Политика по обработке Персональных данных
1. Термины и определения
1.1. Настоящая Политика по обработке Персональных данных (далее по тексту – Политика) издана Оператором в соответствии с требованиями законодательства Российской Федерации о персональных данных.
1.2. Для целей Политики термины и определения в отношении обработки и защиты Персональных данных (в случае, если в тексте Политики они будут написаны с заглавной буквы), толкуются и понимаются в соответствии с Правилами.
1.3. Основные понятия, используемые в Политике:
1.3.1.Оператор Персональных данных – Оператор, указанный в пункте 1.6 Правил, осуществляющий обработку Персональных данных, а также определяющий цели обработки Персональных данных, состав (категории) Персональных данных, подлежащих обработке, действия (операции), совершаемые с Персональными данными. Понятия «Оператор Персональных данных» и «Оператор» в целях Политики считаются равнозначными.
1.3.2.Обработка Персональных данных – любое действие (операция) или совокупность действий (операций) с Персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка Персональных данных включает в себя, в том числе, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
1.3.3.Автоматизированная обработка Персональных данных – обработка Персональных данных с использованием средств вычислительной техники.
1.3.4.Распространение Персональных данных – действия, направленные на раскрытие Персональных данных неопределенному кругу лиц.
1.3.5.Предоставление Персональных данных – действия, направленные на раскрытие Персональных данных определенному лицу или определенному кругу лиц.
1.3.6.Блокирование Персональных данных – временное прекращение обработки Персональных данных (за исключением случаев, если обработка необходима для уточнения Персональных данных).
1.3.7.Уничтожение Персональных данных – действия, в результате которых становится невозможным восстановить содержание Персональных данных в информационной системе Персональных данных и (или) в результате которых уничтожаются материальные носители Персональных данных.
1.3.8.Обезличивание Персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность Персональных данных конкретному субъекту Персональных данных.
1.3.9.Информационная система Персональных данных – совокупность содержащихся в базах данных Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.3.10. Трансграничная передача Персональных данных – передача Персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.3.11. Файлы cookies – это текстовые файлы, содержащие небольшой объём информации и загружающиеся на используемое субъектом Персональных данных устройство при посещении сайта. После загрузки на техническое устройство субъекта Персональных данных Файлы cookiesотправляются обратно на исходный сайт при каждом последующем его посещении субъектом Персональных данных либо на другой сайт – в случае если такой сайт распознает такие Файлы cookies.
2. Общие положения. Принципы обработки Персональных данных. Основные права и обязанности
2.1. Политика определяет цели, содержание и порядок обработки Персональных данных, меры, направленные на защиту Персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области Персональных данных у Оператора.
2.2. Политика определяет стратегию (политику) Оператора как оператора, осуществляющего обработку Персональных данных, в отношении обработки и защиты Персональных данных.
2.3. Политика разработана в соответствии с ГК РФ, Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 No152-ФЗ «О персональных данных», Федеральным законом от 08.02.1998 No14-ФЗ «Об обществах с ограниченной ответственностью», Федеральным законом от 02.08.2019 No259-ФЗ «О привлечении инвестиций с использованием инвестиционных платформ и о внесении изменений в отдельные законодательные акты Российской Федерации», Федеральным законом от 22.05.2003 No54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации», Федеральным законом от 07.08.2001 No115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», Федеральным законом от 01.04.1996 No27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 10.07.2002 No86-ФЗ «О Центральном банке Российской Федерации (Банке России)», Федеральным законом от 22.04.1996 No39-ФЗ «О рынке ценных бумаг», Федеральным законом от 30.12.2004 No218-ФЗ «О кредитных историях», Федеральным законом от 06.04.2011 No63-ФЗ «Об электронной подписи», Федеральным законом от 26.10.2002 No127-ФЗ «О несостоятельности (банкротстве)», Федеральным законом от 27.07.2006 No149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 13.03.2006 No38-ФЗ «О рекламе», Федеральным законом от 02.10.2007 No229-ФЗ «Об исполнительном производстве», Постановлением Правительства РФ от 01.11.2012 No1119 «Об утверждении требований к защите Персональных данных при их обработке в информационных системах Персональных данных», Постановлением Правительства РФ от 15.09.2008 No687 «Об утверждении Положения об особенностях обработки Персональных данных, осуществляемой без использования средств автоматизации», Уставом Оператора.
2.4.Обработка и защита Персональных данных у Оператора осуществляется с соблюдением принципов и условий, предусмотренных Политикой и законодательством Российской Федерации в области персональных данных.
2.5. Обработка Персональных данных Оператором осуществляется на основе следующих принципов:
2.5.1.законности и справедливости оснований, целей и способов обработки Персональных данных, соответствия целей обработки Персональных данных целям, заранее определенным и заявленным при сборе Персональных данных;
2.5.2.соответствия объема и характера обрабатываемых Персональных данных, способов обработки Персональных данных целям обработки Персональных данных;
2.5.3.достоверности Персональных данных, их достаточности для целей обработки, недопустимости обработки Персональных данных избыточных по отношению к целям, заявленным при сборе Персональных данных;
2.5.4.недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих Персональные данные;
2.5.5.хранение Персональных данных осуществляется в форме, позволяющей определить субъекта Персональных данных, не дольше, чем этого требуют цели их обработки, кроме случаев, когда срок хранения Персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект Персональных данных;
2.5.6.уничтожение Персональных данных либо обезличивание осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения Персональных данных не установлен законодательством Российской Федерации, другими документами, определяющими такой срок.
2.6. Оператор в качестве оператора Персональных данных обязан:
2.6.1.организовывать обработку Персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006 г. No152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»);
2.6.2.обеспечивать защиту Персональных данных, обрабатываемых Оператором, от их неправомерного использования или утраты;
2.6.3.сообщать в предусмотренном законодательством Российской Федерации порядке субъекту Персональных данных или его представителю информацию о наличии Персональных данных, относящихся к соответствующему субъекту Персональных данных, а также предоставить возможность ознакомления с этими Персональными данными;
2.6.4.своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов Персональных данных, и их законных представителей;
2.6.5.в случае отказа, при обращении субъекта Персональных данных или его представителя, в предоставлении субъекту Персональных данных его Персональных данных или информации о наличии у Оператора его Персональных данных, давать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа;
2.6.6.если предоставление Персональных данных является обязательным в соответствии с федеральным законом, разъяснить субъекту Персональных данных юридические последствия отказа предоставить его Персональные данные;
2.6.7.предоставлять безвозмездно субъекту Персональных данных или его представителю возможность ознакомления с Персональными данными, относящимися к этому субъекту Персональных данных, а также по требованию субъекта Персональных данных или его представителя вносить в них необходимые изменения и уничтожать, если они не являются необходимыми для заявленной цели обработки, и принимать разумные меры для уведомления третьих лиц об изменениях в Персональных данных, которым, Персональные данные этого субъекта были переданы;
2.6.8.сообщать в уполномоченный орган по защите прав субъекта Персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;
2.6.9.немедленно прекратить по требованию субъекта Персональных данных обработку его Персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием средств связи;
2.6.10. устранять нарушения законодательства, допущенные при обработке Персональных данных;
2.6.11.уточнять, блокировать и уничтожать Персональные данные в случаях, предусмотренных законодательством Российской Федерации о персональных данных;
2.6.12. выполнять иные обязанности, предусмотренные Политикой и законодательством Российской Федерации.
