства их использования, разработки новых сервисов и услуг;
- таргетирования рекламных материалов;
- проведения статистических и иных исследований на основе обезличенных данных;
- получения Пользователем различных финансовых услуг в течение срока действия согласия Пользователя от Операторов персональных данных, для чего Оператор будет хранить и передавать персональные данные Пользователя иным Операторам персональных данных;
- контактов с Пользователем как с потенциальным потребителем услуг Оператора, партнеров для продвижения услуг Оператора, вышеперечисленных услуг партнеров;
- получения Пользователем рекламных рассылок по сетям связи;
- ознакомления с открытыми в интернете персональными данными Пользователя, включая данные из социальных сетей, а также, но не ограничиваясь этим, построения математических моделей на основе открытых в Интернете данных Пользователя; оценка кредитоспособности Пользователя;
- взаимодействия с третьими лицами, направленное на возврат Пользователем его просроченной задолженности;
- получения Пользователем информации об Операторе; о партнерах, которые обрабатывают данные с использованием информационной системы Оператора;
- проведения Оператором с использованием персональных данных Пользователя исследований, включая статистические исследования, а также передачи обезличенных персональных данных для проведения исследований, включая статистические исследования, третьим лицам;
- в иных целях, определенных видами деятельности в Уставе Оператора.
В случаях, установленных законодательством Российской Федерации, партнеры Оператора могут осуществлять действия с персональными данными и без согласия Пользователя, например, для государственных расследований, противодействия отмыванию денежных средств и др. Такие действия могут осуществляться в том числе в отношении записи звучания голоса Пользователя и/или изображения Пользователя. Если Оператор в силу закона получает персональные данные в подобных случаях, он уничтожает полученные такие персональные данные сразу же после прекращения оснований для их хранения (или оснований иной обработки), установленных законодательством РФ.
2.3 Перечень обрабатываемых персональных данных
- Авторизационные данные, то есть данные, позволяющие провести аутентификацию Пользователя. По умолчанию Авторизационными данными являются логин (номер мобильного телефона) и пароль Пользователя.
- Идентификационные данные, то есть данные, по которым можно установить личность Пользователя: фамилия, имя, отчество, дата рождения, название и реквизиты документа, удостоверяющего личность (серия и номер, дата выдачи и название органа, выдавшего документ).
- Контактные данные, то есть данные по которым с Пользователем можно осуществлять взаимодействие: номер мобильного телефона, предпочитаемый способ получения кода для подтверждения телефона, адрес электронной почты, идентификаторы в интернет-мессенджерах; контактные данные представителей Пользователя.
- Данные об оборудовании (устройствах) Пользователя, которое используется Пользователем для совершения действий в сети Интернет, для получения услуг Оператора: данные об идентификаторах оборудования, идентификаторах сим-карт, местоположение оборудования, файлы куки, используемое в оборудовании программное обеспечение, технологические данные, предоставляемые оборудованием при передаче данных (используемые протоколы, айпи-адреса и т.п.). Пользователь осведомлен, что настройки его оборудования могут быть таковы, что некоторые данные передаются его оборудованием независимо от согласия и/или отзыва согласия и действий Оператора. Если Пользователь желает прекратить передачу его оборудованием данных Оператору, ему необходимо самостоятельно изменить настройки своего оборудования.
Пользователь согласен с тем, что Оператор посредством размещения на Сайте соответствующего программного решения (скрипта) для получения таких данных вправе предоставить любому иному Оператору персональных данных возможность получения персональных данных, в том числе:
• cookies;
• сведения об IP-адресе (-ах) устройства, используемого Пользователем;
• сведения об устройстве, используемого Пользователем при посещении Сайта;
• сведения о программных обеспечениях (далее - ПО), настройках, используемых на таком устройстве, ПО такого устройства, в частности, о браузере, его настройках; системных данных устройства;
• сведения о сессии Пользователя на Сайте как посетителя Сайта (в том числе, о дате, времени сессии, количестве просмотров веб-страниц, ресурсов Сайта);
• сведения о веб-странице посещаемого Пользователем сайта, ресурсе на такой странице при его посещении (ознакомлении с ним) со стороны Пользователя;
• числовые значения, формируемые на основе анализа упомянутых выше данных.
- Данные о финансовых операциях Пользователя: данные о номере, дате договора с Оператором, движении денежных средств по договору с Оператором, факте возникновения задолженности, размере задолженности, санкциях.
- Платежные данные: номер платежной банковской карты, в том числе номер BIN (первые 6 цифр) банковской карты, а также наименование финансовой организации, в которой у Пользователя открыт счет.
- Финансовые данные: данные о кредитных рейтингах (рейтинге Финансового здоровья) Пользователя в Кредитных бюро.
В обрабатываемые Оператором персональные данные включаются прямо предоставленные Пользователем указанные данные из указанного выше списка, а также открытые им данные, опубликованные в Интернете и находящиеся там в свободном доступе. Предоставление персональных данных Оператору может производиться как в момент дачи Пользователем согласия, так и в любое время позднее, в течение действия согласия.
Персональные данные, предоставляемые Пользователем в течение действия согласия, обрабатываются на условиях согласия, кроме случаев если я Пользователь даст иное согласие на обработку персональных данных.
2.4 Условия обработки персональных данных
Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом, для осуществления и выполнения возложенных законодательством на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - общедоступные персональные данные);
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законом.
2.5 Конфиденциальность персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом.
2.6 Способы обработки Оператором персональных данных
При обработке персональных данных Оператор вправе определять способы обработки, документирования, хранения и защиты персональных данных.
Обработка персональных данных Оператором может осуществляться как с использованием средств автоматизации, в том числе в информационно телекоммуникационных сетях, так и без использования средств автоматизации.
2.7 Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.
В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено Оператору:
1) непосредственно;
2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с Оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.
Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.
Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления Оператору указанного требования.
Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения указанных положений или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
2.8 Поручение обработки персональных данных другому лицу
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных.
2.9 Срок и условия прекращения обработки персональных данных
Обработка Оператором персональных данных прекращается в случаях:
- ликвидация, реорганизация, прекращение деятельности Оператора как юридического лица;
- истечение срока хранения, предусмотренного законом, договором или согласием субъекта персональных данных на обработку его персональных данных;
- отзыв субъектом персональных данных (или его представителя) согласия на обработку его персональных данных.
2.10 Трансграничная передача персональных данных
Оператор не осуществляет трансграничную передачу персональных данных Пользователей.
3. Права субъектов персональных данных
3.1 Согласие субъекта персональных данных на обработку его персональных данных
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законом.
3.2 Права субъекта персональных данных
Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом персональных данных (потенциальным потребителем) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законами, или при наличии согласия в письменной форме субъекта персональных данных.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.
4. Обеспечение безопасности персональных данных
Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований законодательства в области защиты персональных данных.
Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:
- назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
- ограничение состава лиц, допущенных к обработке персональных данных;
- ознакомление субъектов с требованиями законодательства и нормативных документов Оператора по обработке и защите персональных данных;
- организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
- разработка на основе модели угроз системы защиты персональных данных;
- проверка готовности и эффективности использования средств защиты информации;
- разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
- регистрация и учет действий пользователей информационных систем персональных данных;
- использование антивирусных средств и средств восстановления системы защиты персональных данных;
- применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
- организация режима обеспечения безопасности помещений с техническими средствами обработки персональных данных.
5. Заключительные положения
Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством в области персональных данных и документами Оператора, размещенными на сайте creditsme.kz.