Privacy Policy of MFC Zaymer PJSC

Terms and Definitions

Term	Definition
Personal Data (PD)	Any information relating directly or indirectly to an identified or identifiable individual (Personal Data Subject / PD Subject)
Processor	A public authority, municipal body, legal entity or individual that independently or jointly with other persons organizes and/or carries out the processing of Personal Data, determines the purposes of processing Personal Data, the composition of Personal Data to be processed, actions (operations) performed with Personal Data
Processing of Personal Data / PD Processing	Any action (operation) or a set of actions (operations) performed with Personal Data with or without the use of automation tools, including collection, recording, systematization, accumulation, storage, clarification (updating, changing), extraction, use, transfer (dissemination, provision, granting access), depersonalization, blocking, deletion, destruction of Personal Data
Automated Processing of Personal Data	Processing of Personal Data carried out through computer engineering means
Mixed Processing of Personal Data	Processing of Personal Data carried out through automation tools as well as without such tools
Dissemination of Personal Data	Actions aimed at disclosing Personal Data to an indefinite range of persons
Provision of Personal Data	Actions aimed at disclosing Personal Data to a certain person or a certain range of persons
Blocking of Personal Data	Temporary suspension of the processing of Personal Data (except to the extent when the processing is necessary to clarify Personal Data)
Destruction of Personal Data	Actions as a result of which it becomes impossible to restore the content of Personal Data in the Personal Data Information System and/or as a result of which physical carriers of Personal Data are destroyed
Depersonalization of Personal Data	Actions as a result of which it becomes impossible to determine the ownership of Personal Data by a specific PD Subject without the use of additional information
Biometric Personal Data	Data that characterize the physiological and biological characteristics of a person, on the basis of which it is possible to establish identity of this person and which are used by the Processor to identify the PD Subject
Personal Data Information System	A set of Personal Data contained in databases as well as information technologies and technical means that ensure processing of Personal Data
Cross-border Transfer of Personal Data	Transfer of Personal Data to the territory of a foreign state to an authority of a foreign state, a foreign individual or a foreign legal entity
Website	A set of software and hardware of technical devices that ensure the publication of information and the provision of services by MFC Zaymer PJSC for public viewing (https://zaymer.ru/, https://robocredit.ru)
Mobile Application	Software aimed at working on smartphones, tablets, and other mobile devices, developed for a specific platform (iOS, Android, etc.). Mobile Applications can be downloaded from online application stores such as App Store, Google Play, etc.
Cookies	A chunk of data sent by a web server and stored on the user’s device, which the web client or web browser sends to the web server in an HTTP request each time when trying to open the page of the corresponding Service
IP address	A unique network node address in a computer network built using the IP protocol
MAC address	A hexadecimal code assigned to each network equipment unit

1. General Provisions

1.1. This Personal Data Processing Policy of MFC «Zaymer» PJSC (hereinafter referred to as the “Policy”) has been developed in order to ensure the processing of Personal Data (hereinafter referred to as “PD”) by the Microfinance Company «Zaymer» Public Joint Stock Company (Primary State Registration Number 1235400049356, legal address: office 906, house 3, Oktyabrskaya Magistral street, Novosibirsk, 630099; hereinafter referred to as the “Company”) with consideration to the legitimate rights and interests of PD Subjects in accordance with the requirements of the legislation when processing and protecting PD.

1.2. The Policy contains a description of the following aspects:

1.2.1. purposes and legal grounds for PD Processing;

1.2.2. categories and methods of PD Processing;

1.2.3. principles of PD Processing;

1.2.4. procedure and conditions for PD Processing;

1.2.5. information about the processing of user data;

1.2.6. rights and obligations of PD Subjects and the Company;

1.2.7. measures aimed at ensuring the security of PD Processing.

1.3. This Policy is a public document, which is posted on the public resources of the Company and enters into effect from the moment it is posted in the public domain.

1.4. Reviewing of the Policy is carried out in case of any changes in the legislation of the Russian Federation regarding PD, based on the results of an analysis of the relevance, sufficiency and effectiveness of the measures used to ensure information security as well as on the results of other control measures, but no less than once a year.

1.5. Responsibility for the relevance of the Policy and the implementation of the provisions set forth in the Policy shall be incumbent upon the person responsible for organizing the PD Processing, appointed on the basis of the order of the Company.

1.6. Responsibility for the general implementation of PD security measures shall be incumbent upon the person responsible for ensuring the security of PD in Information Systems, appointed on the basis of the order of the Company.

1.7. Responsibility for compliance with security measures by the Company’s employees when processing Personal Data shall also be incumbent upon the heads of the relevant structural units.

1.8. Persons guilty of violating the norms governing the receipt, processing, storage and security of PD processed by the Company shall bear responsibility under the legislation of the Russian Federation.

2. Purposes and Legal Grounds for PD Processing

2.1. The Company processes PD for the following purposes:

2.1.1. provision of consumer credit (loan);

2.1.2. carrying out activities preceding the conclusion of a loan agreement;

2.1.3. provision of microfinance services to individuals;

2.1.4. fulfillment of agreement commitments;

2.1.5. making settlements with customers;

2.1.6. implementation of labor relations with the Company’s employees;

2.1.7. documenting information in order to counter the legalization (laundering) of proceeds of crime and the financing of terrorism;

2.1.8. handling complaints, applications, claims;

2.1.9. ensuring the repayment of overdue debts;

2.1.10 fulfillment of its obligations and works pursuant to concluded civil law contracts;

2.1.11. provision of information at the request of the relevant services and public authorities in cases provided for by the current legislation;

2.1.12. accounting records maintenance;

2.1.13. enforcement of court orders, acts of other public authorities or officials;

2.1.14. carrying out administrative and economic activities;

2.1.15. improving the quality of the Service and its content;

2.1.16. providing information of a notification or marketing nature, including information about new financial products, services, ongoing promotions and events.

2.2. Legal grounds for PD Processing are the following:

2.2.1. the Constitution of the Russian Federation;

2.2.2. the Civil Code of the Russian Federation;

2.2.3. the Tax Code of the Russian Federation;

2.2.4. the Labor Code of the Russian Federation;

2.2.5. Federal Law of July 02, 2010 No. 151-FZ “On Microfinance Activities and Microfinance Organizations”;

2.2.6. Federal Law of July 27, 2006 No. 152-FZ “On Personal Data”;

2.2.7. Federal Law of August 07, 2001 No. 115-FZ “On Countering the Legalization of Illegal Earnings (Money Laundering) and the Financing of Terrorism”;

2.2.8. Federal Law of August 12, 1995 No. 144-FZ “On Operational-search Activities”;

2.2.9. Federal Law of February 08, 1998 No. 14-FZ “On Limited Liability Companies”;

2.2.10 Federal Law of December 21, 2013 No. 353-FZ “On Consumer Credit (Loan)”;

2.2.11. Federal Law of December 30, 2004 No. 218-FZ “On Credit Histories”;

2.2.12. Federal Law of July 3, 2016 No. 230-FZ “On the Protection of the Rights and Legal Interests of Natural Persons in the Course of Activities to Repay Overdue Debts and on Amending the Federal Law on Microfinance and Microfinance Organizations”;

2.2.13. Federal Law of October 26, 2002 No. 127-FZ “On Insolvency (Bankruptcy)”;

2.2.14. Federal Law of December 06, 2011 No. 402-FZ “On Accounting”;

2.2.15. Federal Law of 27 July 2010 No. 224-FZ “On Combating Insider Information Misuse and Market Manipulation and on Amendments to Certain Legislative Acts of the Russian Federation”;

2.2.16. the Charter of MFC Zaymer PJSC;

2.2.17. other laws and regulations .

3. Categories and Methods of PD Processing

3.1. The Company processes PD of the following categories of PD Subjects:

3.1.1. individuals (borrowers, investors) (subjects) who are in contractual and other civil law relationship with the Company;

3.1.2. employees (subjects) who are in labor relationship with the Company;

3.1.3. unknown third parties from whom a criminal threat emanates or may emanate;

3.1.4. individuals who have applied to the Company with an application;

3.1.5. counterparties (representatives of legal entities);

3.1.6. applicants for vacant positions.

3.2. The categories of PD processed by the Company are determined with consideration to the purposes of PD Processing specified in Clause 3.1 of the Policy. The Company does not process PD that do not comply with the principle of sufficiency to achieve the purposes of processing and are excessive in relation to the purposes of processing.

3.3. The Company does not process:

3.3.1. special categories of PD;

3.3.2. Biometric PD of all categories of PD Subjects specified in Clause 4.1 of the Policy, except for the Company’s employees and representatives of legal entities (counterparties).

3.4. The Company does not provide cross-border transfer of PD.

3.5. The Company processes PD using the following methods:

3.5.1. automated processing with transfer through the Company’s internal network;

3.5.2. automated processing with transfer over the Internet network;

3.5.3. processing without the use of automation tools.

4. Principles of PD Processing

4.1. The PD Processing is carried out by the Company on the basis of the following principles:

4.1.1. legality of the purposes and methods of PD Processing;

4.1.2. integrity of the Company as a PD Processor, which is achieved by complying with the requirements of the legislation of the Russian Federation regarding the PD Processing;

4.1.3. achievement of specific predefined purposes of PD Processing;

4.1.4. compliance of the purposes of PD Processing with the purposes predefined and declared during the collection of PD;

4.1.5. compliance of the composition and volume of the processed PD as well as the methods of PD Processing with the declared purposes of PD Processing;

4.1.6. reliability of PD, its sufficiency for the purposes of PD Processing, impermissibility of PD Processing that is excessive to the purposes of PD Processing;

4.1.7. when processing PD, ensuring the accuracy of PD, its sufficiency, and, if necessary, relevance to the purposes of PD Processing. The Company shall take all necessary measures and ensure the adoption of such measures in order to delete or clarify incomplete or inaccurate data;

4.1.8. impermissibility of combining databases that contain PD, the processing of which is carried out for the purposes incompatible with each other;

4.1.9. storage of PD in a form that allows to identify the PD Subject no longer than it is required by the purpose of PD Processing.

4.2. The employees of the Company who are admitted to the PD Processing shall be obliged to:

4.2.1. be aware of and strictly comply with the provisions of:

4.2.1.1. the legislation of the Russian Federation regarding PD;

4.2.1.2. this Policy;

4.2.1.3. local regulations of the Company concerning the PD Processing.

4.2.2. process Personal Data solely and exclusively within the scope of their official duties;

4.2.3. report the actions of other persons that may result in violating the provisions of the Policy;

4.2.4. not to disclose PD processed by the Company;

4.2.5. report known facts of violation of the provisions of the Policy to the person responsible for organizing the PD Processing in the Company.

4.3. The security of PD in the Company is ensured by the implementation of agreed measures aimed at preventing (neutralizing) and eliminating threats to the security of PD, minimizing possible damage, as well as measures to restore data and the performance of PD Information Systems in case of threat materializing.

5. Procedure and Conditions for PD Processing

5.1. Before starting PD Processing, the Company has notified the relevant government body authorized for the protection of the PD Subjects’ rights of its intention to process PD. The Company shall update the information specified in such notification in good faith and within the appropriate timeframe.

5.2. PD Processing is carried out with the consent of the PD Subject, except for cases provided by the legislation of the Russian Federation.

5.3. The Company ensures the reception and processing of applications and requests from PD Subjects or their representatives, and/or monitors the receipt and processing of such applications and requests.

5.4. Consent to the PD Processing can be withdrawn by submitting to the Company a relevant written application by the PD Subject or its representative by power of attorney that provides an opportunity to specify that this document has been signed by the PD Subject or its representative by duly certified power of attorney.

5.4.1. In the event that such application is satisfied, the Company shall either terminate the PD Processing or ensure the termination of such PD Processing (in case the PD Processing is carried out by another person acting on behalf of the Company) and, in case the storage of PD is no longer required for the purposes of the PD Processing, shall destroy PD or ensure its destruction (in case the PD Processing is carried out by another person acting on behalf of the Company) within a period not exceeding thirty (30) days from the date of receipt of the said withdrawal, unless otherwise provided by the agreement to which the PD Subject is a party, beneficiary, or guarantor, or any other agreement between the Company and the PD Subject, or in case the Company is not entitled to process PD without the consent of the PD Subject on the grounds provided for by the Federal Law “On Personal Data” or other federal laws.

5.4.2. In the event that it is impossible to destroy the PD after the expiration of the period specified in Parts 3-5 of Article 21 of the Federal Law “On Personal Data”, the Company shall block such PD or ensure their blocking (in case the PD is processed by another person acting on behalf of the Company) and shall ensure the destruction of PD within a period of not more than six (6) months after the expiration of the period specified by the legislation of the Russian Federation.

5.5. PD shall neither be disclosed to third parties, nor otherwise distributed without the PD Subject’s consent, unless otherwise provided by the legislation of the Russian Federation.

5.6. Representatives of public authorities (including regulatory, supervisory, law enforcement and other authorities) get access to PD processed in the Company in the volume and manner specified by the legislation of the Russian Federation.

5.7. In order to confirm the accuracy of the information specified by the PD Subject while filling out a loan application as well as to obtain the information necessary to make a decision on issuing a loan to the PD Subject, the Company has the right to send requests to credit history bureaus solely and exclusively with the mandatory consent of the PD Subject. The Company has the right to independently choose a specific credit history bureau to send relevant requests.

5.8. The storage period for responses to applications (requests) is three (3) years from the date of expiration of the period established for preparing a response.

5.9. The Company processes its employees’ PD during the term of the employment agreement. The Company processes the dismissed employees’ PD within the period specified by Clause 5, Part 3, Article 24, Part One of the Tax Code of the Russian Federation of July 31, 1998 No. 146 FZ, by Part 1, Article 29 of the Federal Law of December 06, 2011 No. 402-FZ “On Accounting” and other laws and regulations.

5.10. In case of refusal to hire, the information provided by applicants for vacant positions is destroyed within thirty (30) days after the Company has made the relevant decision.

5.11. Pursuant to Part 10 of Article 6 of Federal Law No. 218-FZ of December 30, 2004 “On Credit Histories”, the consent of the credit history subject to receive credit reports on credit history of this subject, given to the Company, is considered valid for six (6) months from the date of its execution. In the event that the loan agreement has been concluded during the specified period, the specified consent of the credit history subject remains valid for the entire term of the loan agreement.

5.12. Pursuant to Part 12 of Article 6 of the Federal Law of December 30, 2004 No. 218-FZ “On Credit Histories”, the Company shall be obliged to store a copy of the credit history subject’s consent to receive a credit history for five (5) years after the expiration of the loan agreement; in the event that the loan agreement has not been concluded, the consent to receive a credit history shall be stored for three (3) years from the date of expiration of such consent; the storage of the credit histories subjects’ consents should be organized in such a form, including electronic, that provides an opportunity to check their integrity and reliability.

5.13. Pursuant to Federal Law No. 115-FZ of August 07, 2001 “On Countering the Legalization of Illegal Earnings (Money Laundering) and the Financing of Terrorism”, the Subject’s PD obtained as a result of identification shall be stored for at least five (5) years from the date of termination of relationship with the PD Subject.

6. Processing of User Data

6.1. The Company collects, processes and stores the following user data of website visitors and mobile application users for the following purposes:

- phone number to enable creating an account, confirmation credentials, receiving codes via SMS to login to the account and signing agreements and contracts in accordance with Federal Law № 151-FZ of February 07, 2010 «On MFOs». The application also uses the phone number for notifications, tracking errors when logging into your account and detecting suspicious activity (for security purposes); uploads the phone number and checks its existence on the dadata.ru service, share the phone number to Verbox (verbox.ru) for communication with the application support service, transmits information on the client to the credit history bureau in accordance with the law with Federal Law № 218-FZ of December 30, 2004 «On Credit Histories».

- an email address so that users can create and restore an account, receive copies of documents, receive responses from the support service, receive information about the timing of fulfillment of obligations under the loan agreement, the occurrence or presence of overdue debt and other information related to the execution of the loan agreement, and also receive information about new promotions, products and services of MFC «Zaymer» PJSC and its partners.

- user name so that MFC «Zaymer» PJSC considers the possibility of concluding an agreement and subsequently enters into an agreement for the provision of services.

- location to ascertain and verify location of the client during KYC and to prevent fraud and improve data security for the client.

- actions on the website and in the mobile application (at the user’s request) so that MFC «Zaymer» PJSC can monitor suspicious activity (this is necessary to ensure user safety), analyze the quality of the service provided and personalize the service.

- device identifiers or other identifiers (at the user’s request) so that MFC «Zaymer» PJSC can ensure a high level of security for the service and promote the service to potential users using retargeting.

- technical information about the user’s device (including the name and version of the operating system, cookies), IP address, information about the browser used (browser type and version) and language, dates and times of access to the site, Internet addresses -pages visited by the user, subject of information posted on the Company’s Internet resources visited by the user, number of pages viewed, duration of stay on the site, list of accounts attached to the device, User-Agent of the user, source of advertising traffic, session ID, authorization/registration time, token, time of each token check in connection with systems, version of the mobile application, date/time of use of the service) for personalization, quality and continuity analytics, fraud prevention and increasing the level of security of the service provided by MFC «Zaymer» PJSC.

6.2. The Company processes (including the collection, recording, systematization, accumulation, storage, use, transfer (provision, access), deletion, destruction) user data.

6.3. The processing of user data is carried out using the following third-party analytical services: Google Tag Manager, Google Analytics, Firebase Analytics, Yandex.Metrika, Appsflyer, UserX, Vk.com, Mail.ru, Amplitude, Mytarget, Microsoft Clarity, Juicy Score, Matomo, Flocktory.

6.4. The list of user data collected and transmitted to Juicy Score includes:

- location;

- device identifiers or other identifiers;

- actions performed in the Application;

- information about the user’s device.

6.5. User data is collected and processed solely and exclusively with the consent of the User of the Website / Mobile Application in a secure manner, including using modern encryption methods.

6.6. The Company does not sell user data, i.e., it does not transfer user data to third parties with the purpose of obtaining financial income.

6.7. The User can at any time limit the collection of user data in the browser settings concerning the use of cookies.

6.8. The User has the right to contact the Company to delete a personal account by sending a corresponding request for deletion by email support@zaymer.ru via the feedback form (https://www.zaymer.ru/feedback) or by phone (Customer Support Service: 8-800-7070-24-7). The rules for deleting a personal account can be found on the Company’s website at https://policy.zaymer.ru/account.

6.9. User data is anonymized and does not contain any personal or other data related to the identity of the user in any way whatsoever. All screen fields of the transmitted screenshots that may contain personal data as well as financial and other user data shall be hidden.

6.10. The Company shall take all necessary organizational and technical measures in order to secure personal and confidential user data from unauthorized or accidental access, destruction, modification, blocking, copying, distribution, as well as from other illegal actions of third parties. Ensuring the security of user data is achieved by applying the organizational and technical measures specified in Section 8 of the Policy.

7. Rights and Obligations of Personal Data Subjects and the Company

7.1. Rights and Obligations of the PD Subject

7.1.1. The PD subject, in case its right is not restricted pursuant to the federal laws, has the right at any time to receive information regarding the Processing of its PD, including information containing:

7.1.1.1. confirmation of the fact of the PD Processing by the Company;

7.1.1.2. legal grounds and purposes of the PD Processing;

7.1.1.3. purposes and methods of the PD Processing used by the Company;

7.1.1.4. name and location of the Company, information about persons (excluding the Company’s employees) who have access to PD or to whom PD may be disclosed on the basis of an agreement with the Company or on the basis of federal law;

7.1.1.5. processed PD related to the relevant PD Subject, the source of their receipt, unless another procedure for submitting such PD is provided by federal law;

7.1.1.6. terms of the PD Processing, including the terms of their storage;

7.1.1.7. the procedure for exercising by the PD Subject its rights provided for by the Federal Law “On Personal Data”;

7.1.1.8. information about the completed or anticipated cross-border transfer of PD;

7.1.1.9. the name or surname, first name, patronymic and address of the person processing PD on behalf of the Company, in case that the processing is or will be entrusted to such person;

7.1.1.10 information on how the Company fulfills its obligations specified by Article 18.1 of the Federal Law “On Personal Data”;

7.1.1.11. other information provided for by the Federal Law “On Personal Data” or other federal laws.

7.1.2. The PD Subject has the right to require the Company to specify its PD, block or destroy it in case the PD is incomplete, outdated, inaccurate, illegally obtained or is unnecessary for the stated purpose of the PD Processing, as well as to take measures provided by the legislation to protect its rights.

7.1.3. In the event that the PD Subject believes that the Company processes its PD in violation of the requirements of the Federal Law or otherwise violates its rights and freedoms, the PD Subject has the right to appeal against the actions or inaction of the Company either to the public authority authorized to protect the PD Subjects’ rights or in court.

7.1.4. The information specified in Clause 7.1.1 of the Policy is provided to the PD Subject or its representative within ten (10) working days from the date of the application or receipt by the Company of the request of the PD Subject or its representative. The specified period may be extended, but not more than for five (5) working days. In this case, the Company shall send a reasoned notification to the PD Subject indicating the reasons for extending the period for providing the requested information.

7.1.4.1. The request shall contain the number of the main document proving the identity of the PD Subject or its representative, information on the date of issue of such document and the issuing authority, information confirming the participation of the PD Subject in relations with the Company (agreement number, date of conclusion of the agreement, conditional verbal designation and/or other information), or information that otherwise confirms the fact of the PD Processing by the Company, the signature of the PD Subject or his representative. The request can be sent in the form of an electronic document and signed with an electronic signature in accordance with the legislation of the Russian Federation.

7.1.4.2. The Company shall provide information to the PD Subject or its representative in the form in which the relevant application or request has been sent, unless otherwise specified in the application or request.

7.1.5. In the event that the information in Clause 7.1.1 of the Policy, as well as the processed PD, has been provided to the PD Subject for review at its request, the PD Subject has the right to re-apply to the Company or send to it a second request in order to obtain the information specified in Part 7 of Article 14 of the Federal Law “On Personal Data”, and familiarization with such PD no earlier than thirty (30) days after the initial application or the initial request, unless a shorter period is specified by federal law, a regulatory legal act adopted in accordance with it, or an agreement, to which the PD Subject is either a party or a beneficiary or a guarantor.

7.1.6. The PD Subject has the right to re-apply or send a repeated request in order to obtain the information specified in Clause 7.1.1 of the Policy, as well as in order to familiarize itself with the processed PD before the expiration of the period specified in Clause 7.1.5 of the Policy, in case such information and/or processed PD have not been provided to it for review in full as a result of consideration of the initial request. A repeated request, along with the information specified in Paragraph 7.1.4.1 of the Policy, shall contain the rationale for sending such a repeated request.

7.1.7. The Company has the right to refuse the PD Subject in fulfilling a repeated request that does not meet the conditions provided for in Paragraphs 7.1.4.1 and 7.1.5 of the Policy, indicating evidence of the relevancy of such refusal.

7.1.8. The PD Subject has the right to withdraw its consent to the PD Processing at any time. Withdrawal of consent to the PD Processing is carried out by submitting an application in writing to the Company in accordance with Clause 5.4 of the Policy.

7.2. Rights and Obligations of the Company

7.2.1. The Company shall be obliged to provide the PD Subject, upon its request, with the information specified in Paragraph 7.1.1 of the Policy.

7.2.2. When collecting PD, including through the Internet information and telecommunication network, the Company shall ensure recording, systematization, accumulation, storage, clarification (updating, changing), retrieval of the PD of citizens of the Russian Federation using databases located on the territory of the Russian Federation except for cases provided by the Federal Law “On Personal Data”.

7.2.3. When processing PD, the Company is obliged to ensure the implementation of the measures specified in Articles 18.1 and 19 of the Federal Law “On Personal Data”.

7.2.4. The Company shall bear other obligations specified by the Federal Law “On Personal Data”.

7.2.5. With the consent of the PD Subject, the Company has the right to entrust the PD Processing to another person, unless otherwise provided by the legislation of the Russian Federation, on the basis of an agreement concluded with this person, the condition of which is confidentiality or non-disclosure of PD.

7.2.6. The Company has the right to transfer the Subject’s PD to the persons specified in the Subject’s consent to the PD Processing provided to the Company by the PD Subject.

7.2.7. The Company has the right to transfer the Subject’s PD to any other persons not specified in the Subject’s consent to the PD Processing, in case the transfer of the Subject’s PD to these persons is based on the purposes provided for in Paragraph 3.1 of the Policy.

7.2.8. In case of withdrawal of consent, the Company has the right to continue the PD Processing for the purpose of fulfilling the concluded agreement, contract, fulfilling the legal requirements and/or executing a court order by the Company, as well as for protecting its interests, in case the rights of third parties are not thereby violated.

7.2.9. As part of exercising its right to verify the accuracy of the information provided by the PD Subject, the Company has the right to verify and clarify the data provided by the PD Subject by means of oral or written appeals to the PD Subject’s employer and other persons, whose contact details have been provided to the Company by the PD Subject.

8. Measures Aimed at Ensuring the Security of PD Processing

8.1. In order to ensure the security of PD, the Company has implemented the following organizational and technical security measures:

8.1.1. a person responsible for organizing the PD Processing has been appointed;

8.1.2. a person responsible for ensuring the security of PD has been appointed;

8.1.3. a policy regarding the PD Processing has been adopted;

8.1.4. internal organizational documents on the PD Processing have been developed and approved, establishing procedures aimed at preventing and detecting violations of the legislation of the Russian Federation and at eliminating the consequences of such violations;

8.1.5. internal control and audit of compliance of the PD Processing is carried out;

8.1.6. assessment of the harmful consequences that may be inflicted to PD Subjects has been carried out;

8.1.7. employees involved in the PD Processing have been familiarized with legislative and internal organizational documents on the PD Processing and security of PD;

8.1.8. documents have been published that define the policy regarding the PD Processing and implemented requirements for the security of PD;

8.1.9. security threats to PD have been identified;

8.1.10 the PD security tools are used, including anti-virus software, firewall devices, alarms, video surveillance, access control systems, safes, lockers and other technical security means;

8.1.11. secure storage of media containing PD;

8.1.12. record-keeping of persons admitted to work with PD is maintained;

8.1.13. a security policy and access control system to information resources and databases containing PD has been implemented;

8.1.14. user authorization and authentication are carried out;

8.1.15. record-keeping of machine storage media containing PD is implemented;

8.1.16. a set of measures has been implemented to ensure an internal regime aimed at restricting and controlling access to PD;

8.1.17. backup tools are used to restore information resources containing PD;

8.1.18. detecting means that identify facts of unauthorized access to PD are used.

8.2. Measures aimed at ensuring the security of PD while processing it in the PD Information Systems are taken pursuant to the Company’s local regulations specifying the security of PD while processing it in the PD Information Systems of the Company.

Политика конфиденциальности

ПАО МФК «Займер»

Займер - Робот онлайн займов

Термины и определения

Термин	Определение
Персональные данные (ПДн)	любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Оператор	государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Обработка персональных данных	любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Автоматизированная обработка персональных данных	обработка персональных данных с помощью средств вычислительной техники
Смешанная обработка персональных данных	обработка персональных данных с помощью средств автоматизации, а также без нее
Распространение персональных данных	действия, направленные на раскрытие персональных данных неопределенному кругу лиц
Предоставление персональных данных	действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
Блокирование персональных данных	временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
Уничтожение персональных данных	действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
Обезличивание персональных данных	действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
Биометрические персональные данные	данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных
Информационная система персональных данных	совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
Трансграничная передача персональных данных	передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
Сайт		совокупность программных и аппаратных средств технических устройств, обеспечивающих публикацию для всеобщего обозрения информации и предоставления сервисов ПАО МФК «Займер». (https://zaymer.ru/)
Мобильное приложение	программное обеспечение, предназначенное для работы на смартфонах, планшетах и других мобильных устройствах, разработанное для конкретной платформы (Android и т.д.). Мобильные приложения могут быть загружены на него из онлайновых магазинов приложений, таких как Google Play, и др. ( play.google.com/store/apps/details?id=robot.zaimer.ru )
Cookies	фрагмент данных, отправленный веб-сервером и хранимый на устройстве пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего Сервиса
IP-адрес	уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP
MAC-адрес	записанный в шестнадцатеричном виде код, который присваивается каждой единице сетевого оборудования

1. Общие положения

1.1. Настоящая Политика обработки персональных данных ПАО МФК «Займер» (далее - Политика) разработана в целях обеспечения Публичным акционерным обществом микрофинансовая компания «Займер» (ОГРН 1235400049356 , юридический адрес: 630099, г. Новосибирск, ул. Октябрьская магистраль, д. 3, оф. 906; далее по тексту - Общество) обработки персональных данных (далее - ПДн) с учетом законных прав и интересов субъектов ПДн в соответствии с требованиями законодательства при обработке и защите ПДн.

1.2. Политика содержит описание:

1.2.1. целей и правовых оснований обработки ПДн;

1.2.2. категорий и способов обработки ПДн;

1.2.3. принципов обработки ПДн;

1.2.4. порядка и условий обработки ПДн;

1.2.5. сведений об обработке пользовательских данных;

1.2.6. прав и обязанностей субъектов ПДн и Общества;

1.2.7. мер обеспечения безопасности обработки ПДн.

1.3. Настоящая политика является общедоступным документом, размещается на общедоступных ресурсах Общества и вступает в действие с момента размещения в общем доступе.

1.4. Пересмотр настоящей Политики осуществляется в случае изменений законодательства РФ в области ПДн, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам других контрольных мероприятий, но не реже 1 раза в год.

1.5. Ответственность за актуальность Политики и организацию реализации положений, описанных в Политике возлагается на ответственного за организацию обработки ПДн, назначенного на основании приказа Общества.

1.6. Ответственность за общую реализацию мер защиты ПДн возлагается на ответственного за обеспечение безопасности ПДн в информационных системах, назначенного на основании приказа Общества.

1.7. Ответственность за соблюдение мер защиты работниками Общества при обработке персональных данных также возлагается и на руководителей соответствующих структурных подразделений.

1.8. Лица, виновные в нарушении норм, регулирующих получение, обработку, хранение и защиту обрабатываемых в Обществе ПДн, несут ответственность, предусмотренную законодательством Российской Федерации.

2. Цели и основания обработки персональных данных

2.1. Общество осуществляет обработку ПДн в следующих целях:

2.1.1. предоставления потребительского кредита (займа);

2.1.2. проведения мероприятий, предшествующих заключению договора займа;

2.1.3. предоставления микрофинансовых услуг физическим лицам;

2.1.4. выполнения договорных обязательств;

2.1.5. проведения расчетов с клиентами;

2.1.6. осуществления трудовых отношений с работниками Общества;

2.1.7. документального фиксирования информации в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

2.1.8. обработки жалоб, заявлений. претензий;

2.1.9. обеспечения возврата просроченной задолженности;

2.1.10 выполнения обязательств и работ в соответствии с заключенными договорами гражданско-правового характера;

2.1.11. предоставления информации по запросам соответствующих служб и государственных органов в случаях, предусмотренных действующим законодательством;

2.1.12. ведения бухгалтерского учета;

2.1.13. исполнения судебных актов, актов других государственных органов или должностных лиц;

2.1.14. осуществления административно-хозяйственной деятельности;

2.1.15. улучшения качества работы сервиса и его содержания;

2.1.16. предоставления сведений уведомительного или маркетингового характера, в том числе о новых финансовых продуктах, услугах, проводимых акциях, мероприятиях.

2.2. Правовые основания обработки ПДн:

2.2.1. Конституция РФ;

2.2.2. Гражданский кодекс РФ;

2.2.3. Налоговый кодекс РФ;

2.2.4. Трудовой кодекс РФ;

2.2.5. ФЗ от 02.07.2010 №151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях»;

2.2.6. ФЗ от 27.07.2006 №152-ФЗ «О персональных данных»;

2.2.7. ФЗ от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма»;

2.2.8. ФЗ от 12.08.1995 №144-ФЗ «Об оперативно-розыскной деятельности»;

2.2.9. ФЗ от 08.02.1998 №14-ФЗ «Об обществах с ограниченной ответственностью»;

2.2.10 ФЗ от 21.12.2013 №353-ФЗ «О потребительском кредите (займе)»;

2.2.11. ФЗ от 30.12.2004 №218-ФЗ «О кредитных историях»;

2.2.12. ФЗ от 03.07.2016 №230-Ф3 «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях»;

2.2.13. ФЗ от 26.10.2002 №127-ФЗ «О несостоятельности (банкротстве)»;

2.2.14. ФЗ от 06.12.2011 №402-ФЗ «О бухгалтерском учёте»;

2.2.15. ФЗ от 27.07.2010 №224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации»;

2.2.16. Устав ПАО МФК «Займер»;

2.2.17. иные нормативно-правовые акты.

3. Категории и способы обработки персональных данных

3.1. Общество обрабатывает ПДн следующих категории субъектов ПДн:

3.1.1. физические лица (заемщики, инвесторы) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с Обществом;

3.1.2. работники (субъекты), состоящие в трудовых отношениях с Обществом;

3.1.3. неизвестные третьи лица, от которых исходит или может исходить криминальная угроза;

3.1.4. физические лица, обратившиеся к обществу с запросом;

3.1.5. контрагенты (представители юридических лиц);

3.1.6. претенденты на замещение вакантных должностей.

3.2. Категории ПДн, обрабатываемых в Обществе, определяется с учетом целей обработки ПДн, указанных в пункте 3.1 настоящей Политики. Общество не обрабатывает ПДн, которые не соответствуют принципу достаточности для достижения целей обработки и являются избыточными по отношению к целям обработки.

3.3. Общество не осуществляет обработку:

3.3.1. специальных категорий ПДн;

биометрических ПДн всех категорий субъектов ПДн, указанных в пункте 4.1 настоящей Политики, за исключением работников Общества и представителей юридических лиц (контрагентов).

3.4. Общество не осуществляет трансграничную передачу ПДн.

3.5. Общество осуществляет обработку ПДн следующими способами:

3.5.1. автоматизированная обработка с передачей по внутренней сети Общества;

3.5.2. автоматизированная обработка с передачей по сети Интернет;

3.5.3. обработка без использования средств автоматизации.

4. Принципы обработки персональных данных

4.1. Обработка ПДн Обществом осуществляется на основе принципов:

4.1.1. законности целей и способов обработки ПДн;

4.1.2. добросовестности Общества, как оператора ПДн, что достигается путем выполнения требований законодательства Российской Федерацией в отношении обработки ПДн;

4.1.3. достижения конкретных, заранее определенных целей обработки ПДн;

4.1.4. соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн;

4.1.5.. соответствия состава и объема обрабатываемых ПДн, а также способов обработки ПДн заявленным целям обработки;

4.1.6. достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям обработки ПДн;

4.1.7. обеспечения при обработке ПДн точности ПДн, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПДн. Общество принимает необходимые меры и обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

4.1.8. недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях несовместимых между собой;

4.1.9. хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.

4.2. Работники Общества, допущенные к обработке ПДн, обязаны:

4.2.1. знать и неукоснительно выполнять положения:

4.2.1.1. законодательства Российской Федерации в области ПДн;

4.2.1.2. настоящей Политики;

4.2.1.3. локальных актов Общества по вопросам обработки ПДн.

4.2.2. обрабатывать ПДн только в рамках выполнения своих должностных обязанностей;

4.2.3. сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;

4.2.4. не разглашать ПДн, обрабатываемые в Обществе;

4.2.5. сообщать об известных фактах нарушения требований настоящей Политики Лицу, ответственному за организацию обработки ПДн в Обществе.

4.3. Безопасность ПДн в Обществе обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности ПДн, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем ПДн в случае реализации угроз.

5. Порядок и условия обработки персональных данных

5.1. Общество до начала обработки ПДн осуществило уведомление уполномоченного органа по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн. Общество добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении.

5.2. Обработка ПДн осуществляется с согласия субъекта ПДн кроме случаев, установленных законодательством РФ.

5.3. В Обществе организован прием и обработка обращений и запросов субъектов ПДн или их представителей, и (или) осуществляется контроль за приемом и обработкой таких обращений и запросов.

5.4. Согласие на обработку ПДн может быть отозвано путем подачи в Общество соответствующего письменного заявления субъекта ПДн или его представителя по доверенности, позволяющего точно определить подписание данного документа именно субъектом ПДн или его представителем по надлежаще заверенной доверенности.

5.4.1. В случае удовлетворения заявления Общество прекращает обработку ПДн или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.

5.4.2. В случае отсутствия возможности уничтожения ПДн по истечении срока, указанного в частях 3-5 ст.21 Федерального закона “О персональных данных”, Общество осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, по истечении срока установленного законодательством РФ.

5.5. ПДн не раскрываются третьим лицам, не распространяются иным образом без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ.

5.6. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов), получают доступ к ПДн, обрабатываемым в Обществе, в объеме и порядке, установленном законодательством РФ.

5.7. В целях подтверждения достоверности сведений, указанных субъектом ПДн в процессе оформления заявки на предоставление займа, а также получения информации, необходимой для принятия решения о выдаче ему займа, Общество вправе направлять запросы в бюро кредитных историй только с обязательного согласия субъекта ПДн. Общество вправе самостоятельно выбрать конкретное бюро кредитных историй для направления соответствующих запросов.

5.8. Срок хранения ответов на обращения (запросы) - 3 (три) года с даты окончания срока, установленного для подготовки ответа.

5.9. Общество обрабатывает ПДн работников в течение срока действия трудового договора. Общество обрабатывает ПДн уволенных работников в течение срока, установленного п.5 ч.3 ст.24 части первой Налогового кодекса Российской Федерации от 31.07.1998 №146-ФЗ, ч.1 ст.29 Федерального закона «О бухгалтерском учете» от 06.12.2011 №402-ФЗ и иными нормативными правовыми актами.

5.1. В случае отказа в приеме на работу сведения, предоставленные претендентами на замещение вакантных должностей, уничтожаются в течение 30 дней после принятия Обществом соответствующего решения.

5.11. В соответствии с ч. 10 ст. 6 Федерального закона от 30.12.2004 №218-ФЗ «О кредитных историях», согласие субъекта кредитной истории на получение кредитных отчетов о его кредитной истории, данное Обществу, считается действительным в течение шести месяцев со дня его оформления. В случае, если в течение указанного срока договор займа был заключен, указанное согласие субъекта кредитной истории сохраняет силу в течение всего срока действия договора займа.

5.12. В соответствии с ч. 12 ст. 6 Федерального закона от 30.12.2004 №218-ФЗ «О кредитных историях», на Общество возложена обязанность хранить экземпляр согласия субъекта кредитной истории на получение кредитной истории в течение пяти лет после окончания срока действия договора займа; в случае, если договор не был заключен, согласие на получение кредитной истории хранится в течение трех лет со дня окончания срока действия согласия; хранение согласий субъектов кредитных историй должно осуществляться в форме, в том числе электронной позволяющей проверить их целостность и достоверность.

5.13. В соответствии с Федеральным законом от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма» ПДн субъекта, полученные в результате идентификации должны храниться не менее 5 (пяти) лет со дня прекращения отношений с субъектом ПДн.

6. Обработка пользовательских данных

6.1. Общество осуществляет сбор, обработку и хранение следующих пользовательских данных посетителей сайта и пользователей мобильного приложения в следующих целях:

- номер телефона, чтобы пользователи могли создать аккаунт, подтвердить учетные данные, получать коды через SMS для входа в аккаунт и подписывать соглашения и договор в соответствии Федеральным законом № 151-ФЗ от 02.07.2010 «Об МФО». Также приложение использует номер телефона для уведомлений, отслеживания ошибок при входе в аккаунт и обнаружения подозрительной активности (в целях обеспечения безопасности); загружает номер телефона и проверяет его существование на сервисе dadata.ru, передает номер телефона в Вербокс (verbox.ru) для связи со службой поддержки приложения, передает информацию по клиенту в бюро кредитных историй в соответствии с законом с Федеральным законом N 218-ФЗ от 30.12.2004 «О кредитных историях».

- адрес электронной почты, чтобы пользователи могли создать и восстановить аккаунт, получать копии документов, получать ответы от службы поддержки, получать информацию о наступлении сроков исполнения обязательств по договору займа, возникновении или наличии просроченной задолженности и иной информации, связанной с исполнением договора займа, а также получать информацию о новых акциях, продуктах и услугах ПАО МФК «Займер» и его партнеров.

- имя пользователя, чтобы ПАО МФК «Займер» рассмотреть возможность заключения договора и в дальнейшем заключить договор на предоставление услуг.

- геолокация для комплаенс-процедуры KYC, предотвращения мошенничества и повышения безопасности данных клиента.

- действия на сайте и в мобильном приложении (по желанию пользователя), чтобы ПАО МФК «Займер» могла выполнить мониторинг подозрительной активности (это нужно, чтобы обеспечить безопасность пользователей), аналитику качества предоставляемого сервиса и персонализацию сервиса.

- идентификаторы устройства или другие идентификаторы (по желанию пользователя), чтобы ПАО МФК «Займер» могла обеспечить высокий уровень безопасности сервиса, продвижение сервиса потенциальным пользователям с использованием ретаргетинга.

- технические сведения об устройстве пользователя (в том числе название и версия операционной системы, файлы cookie (куки), IP-адрес, информация об используемом браузере (тип и версия браузера) и языке, даты и времени доступа к сайту, интернет-адреса веб-страниц, посещенных пользователем, тематику информации, размещенной на посещаемых пользователем интернет-ресурсах Общества, количество просмотренных страниц, длительность пребывания на сайте, список прикрепленных к устройству аккаунтов, User-Agent пользователя, источник рекламного трафика, идентификатор сессии, время авторизации/регистрации, токен, время каждой проверки токена в привязке к системам, версия мобильного приложения, дата/время использования сервиса) для персонализации, аналитики качества и бесперебойности, предотвращения мошенничества и повышения уровня безопасности сервиса, предоставляемого ПАО МФК «Займер».

6.2. Общество осуществляет обработку (в том числе сбор, запись, систематизация, накопление, хранение, использование, передача (предоставление, доступ), удаление, уничтожение) пользовательских данных.

6.3. Обработка пользовательских данных осуществляется с использованием следующих сторонних аналитических сервисов: Google Tag Manager, Google Analytics, Firebase Analytics, Яндекс.Метрика, Appsflyer, UserX, Vk.com, Mail.ru, Amplitude, Mytarget, Microsoft Clarity, Juicy Score, Matomo, Flocktory.

6.4. Перечень пользовательских данных, которые собираются и передаются Juicy Score:

- геолокация;

- идентификаторы устройства или другие идентификаторы;

- действия в приложении;

- сведения об устройстве пользователя.

6.5. Пользовательские данные собираются и обрабатываются исключительно с согласия пользователя сайта/мобильного приложения безопасным образом, в том числе с применением современных методов шифрования.

6.6. Общество не осуществляет продажу пользовательских данных, то есть не осуществляет передачу пользовательских данных третьим лицам с целью получения денежного дохода.

6.7. Пользователь в любой момент может ограничить сбор пользовательских данных с использованием настроек браузера в части использованию cookies.

6.8. Пользователь имеет право обратиться в Общество с целью удаления личного аккаунта, направив соответствующий запрос на удаление по электронной почте support@zaymer.ru через форму обратной связи ( https://www.zaymer.ru/feedback ) или по телефону (Служба поддержки клиентов: 8-800-7070-24-7). С правилами удаления личного аккаунта можно ознакомиться на сайте Общества по адресу https://policy.zaymer.ru/account .

6.9. Пользовательские данные обезличены и не содержат персональных и иных данных, относящихся тем или иным способом к личности пользователя. На передаваемых снимках экрана скрываются все поля экрана, которые могут содержать персональные данные, а также финансовые и другие пользовательские данные.

6.10. Общество принимает необходимые организационные и технические меры для защиты личных и конфиденциальных пользовательских данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц. Обеспечение безопасности пользовательских данных достигается применением организационных и технических мер, указанных в разделе 8 настоящей Политики.

7. Права и обязанности субъектов персональных данных и Общества

7.1. Права и обязанности субъекта ПДн.

7.1.1. Субъект ПДн, если его право не ограничено в соответствии с Федеральными законами, вправе в любой момент получить информацию, касающуюся обработки его ПДн, в том числе содержащей:

7.1.1.1. подтверждение факта обработки ПДн Обществом;

7.1.1.2. правовые основания и цели обработки ПДн;

7.1.1.3. цели и применяемые Обществом способы обработки ПДн;

7.1.1.4. наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании федерального закона;

7.1.1.5. обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

7.1.1.6. сроки обработки ПДн, в том числе сроки их хранения;

7.1.1.7. порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;

7.1.1.8. информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;

7.1.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;

7.1.1.10 информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1 Федерального закона “О персональных данных”;

7.1.1.11. иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

7.1.2. Субъект ПДн вправе требовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.1.3. Если субъект ПДн считает, что Общество осуществляет обработку его ПДн с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

7.1.4. Сведения, указанные в пункте 7.1.1 настоящей Политики, предоставляются субъекту ПДн или его представителю в течение десяти рабочих дней с момента обращения либо получения Обществом запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней. В таком случае Общество направляет в адрес субъекта ПДн мотивированное уведомления с указанием причин продления срока предоставления запрашиваемой информации.

7.1.4.1. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Обществом, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

7.1.4.2. Общество предоставляет сведения, субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

7.1.5. В случае, если сведения, в пункте 7.1.1 настоящей Политики, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к Обществу или направить ему повторный запрос в целях получения сведений, указанных в ч.7 ст.14 Федерального закона “О персональных данных”, и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

7.1.6. Субъект ПДн вправе обратиться повторно или направить повторный запрос в целях получения сведений, указанных в пункте 7.1.1 настоящей Политики, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в пункте 7.1.5 настоящей Политики, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 7.1.4.1 настоящей Политики, должен содержать обоснование направления повторного запроса.

7.1.7. Общество вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями пунктам 7.1.4.1 и 7.1.5 настоящей Политики с указанием доказательств обоснованности отказа.

7.1.8. Субъект ПДн в любое время вправе отозвать свое согласие на обработку ПДн. Отзыв согласия на обработку ПДн осуществляется путем подачи заявления в письменной форме в адрес Общества, согласно пункту 5.4 настоящей Политики.

7.2. Обязанности и права Общества

7.2.1. Общество обязано предоставить субъекту ПДн по его просьбе информацию, предусмотренную в пункте 7.1.1 настоящей Политики.

7.2.2. Общество при сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных Федеральным законом «О персональных данных».

7.2.3. Общество обязано при обработке ПДн обеспечивать выполнение мер, указанных в статьях 18.1 и 19 Федерального закона “О персональных данных”.

7.2.4. Общество несет иные обязанности, установленные Федеральным законом «О персональных данных».

7.2.5. Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора, условием которого является соблюдение конфиденциальности или неразглашение ПДн.

7.2.6. Общество вправе передавать ПДн субъекта лицам, указанным в согласии субъекта на обработку ПДн, предоставленном Обществу субъектом ПДн.

7.2.7. Общество вправе передавать ПДн субъекта любым иным лицам, не указанным в согласии субъекта на обработку ПДн, если передача ПДн субъекта указанным лицам обусловлена целями, предусмотренными в пункте 3.1 настоящей Политики.

7.2.8. В случае отзыва согласия Общество вправе продолжать обрабатывать ПДн в целях исполнения заключенного договора, соглашения, а также в целях исполнения Обществом требований законодательства и/или исполнения судебного решения, а равно защиты своих интересов, если при этом не нарушаются права третьих лиц.

7.2.9. В рамках реализации своего права на проверку достоверности указанной субъектом ПДн информации, Общество также вправе проводить проверку и уточнение предоставленных им данных посредством устных или письменных обращений к работодателю субъекта ПДн, а также иным лицам, контактные данные которых были предоставлены им Обществу.

8. Меры, направленные на обеспечение защиты персональных данных

8.1. В целях обеспечения защиты ПДн, в Обществе реализованы следующие организационные и технические меры безопасности:

8.1.1. назначено лицо, ответственное за организацию обработки ПДн;

8.1.2. назначено лицо, ответственное за обеспечение безопасности ПДн;

8.1.3. определена политика в отношении обработки ПДн;

8.1.4. разработаны и утверждены внутренние организационные документы по вопросам обработки ПДн, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;

8.1.5. осуществляется внутренний контроль и аудит соответствия обработки ПДн;

8.1.6. проведена оценка вреда, который может быть причинен субъектам ПДн;

8.1.7. организовано ознакомление работников, осуществляющих обработку ПДн, с законодательными и внутренними организационными документами по вопросам обработки и защиты ПДн;

8.1.8. опубликованы документы, определяющие политику в отношении обработки и реализуемых требованиях к защите ПДн;

8.1.9. определены угрозы обеспечения безопасности ПДн;

8.1.10 применяются средства защиты ПДн, включая антивирусное программное обеспечение, устройства межсетевого экранирования, сигнализации, видеонаблюдение, системы контроля доступа, сейфы, шкафы, запирающиеся на ключ и иные технические средства защиты;

8.1.11. обеспечено безопасное хранение носителей, содержащих ПДн;

8.1.12. ведется учет лиц, допущенных к работе с ПДн;

8.1.13. внедрена система разграничения и контроля доступа к информационным ресурсам и базам данных, содержащим ПДн;

8.1.14. осуществляется авторизация и аутентификация пользователей;

8.1.15. реализован учет машинных носителей информации, содержащих ПДн;

8.1.16. реализован комплекс мер, обеспечения внутриобъектового режима, направленных на ограничение и контроль доступа к ПДн;

8.1.17. используются средства резервного копирования восстановления информационных ресурсов, содержащих ПДн;

8.1.18. используются средства обнаружения фактов несанкционированного доступа к ПДн;

8.2. Меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн устанавливаются в соответствии с локальными нормативными актами Общества, регламентирующими вопросы обеспечения безопасности ПДн при их обработке в информационных системах ПДн Общества.