2.7. Оператор в качестве оператора Персональных данных вправе:
2.7.1.принимать локальные акты в развитие Политики;
2.7.2.предлагать субъекту Персональных данных оформить персональное согласие на
обработку Персональных данных;
2.7.3.отказывать в предоставлении Персональных данных в случаях, предусмотренных
законодательством Российской Федерации;
2.7.4.привлекать к дисциплинарной ответственности работников Оператора за нарушение
требований к защите Персональных данных;
2.7.5.осуществлять иные права, предусмотренные Политикой и законодательством
Российской Федерации.
2.8. Субъект Персональных данных праве:
2.8.1.получать в случаях и порядке, предусмотренных законодательством Российской
Федерации, информацию, касающуюся обработки его Персональных данных у Оператора, в том числе и об источниках их получения;
2.8.2. требовать блокирования или уничтожения своих Персональных данных в случае, если Персональные данные являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;
2.8.3.обжаловать в уполномоченный орган по защите прав субъектов Персональных данных или в судебном порядке действия или бездействие Оператора в качестве оператора Персональных данных, если субъект Персональных данных считает, что Оператор осуществляет обработку его Персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы;
2.8.4.дать свое согласие Оператору на обработку Персональных данных субъекта Персональных данных;
2.8.5.отозвать свое согласие на обработку Персональных данных следующими способами:
2.8.5.1. направление отзыва в письменной форме почтовым отправлением Оператору по его адресу, указанному на Сайте. Отзыв считается полученным Оператором с момента вручения соответствующего почтового отправления Оператору. Отзыв в письменной форме должен включать в себя (помимо непосредственно отзыва по существу), в частности, фамилию, имя, отчество, адрес субъекта Персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; адрес Оператора, получающего отзыв субъекта Персональных данных, подпись субъекта Персональных данных;
2.8.5.2. направление отзыва с использованием информационных технологий и технических средств Платформы;
2.8.6.дать свое согласие на обработку Персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом Персональных данных (потенциальным потребителем) с использованием средств связи;
2.8.7.требовать прекращения обработки Персональных данных, указанной в подпункте 2.8.6 Политики. Требование о прекращении обработки Персональных данных субъект Персональных данных направляет Оператору способами, предусмотренными для отзыва согласия на обработку Персональных данных и указанными в подпункте 2.8.5 Политики.
2.8.8.защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
2.8.9.осуществлять иные права субъекта Персональных данных, предусмотренные Политикой и законодательством Российской Федерации.
3. Правовые основания, цели, условия и порядок обработки Персональных данных
3.1.Правовые основания обработки Оператором Персональных данных субъектов Персональных данных (категории субъектов Персональных данных указаны в пункте 3.2 Политики):
3.1.1.ГК РФ;
3.1.2.Трудовой кодекс Российской Федерации;
3.1.3.Налоговый кодекс Российской Федерации;
3.1.4.Федеральный закон от 08.02.1998 No14-ФЗ «Об обществах с ограниченной
ответственностью»;
3.1.5.Федеральный закон от 02.08.2019 No259-ФЗ «О привлечении инвестиций с
использованием инвестиционных платформ и о внесении изменений в отдельные законодательные акты Российской Федерации»;
3.1.6.Федеральный закон от 22.05.2003 No54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации»;
3.1.7.Федеральный закон от 07.08.2001 No115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
3.1.8.Федеральный закон от 01.04.1996 No27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
3.1.9.Федеральный закон от 10.07.2002 No86-ФЗ «О Центральном банке Российской Федерации (Банке России)»;
3.1.10. Федеральный закон от 22.04.1996 No39-ФЗ «О рынке ценных бумаг»;
3.1.11. Федеральный закон от 30.12.2004 No218-ФЗ «О кредитных историях»;
3.1.12. Федеральный закон от 06.04.2011 No63-ФЗ «Об электронной подписи»;
3.1.13. Федеральный закон от 26.10.2002 No127-ФЗ «О несостоятельности (банкротстве)»; 3.1.14.Федеральный закон от 27.07.2006 No149-ФЗ «Об информации, информационных
технологиях и о защите информации»;
3.1.15. Федеральный закон от 13.03.2006 No38-ФЗ «О рекламе»;
3.1.16. Федеральный закон от 02.10.2007 No229-ФЗ «Об исполнительном производстве»; 3.1.17. Устав Оператора;
3.1.18. Политика;
3.1.19. локальные акты Оператора, разработанные в развитие Политики;
3.1.20. договоры, заключаемые между Оператором и субъектами Персональных данных; а
также договоры, заключаемые Оператором, выгодоприобретателем по которым является (будет являться) субъект Персональных данных;
3.1.21. согласие(я) субъекта(ов) Персональных данных на обработку его(их) Персональных данных.
3.2.Категории субъектов Персональных данных, Персональные данные которых обрабатываются Оператором:
3.2.1.Посетители и Участники Платформы, являющиеся физическими лицами; 3.2.2.физические лица – представители Участников Платформы – юридических лиц; 3.2.3.представители указанных в подпунктах 3.2.1 и 3.2.2 Политики категорий субъектов
Персональных данных.
3.3. Цели обработки Персональных данных субъектов Персональных данных, указанных в
пункте 3.2 Политики:
3.3.1.осуществление деятельности, предусмотренной Уставом Оператора; 3.3.2.заключение, исполнение и прекращение гражданско-правовых договоров с
Посетителями и Участниками Платформы и иными лицами, в случаях, предусмотренных законодательством Российской Федерации и (или) уставом Оператора;
3.3.3.осуществление связи с субъектом Персональных данных в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг Оператора, а также обработки заявлений, заявок, запросов и иных сообщений Посетителей и Участников Платформы;
3.3.4.исполнение Оператором требований законодательства;
3.3.5.осуществление банковских операций;
3.3.6.осуществление и выполнение возложенных на Оператора договорами прав и
обязанностей (в том числе с целью исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект Персональных данных, а также для заключения договора по инициативе субъекта Персональных данных или договора, по которому субъект Персональных данных будет являться выгодоприобретателем или поручителем);
3.3.7.осуществление прав и законных интересов Оператора или третьих лиц; 3.3.8.улучшение качества услуг, оказываемых Оператором;
3.3.9.продвижение услуг на рынке путем осуществления прямых контактов с субъектами
Персональных данных (с использованием средств связи);
3.3.10.проведение статистических и иных исследований, на основе обезличенных
Персональных данных;
3.4. В целях, указанных в пункте 3.3 Политики, обрабатываются следующие категории
Персональных данных категорий субъектов Персональных данных, указанных в пункте 3.2 Политики:
3.4.1.фамилия, имя, отчество;
3.4.2.число, месяц, год рождения;
3.4.3.место рождения;
3.4.4.адрес места жительства (регистрации) или места пребывания; 3.4.5.гражданство (российское, а также иные гражданства);
3.4.6. пол;
3.4.7.вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи документа, код подразделения, указанный в документе;
3.4.8.скан-копии страниц паспорта;
3.4.9.идентификационный номер налогоплательщика (ИНН);
3.4.10. номер контактного телефона;
3.4.11. адрес электронной почты (email);
3.4.12. сведения о налоговом статусе (резидент/нерезидент);
3.4.13. сведения об имущественном положении;
3.4.14. сведения о доходах;
3.4.15. сведения о суммах налога, подлежащего уплате с доходов;
3.4.16. банковские реквизиты;
3.4.17. сведения о суммах инвестирования;
3.4.18. сведения о суммах инвестиций;
3.4.19. сведения об операциях с денежными средствами;
3.4.20. профессия, образование, квалификация и опыт;
3.4.21.сведения о статусе лица в органах управления юридического лица (в том числе
сведения о вхождении лица в структуру и Персональный состав органов управления юридического лица; наличии у лица права распоряжаться не менее чем 10 процентами голосов в высшем органе управления юридического лица, если таким лицом является корпорация);
3.4.22. сведения о наличии или отсутствии у лица статуса контролирующего лица;
3.4.23. сведения о наличии или отсутствии у лица статуса квалифицированного инвестора; 3.4.24. сведения о наличии административного наказания в виде дисквалификации;
3.4.25.сведения о неснятой или непогашенной судимости за преступления в сфере экономики или преступления против государственной власти, интересов государственной службы и службы в органах местного самоуправления;
3.4.26. сведения о включении лица в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, причастности к распространению оружия массового уничтожения;
3.4.27. сведения о банкротстве (включая сведения о наличии в суде дела о банкротстве);
3.4.28.сведения о наличии или отсутствии у лица статуса иностранного публичного должностного лица, близкого родственника иностранного публичного должностного лица, должностного лица публичной международной организации, близкого родственника должностного лица публичной международной организации, государственного должностного лица, близкого родственника государственного должностного лица;
3.4.29. IP и MAC-адреса;
3.4.30. Файлы cookies (включая Client ID по Файлам cookies);
3.4.31. геолокационные данные (данные о местоположении);
3.4.32. данные об интернет-активности, в частности, в социальных сетях;
3.4.33.иные Персональные данные, необходимые для достижения целей,
предусмотренных пунктом 3.3 Политики.
3.5. Специальные категории Персональных данных категорий субъектов Персональных
данных, указанных в пункте 3.2 Политики, не обрабатываются.
3.6. Биометрические Персональные данные не обрабатываются.
3.7.Обработка Персональных данных категорий субъектов Персональных данных,
указанных в пункте 3.2 Политики, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 3.3 Политики, в соответствии с пунктами 2, 3, 3.1, 5, 7, 9, 10 и 11 части 1 статьи 6 Федерального закона «О персональных данных».
В случае если обработка Персональных данных категорий субъектов Персональных данных осуществляется не на основании пунктов 2, 3, 3.1, 5, 7, 9, 10 и 11 части 1 статьи 6 Федерального закона «О персональных данных», то обработка Персональных данных категорий субъектов Персональных данных, указанных в пункте 3.2 Политики, осуществляется в рамках целей, определенных пунктом 3.3 Политики, при условии получения согласия указанных лиц.
3.8.Обработка Персональных данных категорий субъектов Персональных данных, указанных в пункте 3.2 Политики, включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.
3.9. Трансграничная передача Персональных данных не осуществляется.
3.10. Обработка Персональных данных субъектов Персональных данных, указанных в пункте 3.3 Политики, осуществляется путем:
3.10.1. получения оригиналов необходимых документов;
3.10.2. получения копий (скан-копий) документов;
3.10.3. копирования оригиналов документов;
3.10.4.формирования Персональных данных в ходе деятельности, предусмотренной
уставом Оператора;
3.10.5. внесения сведений в учетные формы на бумажных и электронных носителях; 3.10.6. внесения Персональных данных в информационные системы.
3.11. Обработка Персональных данных осуществляется путем получения Персональных
данных от субъектов Персональных данных, категории которых указаны в пункте 3.2 Политики, в частности, путем заполнения субъектом Персональных данных экранных форм, размещенных на Сайте.
Обработка Персональных данных, которая осуществляется путем получения Персональных данных не от субъектов Персональных данных, категории которых указаны в пункте 3.2 Политики, допускается с соблюдением положений Политики и (или) законодательства Российской Федерации.
3.12. Запрещается обрабатывать Персональные данные, не указанные в пункте 3.4 Политики, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.
3.13. Запрещается запрашивать у субъектов Персональных данных и третьих лиц, а также обрабатывать Персональные данные в случаях, не предусмотренных Политикой и (или) законодательством Российской Федерации.
3.14. Обработка Персональных данных осуществляется лишь в случаях и в порядке, предусмотренных Политикой и (или) федеральными законами.
3.15. Оператор вправе проверять представленные данные, в частности содержащиеся в представленных документах, на соответствие субъектов Персональных данных требованиям Оператора (в частности, на наличие оснований для заключения сделок на Платформе) и (или) законодательства Российской Федерации.
3.16. В рамках достижения целей обработки Персональных данных Оператор может предоставлять доступ к Персональным данным и (или) передавать Персональные данные третьим лицам, в частности, партнерам Оператора. Перечень лиц, которым Оператор может предоставлять доступ к Персональным данным и (или) передавать Персональные данные, устанавливается Оператором на основании выбора Оператора. Указанный перечень размещается на Сайте. Оператор обновляет перечень по мере необходимости. Оператор может предоставлять доступ к Персональным данным и (или) передавать Персональные данные третьим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации, Политикой и иными локальными актами Оператора, издаваемыми в развитие Политики, договорами, стороной которых, выгодоприобретателем или поручителем по которым является субъект Персональных данных, иными соглашениями между Оператором и субъектом Персональных данных.
Кроме того, Оператор предоставляет доступ и (или) передает Персональные данные Участников Платформы (физических лиц), являющихся Инвесторами, Участникам Платформы (юридическим лицам и индивидуальным предпринимателям), являющимися Заемщиками, для исполнения Заемщиками обязанностей налогового агента по налогу на доходы физических лиц в отношении Инвесторов – физических лиц.
Третьи лица, которым Оператор предоставляет доступ к Персональным данным и (или) передает Персональные данные, обязаны соблюдать принципы и правила обработки Персональных данных, предусмотренные законодательством Российской Федерации о Персональных данных, в частности, соблюдать конфиденциальность Персональных данных и обеспечивать безопасность Персональных данных при их обработке.
3.17. Оператор вправе на основании выбора Оператора поручить обработку Персональных данных другому лицу с согласия субъекта Персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение Оператора). Лицо, осуществляющее обработку Персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки Персональных данных, предусмотренные законодательством Российской Федерации о Персональных данных. В поручении Оператора должны быть определены перечень действий (операций) с Персональными данными, которые будут совершаться лицом, осуществляющим обработку Персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность Персональных данных и обеспечивать безопасность Персональных данных при их обработке, а
также должны быть указаны требования к защите обрабатываемых Персональных данных в соответствии законодательством Российской Федерации о Персональных данных.
Лицо, осуществляющее обработку Персональных данных по поручению Оператора, не обязано получать согласие субъекта Персональных данных на обработку его Персональных данных.
В случае, если Оператор поручает обработку Персональных данных другому лицу, ответственность перед субъектом Персональных данных за действия указанного лица несет Оператор. В случае, если Оператор поручает обработку Персональных данных другому лицу, информацию о таком лице Оператор включает в перечень третьих лиц, предусмотренный пунктом 3.16 Политики.
3.18. Обработка Файлов cookies осуществляется в случаях и порядке, предусмотренных разделом 10 Политики.
4. Порядок обработки Персональных данных субъектов Персональных данных в информационной системе. Обеспечение безопасности Персональных данных
4.1. Обработка Персональных данных субъектов Персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с использованием средств вычислительной техники).
4.2. Обработка Персональных данных осуществляется:
4.2.1.в информационной системе;
4.2.2.на автоматизированных рабочих местах работников Оператора.
4.3.Работникам Оператора, имеющим право осуществлять обработку Персональных
данных, предоставляется уникальный логин и пароль для доступа к автоматизированным рабочим местам работников. Доступ предоставляется к Персональным данным в соответствии с функциями, предусмотренными должностными инструкциями работников и локальными актами Оператора.
Информация может вноситься как в автоматическом режиме, при получении Персональных данных с Платформы, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
4.4. Обеспечение безопасности Персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к Персональным данным, защиты от уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных, в частности, путем принятия следующих мер:
4.4.1.разработана и применяется Политика Оператора по обработке Персональных данных.
4.4.2.разработаны и применяются Положение по вопросам обработки Персональных данных, осуществляемой без использования средств автоматизации, и Положение об обеспечении безопасности Персональных данных при их обработке в информационных системах Персональных данных;
4.4.3.приказом Генерального директора Оператора назначены ответственные за организацию обработки Персональных данных лица, определены их полномочия и ответственность;
4.4.4. работники, непосредственно осуществляющие обработку Персональных данных, ознакомлены с положениями законодательства Российской Федерации о Персональных данных, в том числе с требованиями к защите Персональных данных, документами, определяющими политику Оператора в отношении обработки Персональных данных, локальными актами по вопросам обработки Персональных данных;
ных в случае нарушения законодательства Российской Федерации о Персональных данных, соотношения указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации о Персональных данных;
4.4.6.осуществлён внутренний контроль (аудит) соответствия обработки Персональных данных законодательству Российской Федерации о Персональных данных и требованиям к защите Персональных данных, документам, определяющим политику Оператора в отношении обработки Персональных данных, локальным актам по вопросам обработки Персональных данных;
4.4.7.применяются правовые, организационные и технические меры по обеспечению безопасности Персональных данных при их обработке, необходимые для выполнения требований к защите Персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности Персональных данных;
4.4.8.оценивается эффективность принимаемых мер по обеспечению безопасности Персональных данных до ввода в промышленную эксплуатацию информационной системы;
4.4.9.хранение сведений организовано на электронных носителях (в информационной системе Персональных данных) с использованием средств обеспечения безопасности, на бумажных носителях – с применением мер, обеспечивающих раздельное хранение Персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
4.4.10. учитываются машинные носители Персональных данных;
4.4.11. обеспечивается обнаружение фактов несанкционированного доступа к Персональным данным и принятие мер;
4.4.12.обеспечивается восстановление Персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
4.4.13. обеспечивается контроль за принимаемыми мерами по обеспечению безопасности Персональных данных.
4.5. Лицо, ответственное за обеспечение информационной безопасности, организует и контролирует ведение учета материальных носителей Персональных данных.
4.6. Лицо, ответственное за обеспечение безопасности Персональных данных при их обработке в информационной системе Персональных данных, должно обеспечить:
4.6.1. своевременное обнаружение фактов несанкционированного доступа к Персональным данным и немедленное доведение этой информации до ответственного за организацию обработки Персональных данных;
4.6.2.недопущение воздействия на технические средства автоматизированной обработки Персональных данных, в результате которого может быть нарушено их функционирование;
4.6.3. возможность восстановления Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
4.6.4.постоянный контроль за обеспечением уровня защищенности Персональных данных;
4.6.5.знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
4.6.6.учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей Персональных данных;
4.6.7.при обнаружении нарушений порядка предоставления Персональных данных незамедлительное приостановление предоставления Персональных данных пользователям информационной системы Персональных данных до выявления причин нарушений и устранения этих причин;
4.6.8.разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей Персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности Персональных данных или другим нарушениям, приводящим к снижению уровня защищенности Персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
4.7. Обмен Персональными данными при их обработке в информационной системе Персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
4.8.Доступ работников Оператора к Персональным данным, находящимся в информационной системе Персональных данных, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
4.9.В случае выявления нарушений порядка обработки Персональных данных в информационной системе Персональных данных уполномоченным должностным лицом незамедлительно принимаются меры по установлению причин нарушений и их устранению.
4.10. При сборе Персональных данных, в том числе посредством информационно- телекоммуникационной сети «Интернет», Оператор осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
1. Термины и определения
1.1. Настоящая Политика по обработке Персональных данных (далее по тексту – Политика) издана Оператором в соответствии с требованиями законодательства Российской Федерации о персональных данных.
