ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ





Дата: 01.01.2017

  1. Общие положения
    1. В целях выполнения норм действующего законодательства Российской Федерации в полном объеме "CreditNice" (далее по тексту – Компания) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
    2. Настоящая политика Компании в отношении организации обработки и обеспечения безопасности (далее по тексту – Политика) характеризуется следующими признаками:
      1. Разработана в целях реализации требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных.
      2. Раскрывает способы и принципы обработки в Компании персональных данных, права и обязанности Компании при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Компанией в целях обеспечения безопасности персональных данных при их обработке.
      3. Является общедоступным документом, декларирующим концептуальные основы деятельности Компании при обработке и защите персональных данных.
    3. Пересмотр и обновление настоящей Политики осуществляется на плановой и внеплановой основе в соответствии с установленным в Компании порядке:
      1. плановый пересмотр Политики осуществляется не реже одного раза в год;
      2. внеплановый пересмотр Политики может производиться в связи с изменением законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам других контрольных мероприятий.
    4. Текущая редакция Политики размещается на официальном сайте Компании http://creditkarm.ru/policy в общем доступе и вступает в силу с момента размещения, если иное не будет предусмотрено новой редакцией Политики.
  2. 2. Термины и определения Система, правами на которую владеет Компания, – автоматизированная платформа для сбора персональных данных Пользователей для оказания им услуг на специализированных Площадках; Площадки - веб-сайты в сети Интернет, подключенные к Системе; Пользователь - лицо, являющееся посетителем Площадок; Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Партнер - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными в целях оказания услуги Пользователю. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
  3. Категории субъектов, персональные данные которых обрабатываются Компанией
    1. Перечень персональных данных, подлежащих защите в Компании, формируется в соответствии с Федеральным законом РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») и внутренней политикой Компании.
    2. Сведениями, составляющими персональные данные, в Компании является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
  4. Цели и основания для обработки персональных данных
    1. Компания осуществляет обработку персональных данных в следующих случаях:
      1. оформления заявок на предоставление займов (кредитов) от Партнеров Компании;
      2. получения кредитных отчетов из бюро кредитных историй (на основании отдельного письменного заявления от Пользователя);
      3. оценки платежеспособности Пользователя на основании полученных кредитных отчетов и внутренней системы оценки Компании;
      4. предоставления Пользователю информации рекламного характера об услугах, реализуемых Компанией и Партнерами, а также для принятия Компанией или его Партнерами решения о возможности участия Пользователя в различных программах лояльности, акциях, скидках и иных льготных условий и информирования Пользователя о его возможности принятия такого решения.
  5. Основные принципы обработки персональных данных
    1. Обработка персональных данных Компанией осуществляется на основе принципов:
      1. законности целей и способов обработки персональных данных;
      2. добросовестности Компании, как оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерацией в отношении обработки персональных данных;
      3. достижения конкретных, заранее определенных целей обработки персональных данных;
      4. соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
      5. соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки;
      6. достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям обработки персональных данных;
      7. обеспечения при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Компания принимает необходимые меры и обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
      8. недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях несовместимых между собой;
      9. хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
    2. Работники Компании, допущенные к обработке персональных данных, обязаны:
      1. Знать и неукоснительно выполнять положения:
        1. законодательства Российской Федерации в области персональных данных;
        2. настоящей Политики;
        3. локальных актов по вопросам обработки персональных данных.
      2. обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
      3. сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
      4. не разглашать персональные данные, обрабатываемые в Компании;
      5. сообщать об известных фактах нарушения требований настоящей Политики Лицу, ответственному за организацию обработки персональных данных в Компании.
    3. Безопасность персональных данных в Компании обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.
  6. Организация обработки персональных данных
    1. В Компании организован прием и обработка обращений и запросов субъектов персональных данных или их представителей и (или) осуществляется контроль за приемом и обработкой таких обращений и запросов.
    2. Согласие на обработку персональных данных (далее по тексту – Согласие) может быть отозвано путем подачи в Компанию соответствующего письменного заявления не менее чем за 14 (четырнадцать) дней до момента отзыва согласия. Заявление об отзыве Согласия может быть подано только лично Пользователем или его представителем по доверенности, для чего он должен явиться в Компанию с документом, удостоверяющим личность, и подать работнику Компании соответствующее заявление. В случае удовлетворения заявления Компания прекращает обработку персональных данных в течение трех рабочих дней с момента получения соответствующего Заявления
    3. В случае отзыва Согласия Компания вправе продолжать обрабатывать персональные данные в целях исполнения Компанией требований законодательства и/или исполнения судебного решения, а равно защиты своих интересов, если при этом не нарушаются права третьих лиц.