1.2. Для целей Политики термины и определения в отношении обработки и защиты Персональных данных (в случае, если в тексте Политики они будут написаны с заглавной буквы), толкуются и понимаются в соответствии с Правилами.
1.3. Основные понятия, используемые в Политике:
1.3.1.Оператор Персональных данных – Оператор, указанный в пункте 1.6 Правил, осуществляющий обработку Персональных данных, а также определяющий цели обработки Персональных данных, состав (категории) Персональных данных, подлежащих обработке, действия (операции), совершаемые с Персональными данными. Понятия «Оператор Персональных данных» и «Оператор» в целях Политики считаются равнозначными.
1.3.2.Обработка Персональных данных – любое действие (операция) или совокупность действий (операций) с Персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка Персональных данных включает в себя, в том числе, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
1.3.3.Автоматизированная обработка Персональных данных – обработка Персональных данных с использованием средств вычислительной техники.
1.3.4.Распространение Персональных данных – действия, направленные на раскрытие Персональных данных неопределенному кругу лиц.
1.3.5.Предоставление Персональных данных – действия, направленные на раскрытие Персональных данных определенному лицу или определенному кругу лиц.
1.3.6.Блокирование Персональных данных – временное прекращение обработки Персональных данных (за исключением случаев, если обработка необходима для уточнения Персональных данных).
1.3.7.Уничтожение Персональных данных – действия, в результате которых становится невозможным восстановить содержание Персональных данных в информационной системе Персональных данных и (или) в результате которых уничтожаются материальные носители Персональных данных.
1.3.8.Обезличивание Персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность Персональных данных конкретному субъекту Персональных данных.
1.3.9.Информационная система Персональных данных – совокупность содержащихся в базах данных Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.3.10. Трансграничная передача Персональных данных – передача Персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.3.11. Файлы cookies – это текстовые файлы, содержащие небольшой объём информации и загружающиеся на используемое субъектом Персональных данных устройство при посещении сайта. После загрузки на техническое устройство субъекта Персональных данных Файлы cookiesотправляются обратно на исходный сайт при каждом последующем его посещении субъектом Персональных данных либо на другой сайт – в случае если такой сайт распознает такие Файлы cookies.
2. Общие положения. Принципы обработки Персональных данных. Основные права и обязанности
2.1. Политика определяет цели, содержание и порядок обработки Персональных данных, меры, направленные на защиту Персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области Персональных данных у Оператора.
2.2. Политика определяет стратегию (политику) Оператора как оператора, осуществляющего обработку Персональных данных, в отношении обработки и защиты Персональных данных.
2.3. Политика разработана в соответствии с ГК РФ, Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 No152-ФЗ «О персональных данных», Федеральным законом от 08.02.1998 No14-ФЗ «Об обществах с ограниченной ответственностью», Федеральным законом от 02.08.2019 No259-ФЗ «О привлечении инвестиций с использованием инвестиционных платформ и о внесении изменений в отдельные законодательные акты Российской Федерации», Федеральным законом от 22.05.2003 No54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации», Федеральным законом от 07.08.2001 No115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», Федеральным законом от 01.04.1996 No27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 10.07.2002 No86-ФЗ «О Центральном банке Российской Федерации (Банке России)», Федеральным законом от 22.04.1996 No39-ФЗ «О рынке ценных бумаг», Федеральным законом от 30.12.2004 No218-ФЗ «О кредитных историях», Федеральным законом от 06.04.2011 No63-ФЗ «Об электронной подписи», Федеральным законом от 26.10.2002 No127-ФЗ «О несостоятельности (банкротстве)», Федеральным законом от 27.07.2006 No149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 13.03.2006 No38-ФЗ «О рекламе», Федеральным законом от 02.10.2007 No229-ФЗ «Об исполнительном производстве», Постановлением Правительства РФ от 01.11.2012 No1119 «Об утверждении требований к защите Персональных данных при их обработке в информационных системах Персональных данных», Постановлением Правительства РФ от 15.09.2008 No687 «Об утверждении Положения об особенностях обработки Персональных данных, осуществляемой без использования средств автоматизации», Уставом Оператора.
2.4.Обработка и защита Персональных данных у Оператора осуществляется с соблюдением принципов и условий, предусмотренных Политикой и законодательством Российской Федерации в области персональных данных.
2.5. Обработка Персональных данных Оператором осуществляется на основе следующих принципов:
2.5.1.законности и справедливости оснований, целей и способов обработки Персональных данных, соответствия целей обработки Персональных данных целям, заранее определенным и заявленным при сборе Персональных данных;
2.5.2.соответствия объема и характера обрабатываемых Персональных данных, способов обработки Персональных данных целям обработки Персональных данных;
2.5.3.достоверности Персональных данных, их достаточности для целей обработки, недопустимости обработки Персональных данных избыточных по отношению к целям, заявленным при сборе Персональных данных;
2.5.4.недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих Персональные данные;
2.5.5.хранение Персональных данных осуществляется в форме, позволяющей определить субъекта Персональных данных, не дольше, чем этого требуют цели их обработки, кроме случаев, когда срок хранения Персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект Персональных данных;
2.5.6.уничтожение Персональных данных либо обезличивание осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения Персональных данных не установлен законодательством Российской Федерации, другими документами, определяющими такой срок.
2.6. Оператор в качестве оператора Персональных данных обязан:
2.6.1.организовывать обработку Персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006 г. No152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»);
2.6.2.обеспечивать защиту Персональных данных, обрабатываемых Оператором, от их неправомерного использования или утраты;
2.6.3.сообщать в предусмотренном законодательством Российской Федерации порядке субъекту Персональных данных или его представителю информацию о наличии Персональных данных, относящихся к соответствующему субъекту Персональных данных, а также предоставить возможность ознакомления с этими Персональными данными;
2.6.4.своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов Персональных данных, и их законных представителей;
2.6.5.в случае отказа, при обращении субъекта Персональных данных или его представителя, в предоставлении субъекту Персональных данных его Персональных данных или информации о наличии у Оператора его Персональных данных, давать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа;
2.6.6.если предоставление Персональных данных является обязательным в соответствии с федеральным законом, разъяснить субъекту Персональных данных юридические последствия отказа предоставить его Персональные данные;
2.6.7.предоставлять безвозмездно субъекту Персональных данных или его представителю возможность ознакомления с Персональными данными, относящимися к этому субъекту Персональных данных, а также по требованию субъекта Персональных данных или его представителя вносить в них необходимые изменения и уничтожать, если они не являются необходимыми для заявленной цели обработки, и принимать разумные меры для уведомления третьих лиц об изменениях в Персональных данных, которым, Персональные данные этого субъекта были переданы;
2.6.8.сообщать в уполномоченный орган по защите прав субъекта Персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;
2.6.9.немедленно прекратить по требованию субъекта Персональных данных обработку его Персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием средств связи;
2.6.10. устранять нарушения законодательства, допущенные при обработке Персональных данных;
2.6.11.уточнять, блокировать и уничтожать Персональные данные в случаях, предусмотренных законодательством Российской Федерации о персональных данных;
2.6.12. выполнять иные обязанности, предусмотренные Политикой и законодательством Российской Федерации.
2.7. Оператор в качестве оператора Персональных данных вправе:
2.7.1.принимать локальные акты в развитие Политики;
2.7.2.предлагать субъекту Персональных данных оформить персональное согласие на
обработку Персональных данных;
2.7.3.отказывать в предоставлении Персональных данных в случаях, предусмотренных
законодательством Российской Федерации;
2.7.4.привлекать к дисциплинарной ответственности работников Оператора за нарушение
требований к защите Персональных данных;
2.7.5.осуществлять иные права, предусмотренные Политикой и законодательством
Российской Федерации.
2.8. Субъект Персональных данных праве:
2.8.1.получать в случаях и порядке, предусмотренных законодательством Российской
Федерации, информацию, касающуюся обработки его Персональных данных у Оператора, в том числе и об источниках их получения;
2.8.2. требовать блокирования или уничтожения своих Персональных данных в случае, если Персональные данные являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;
2.8.3.обжаловать в уполномоченный орган по защите прав субъектов Персональных данных или в судебном порядке действия или бездействие Оператора в качестве оператора Персональных данных, если субъект Персональных данных считает, что Оператор осуществляет обработку его Персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы;
2.8.4.дать свое согласие Оператору на обработку Персональных данных субъекта Персональных данных;
2.8.5.отозвать свое согласие на обработку Персональных данных следующими способами:
2.8.5.1. направление отзыва в письменной форме почтовым отправлением Оператору по его адресу, указанному на Сайте. Отзыв считается полученным Оператором с момента вручения соответствующего почтового отправления Оператору. Отзыв в письменной форме должен включать в себя (помимо непосредственно отзыва по существу), в частности, фамилию, имя, отчество, адрес субъекта Персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; адрес Оператора, получающего отзыв субъекта Персональных данных, подпись субъекта Персональных данных;
2.8.5.2. направление отзыва с использованием информационных технологий и технических средств Платформы;
2.8.6.дать свое согласие на обработку Персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом Персональных данных (потенциальным потребителем) с использованием средств связи;
2.8.7.требовать прекращения обработки Персональных данных, указанной в подпункте 2.8.6 Политики. Требование о прекращении обработки Персональных данных субъект Персональных данных направляет Оператору способами, предусмотренными для отзыва согласия на обработку Персональных данных и указанными в подпункте 2.8.5 Политики.
2.8.8.защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
2.8.9.осуществлять иные права субъекта Персональных данных, предусмотренные Политикой и законодательством Российской Федерации.
3. Правовые основания, цели, условия и порядок обработки Персональных данных
3.1.Правовые основания обработки Оператором Персональных данных субъектов Персональных данных (категории субъектов Персональных данных указаны в пункте 3.2 Политики):
3.1.1.ГК РФ;
3.1.2.Трудовой кодекс Российской Федерации;
3.1.3.Налоговый кодекс Российской Федерации;
3.1.4.Федеральный закон от 08.02.1998 No14-ФЗ «Об обществах с ограниченной
ответственностью»;
3.1.5.Федеральный закон от 02.08.2019 No259-ФЗ «О привлечении инвестиций с
использованием инвестиционных платформ и о внесении изменений в отдельные законодательные акты Российской Федерации»;
3.1.6.Федеральный закон от 22.05.2003 No54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации»;
3.1.7.Федеральный закон от 07.08.2001 No115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
3.1.8.Федеральный закон от 01.04.1996 No27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
3.1.9.Федеральный закон от 10.07.2002 No86-ФЗ «О Центральном банке Российской Федерации (Банке России)»;
3.1.10. Федеральный закон от 22.04.1996 No39-ФЗ «О рынке ценных бумаг»;
3.1.11. Федеральный закон от 30.12.2004 No218-ФЗ «О кредитных историях»;
3.1.12. Федеральный закон от 06.04.2011 No63-ФЗ «Об электронной подписи»;
3.1.13. Федеральный закон от 26.10.2002 No127-ФЗ «О несостоятельности (банкротстве)»; 3.1.14.Федеральный закон от 27.07.2006 No149-ФЗ «Об информации, информационных
технологиях и о защите информации»;
3.1.15. Федеральный закон от 13.03.2006 No38-ФЗ «О рекламе»;
3.1.16. Федеральный закон от 02.10.2007 No229-ФЗ «Об исполнительном производстве»; 3.1.17. Устав Оператора;
3.1.18. Политика;
3.1.19. локальные акты Оператора, разработанные в развитие Политики;
3.1.20. договоры, заключаемые между Оператором и субъектами Персональных данных; а
также договоры, заключаемые Оператором, выгодоприобретателем по которым является (будет являться) субъект Персональных данных;
3.1.21. согласие(я) субъекта(ов) Персональных данных на обработку его(их) Персональных данных.
3.2.Категории субъектов Персональных данных, Персональные данные которых обрабатываются Оператором:
3.2.1.Посетители и Участники Платформы, являющиеся физическими лицами; 3.2.2.физические лица – представители Участников Платформы – юридических лиц; 3.2.3.представители указанных в подпунктах 3.2.1 и 3.2.2 Политики категорий субъектов
Персональных данных.
3.3. Цели обработки Персональных данных субъектов Персональных данных, указанных в
пункте 3.2 Политики:
3.3.1.осуществление деятельности, предусмотренной Уставом Оператора; 3.3.2.заключение, исполнение и прекращение гражданско-правовых договоров с
Посетителями и Участниками Платформы и иными лицами, в случаях, предусмотренных законодательством Российской Федерации и (или) уставом Оператора;
3.3.3.осуществление связи с субъектом Персональных данных в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг Оператора, а также обработки заявлений, заявок, запросов и иных сообщений Посетителей и Участников Платформы;
3.3.4.исполнение Оператором требований законодательства;
3.3.5.осуществление банковских операций;
3.3.6.осуществление и выполнение возложенных на Оператора договорами прав и
обязанностей (в том числе с целью исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект Персональных данных, а также для заключения договора по инициативе субъекта Персональных данных или договора, по которому субъект Персональных данных будет являться выгодоприобретателем или поручителем);
3.3.7.осуществление прав и законных интересов Оператора или третьих лиц; 3.3.8.улучшение качества услуг, оказываемых Оператором;
3.3.9.продвижение услуг на рынке путем осуществления прямых контактов с субъектами
Персональных данных (с использованием средств связи);
3.3.10.проведение статистических и иных исследований, на основе обезличенных
Персональных данных;
3.4. В целях, указанных в пункте 3.3 Политики, обрабатываются следующие категории
Персональных данных категорий субъектов Персональных данных, указанных в пункте 3.2 Политики:
3.4.1.фамилия, имя, отчество;
3.4.2.число, месяц, год рождения;
3.4.3.место рождения;
3.4.4.адрес места жительства (регистрации) или места пребывания; 3.4.5.гражданство (российское, а также иные гражданства);
3.4.6. пол;
3.4.7.вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи документа, код подразделения, указанный в документе;
3.4.8.скан-копии страниц паспорта;
3.4.9.идентификационный номер налогоплательщика (ИНН);
3.4.10. номер контактного телефона;
3.4.11. адрес электронной почты (email);
3.4.12. сведения о налоговом статусе (резидент/нерезидент);
3.4.13. сведения об имущественном положении;
3.4.14. сведения о доходах;
3.4.15. сведения о суммах налога, подлежащего уплате с доходов;
3.4.16. банковские реквизиты;
3.4.17. сведения о суммах инвестирования;
3.4.18. сведения о суммах инвестиций;
3.4.19. сведения об операциях с денежными средствами;
3.4.20. профессия, образование, квалификация и опыт;
3.4.21.сведения о статусе лица в органах управления юридического лица (в том числе
сведения о вхождении лица в структуру и Персональный состав органов управления юридического лица; наличии у лица права распоряжаться не менее чем 10 процентами голосов в высшем органе управления юридического лица, если таким лицом является корпорация);
3.4.22. сведения о наличии или отсутствии у лица статуса контролирующего лица;
3.4.23. сведения о наличии или отсутствии у лица статуса квалифицированного инвестора; 3.4.24. сведения о наличии административного наказания в виде дисквалификации;
3.4.25.сведения о неснятой или непогашенной судимости за преступления в сфере экономики или преступления против государственной власти, интересов государственной службы и службы в органах местного самоуправления;
3.4.26. сведения о включении лица в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, причастности к распространению оружия массового уничтожения;
3.4.27. сведения о банкротстве (включая сведения о наличии в суде дела о банкротстве);
3.4.28.сведения о наличии или отсутствии у лица статуса иностранного публичного должностного лица, близкого родственника иностранного публичного должностного лица, должностного лица публичной международной организации, близкого родственника должностного лица публичной международной организации, государственного должностного лица, близкого родственника государственного должностного лица;
3.4.29. IP и MAC-адреса;
3.4.30. Файлы cookies (включая Client ID по Файлам cookies);
3.4.31. геолокационные данные (данные о местоположении);
3.4.32. данные об интернет-активности, в частности, в социальных сетях;
3.4.33.иные Персональные данные, необходимые для достижения целей,
предусмотренных пунктом 3.3 Политики.
3.5. Специальные категории Персональных данных категорий субъектов Персональных
данных, указанных в пункте 3.2 Политики, не обрабатываются.
3.6. Биометрические Персональные данные не обрабатываются.
3.7.Обработка Персональных данных категорий субъектов Персональных данных,
указанных в пункте 3.2 Политики, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 3.3 Политики, в соответствии с пунктами 2, 3, 3.1, 5, 7, 9, 10 и 11 части 1 статьи 6 Федерального закона «О персональных данных».
В случае если обработка Персональных данных категорий субъектов Персональных данных осуществляется не на основании пунктов 2, 3, 3.1, 5, 7, 9, 10 и 11 части 1 статьи 6 Федерального закона «О персональных данных», то обработка Персональных данных категорий субъектов Персональных данных, указанных в пункте 3.2 Политики, осуществляется в рамках целей, определенных пунктом 3.3 Политики, при условии получения согласия указанных лиц.
3.8.Обработка Персональных данных категорий субъектов Персональных данных, указанных в пункте 3.2 Политики, включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.
3.9. Трансграничная передача Персональных данных не осуществляется.
3.10. Обработка Персональных данных субъектов Персональных данных, указанных в пункте 3.3 Политики, осуществляется путем:
3.10.1. получения оригиналов необходимых документов;
3.10.2. получения копий (скан-копий) документов;
3.10.3. копирования оригиналов документов;
3.10.4.формирования Персональных данных в ходе деятельности, предусмотренной
уставом Оператора;
3.10.5. внесения сведений в учетные формы на бумажных и электронных носителях; 3.10.6. внесения Персональных данных в информационные системы.
3.11. Обработка Персональных данных осуществляется путем получения Персональных
данных от субъектов Персональных данных, категории которых указаны в пункте 3.2 Политики, в частности, путем заполнения субъектом Персональных данных экранных форм, размещенных на Сайте.
Обработка Персональных данных, которая осуществляется путем получения Персональных данных не от субъектов Персональных данных, категории которых указаны в пункте 3.2 Политики, допускается с соблюдением положений Политики и (или) законодательства Российской Федерации.
3.12. Запрещается обрабатывать Персональные данные, не указанные в пункте 3.4 Политики, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.
3.13. Запрещается запрашивать у субъектов Персональных данных и третьих лиц, а также обрабатывать Персональные данные в случаях, не предусмотренных Политикой и (или) законодательством Российской Федерации.
3.14. Обработка Персональных данных осуществляется лишь в случаях и в порядке, предусмотренных Политикой и (или) федеральными законами.
3.15. Оператор вправе проверять представленные данные, в частности содержащиеся в представленных документах, на соответствие субъектов Персональных данных требованиям Оператора (в частности, на наличие оснований для заключения сделок на Платформе) и (или) законодательства Российской Федерации.
3.16. В рамках достижения целей обработки Персональных данных Оператор может предоставлять доступ к Персональным данным и (или) передавать Персональные данные третьим лицам, в частности, партнерам Оператора. Перечень лиц, которым Оператор может предоставлять доступ к Персональным данным и (или) передавать Персональные данные, устанавливается Оператором на основании выбора Оператора. Указанный перечень размещается на Сайте. Оператор обновляет перечень по мере необходимости. Оператор может предоставлять доступ к Персональным данным и (или) передавать Персональные данные третьим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации, Политикой и иными локальными актами Оператора, издаваемыми в развитие Политики, договорами, стороной которых, выгодоприобретателем или поручителем по которым является субъект Персональных данных, иными соглашениями между Оператором и субъектом Персональных данных.
Кроме того, Оператор предоставляет доступ и (или) передает Персональные данные Участников Платформы (физических лиц), являющихся Инвесторами, Участникам Платформы (юридическим лицам и индивидуальным предпринимателям), являющимися Заемщиками, для исполнения Заемщиками обязанностей налогового агента по налогу на доходы физических лиц в отношении Инвесторов – физических лиц.
Третьи лица, которым Оператор предоставляет доступ к Персональным данным и (или) передает Персональные данные, обязаны соблюдать принципы и правила обработки Персональных данных, предусмотренные законодательством Российской Федерации о Персональных данных, в частности, соблюдать конфиденциальность Персональных данных и обеспечивать безопасность Персональных данных при их обработке.
3.17. Оператор вправе на основании выбора Оператора поручить обработку Персональных данных другому лицу с согласия субъекта Персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение Оператора). Лицо, осуществляющее обработку Персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки Персональных данных, предусмотренные законодательством Российской Федерации о Персональных данных. В поручении Оператора должны быть определены перечень действий (операций) с Персональными данными, которые будут совершаться лицом, осуществляющим обработку Персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность Персональных данных и обеспечивать безопасность Персональных данных при их обработке, а
также должны быть указаны требования к защите обрабатываемых Персональных данных в соответствии законодательством Российской Федерации о Персональных данных.
Лицо, осуществляющее обработку Персональных данных по поручению Оператора, не обязано получать согласие субъекта Персональных данных на обработку его Персональных данных.
В случае, если Оператор поручает обработку Персональных данных другому лицу, ответственность перед субъектом Персональных данных за действия указанного лица несет Оператор. В случае, если Оператор поручает обработку Персональных данных другому лицу, информацию о таком лице Оператор включает в перечень третьих лиц, предусмотренный пунктом 3.16 Политики.
3.18. Обработка Файлов cookies осуществляется в случаях и порядке, предусмотренных разделом 10 Политики.
4. Порядок обработки Персональных данных субъектов Персональных данных в информационной системе. Обеспечение безопасности Персональных данных
4.1. Обработка Персональных данных субъектов Персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с использованием средств вычислительной техники).
4.2. Обработка Персональных данных осуществляется:
4.2.1.в информационной системе;
4.2.2.на автоматизированных рабочих местах работников Оператора.
4.3.Работникам Оператора, имеющим право осуществлять обработку Персональных
данных, предоставляется уникальный логин и пароль для доступа к автоматизированным рабочим местам работников. Доступ предоставляется к Персональным данным в соответствии с функциями, предусмотренными должностными инструкциями работников и локальными актами Оператора.
Информация может вноситься как в автоматическом режиме, при получении Персональных данных с Платформы, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
4.4. Обеспечение безопасности Персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к Персональным данным, защиты от уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных, в частности, путем принятия следующих мер:
4.4.1.разработана и применяется Политика Оператора по обработке Персональных данных.
4.4.2.разработаны и применяются Положение по вопросам обработки Персональных данных, осуществляемой без использования средств автоматизации, и Положение об обеспечении безопасности Персональных данных при их обработке в информационных системах Персональных данных;
4.4.3.приказом Генерального директора Оператора назначены ответственные за организацию обработки Персональных данных лица, определены их полномочия и ответственность;
4.4.4. работники, непосредственно осуществляющие обработку Персональных данных, ознакомлены с положениями законодательства Российской Федерации о Персональных данных, в том числе с требованиями к защите Персональных данных, документами, определяющими политику Оператора в отношении обработки Персональных данных, локальными актами по вопросам обработки Персональных данных;
ных в случае нарушения законодательства Российской Федерации о Персональных данных, соотношения указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации о Персональных данных;
4.4.6.осуществлён внутренний контроль (аудит) соответствия обработки Персональных данных законодательству Российской Федерации о Персональных данных и требованиям к защите Персональных данных, документам, определяющим политику Оператора в отношении обработки Персональных данных, локальным актам по вопросам обработки Персональных данных;
4.4.7.применяются правовые, организационные и технические меры по обеспечению безопасности Персональных данных при их обработке, необходимые для выполнения требований к защите Персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности Персональных данных;
4.4.8.оценивается эффективность принимаемых мер по обеспечению безопасности Персональных данных до ввода в промышленную эксплуатацию информационной системы;
4.4.9.хранение сведений организовано на электронных носителях (в информационной системе Персональных данных) с использованием средств обеспечения безопасности, на бумажных носителях – с применением мер, обеспечивающих раздельное хранение Персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
4.4.10. учитываются машинные носители Персональных данных;
4.4.11. обеспечивается обнаружение фактов несанкционированного доступа к Персональным данным и принятие мер;
4.4.12.обеспечивается восстановление Персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
4.4.13. обеспечивается контроль за принимаемыми мерами по обеспечению безопасности Персональных данных.
4.5. Лицо, ответственное за обеспечение информационной безопасности, организует и контролирует ведение учета материальных носителей Персональных данных.
4.6. Лицо, ответственное за обеспечение безопасности Персональных данных при их обработке в информационной системе Персональных данных, должно обеспечить:
4.6.1. своевременное обнаружение фактов несанкционированного доступа к Персональным данным и немедленное доведение этой информации до ответственного за организацию обработки Персональных данных;
4.6.2.недопущение воздействия на технические средства автоматизированной обработки Персональных данных, в результате которого может быть нарушено их функционирование;
4.6.3. возможность восстановления Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
4.6.4.постоянный контроль за обеспечением уровня защищенности Персональных данных;
4.6.5.знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
4.6.6.учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей Персональных данных;
4.6.7.при обнаружении нарушений порядка предоставления Персональных данных незамедлительное приостановление предоставления Персональных данных пользователям информационной системы Персональных данных до выявления причин нарушений и устранения этих причин;
4.6.8.разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей Персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности Персональных данных или другим нарушениям, приводящим к снижению уровня защищенности Персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
4.7. Обмен Персональными данными при их обработке в информационной системе Персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
4.8.Доступ работников Оператора к Персональным данным, находящимся в информационной системе Персональных данных, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
4.9.В случае выявления нарушений порядка обработки Персональных данных в информационной системе Персональных данных уполномоченным должностным лицом незамедлительно принимаются меры по установлению причин нарушений и их устранению.
4.10. При сборе Персональных данных, в том числе посредством информационно- телекоммуникационной сети «Интернет», Оператор осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
© 2024 Smartupme
КОНТАКТЫ
- em: info@smartupme.ru
- tg: @smartupme.ru
- ig: @smartupme.ru
ПРИМЕЧАНИЕ
Платформа использует cookie для улучшения качества услуг. Продолжая использовать сайт, вы соглашаетесь с данными условиями.