    4. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора, условием которого является соблюдение конфиденциальности или неразглашение персональных данных.
    5. Компания вправе передавать персональные данные Субъекта следующим лицам, включая, но не ограничиваясь:
      1. Бюро кредитных историй :
        • Открытое акционерное общество «Национальное бюро кредитных историй» (НБКИ) ИНН 7703548386 ОГРН 1057746710713;
        • Общество с ограниченнойответственностью "Эквифакс Кредит Сервисиз" ИНН 7813199667 ОГРН 1047820008895;
        • Закрытое акционерное общество "Объединенное Кредитное Бюро" ИНН 7710561081 ОГРН 1047796788819; а также любым иным бюро кредитных историй;
      2. Микрофинансовым организациям и банкам, являющимся Партнерами Компании.
      3. А также любым иным организациям и лицам, если передача персональных данных Пользователя указанным лицам обусловлена целями, предусмотренными в п.4.1. настоящей Политики.
    6. Персональные данные не раскрываются третьим лицам, не распространяются иным образом без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
    7. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов), получают доступ к персональным данным, обрабатываемым в Компании, в объеме и порядке, установленном законодательством Российской Федерации.
  7. Трансграничная передача
    1. Компанией может осуществляться трансграничная передача персональных данных, для оказания услуг Пользователю, на территорию иностранного государства, которое обеспечивает адекватную защиту прав субъектов персональных данных.
    2. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
      1. наличия согласия в письменной форме субъекта персональных данных;
      2. исполнения договора, стороной которого является субъект персональных данных.
  8. Права и обязанности субъекта персональных данных
    1. Пользователь вправе в любой момент получить информацию, касающуюся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Пользователь вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
    2. Запросы Пользователей о предоставлении сведений об обрабатываемых Компанией персональных данных, а также запросы о блокировке, изменении, уточнении или удалении персональных данных Пользователя принимаются к рассмотрению Компанией только в случае личной явки Пользователя или явки его представителя в Компанию с документом, удостоверяющем личность (для представителя также доверенности), и соответствующем заявлением.
    3. Запросы Пользователей об изменении неполных, неточных или неактуальных персональных данных, а также запросы об удалении данных, которые были незаконно получены Компанией или не соответствуют заявленным целям обработки, подлежат рассмотрению в течение 7 (семи) рабочих дней.
    4. Ответ Компании на запрос Пользователя выдается на руки Пользователю или его представителю по доверенности в форме подписанной уполномоченным лицом Компании, при условии предъявления документа, удостоверяющего личность (для представителя также доверенности).
  9. Срок обработки персональных данных
    1. Компания вправе осуществлять обработку персональных данных в течение всего срока пользования услугами Компании Пользователем.
    2. Пользователь в любое время вправе отозвать свое согласие на обработку персональных данных. Отзыв согласия на обработку персональных данных осуществляется в форме, предусмотренной п-пп. 8 настоящей Политики.
  10. Меры Компании, направленные на обеспечение выполнения обязанности по защите персональных данных
    1. Меры, необходимые и достаточные для обеспечения выполнения Компанией обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, включают:
      1. назначение лица, ответственного за организацию обработки персональных данных в Компании;
      2. обеспечение режима безопасности помещений, в которых размещена информационная система обработки персональных данных, который препятствует возможности неконтролируемого проникновения третьих лиц в помещения;
      3. доведение до сведения работников Компании положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
      4. ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
      5. получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
      6. обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных, хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
      7. установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны, Компании и сети Интернет без применения установленных в Компании мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или) обезличенных персональных данных);
      8. осуществление внутреннего контроля соответствия обработки персональных данных ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам Компании;
      9. оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»;
      10. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
      11. обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
      12. учет машинных носителей персональных данных;
      13. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
      14. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
      15. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
      16. применение антивирусной защиты информационной системы обработки персональных данных;
      17. применение правовых, организационных, технических, и иных мер по обеспечению безопасности персональных данных предусмотренных законодательством Российской Федерации в области персональных данных.
    2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами Компании, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Компании.
  11. Ответственность
    1. Контроль исполнения требований настоящей Политики осуществляется ответственными лицами за организацию обработки и обеспечение безопасности персональных данных, назначаемые приказом Генерального директора Компании.
    2. Лица, виновные в нарушении норм, регулирующих получение, обработку, хранение и защиту обрабатываемых в Компании персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации.