DK Pay terms and conditions

Общество с ограниченной ответственностью Микрокредитная компания «Директ Кредит Пэй» / ООО МКК «ДК Пэй» 105066, г. Москва, вн.тер.г. Муниципальный округ Басманный, ул. Нижняя Красносельская, д. 40/12, к. 2 https://dk-pay.ru/ ОГРН 1237700307899 E-mail: info@dk-pay.ru ИНН 9701247806 Тел.: 8 (800) 707-17-21 КПП 770101001 Рег. номер МФО Банка России 2403045010033 от 21.03.2024 «УТВЕРЖДАЮ» Генеральный директор ООО МКК «ДК Пэй» _____________О.Н. Копаева

ПОЛИТИКА ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Москва, 2024

Общие положения

Настоящая Политика по обработке персональных данных (далее – Политика) разработана в соответствии с действующим законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативно-правовыми актами по вопросам обработки и безопасности ПДн, в том числе при их обработке в информационных системах персональных данных (далее – ИСПДн). Действие настоящей Политики по обработке ПДн распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (предоставлению, распространению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без использования таких средств в рамках ООО МКК «ДК Пэй», расположенного по адресу 105066, город Москва, Нижняя Красносельская ул, д. 40/12 к. 2 (далее – Компания). В соответствии с Федеральным законом от 27.07.2006 №152 «О персональных данных» (далее – ФЗ-152) к настоящей Политике обеспечен неограниченный доступ субъектов ПДн, в том числе путем публикации на сайте Компании в сети Интернет. В Политике используются следующие основные понятия: автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники; блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); информационная система персональных данных – совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий, и технических средств; обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных; обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; оператор, Компания – ООО МКК «ДК Пэй» самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); персональные данные, разрешенные субъектом персональных данных для распространения – ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном ФЗ-152; предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом; трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу; уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.

Принципы и условия обработки ПДн

Принципы обработки ПДн. Обработка ПДн у Оператора осуществляется на основе следующих принципов: • законности и справедливой основы; • ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей; • недопущения обработки ПДн, несовместимой с целями сбора ПДн; • недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой; • обработки только тех ПДн, которые отвечают целям их обработки; • соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки; • недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки; • обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн; • уничтожения либо обезличивания ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений ПДн, если иное не предусмотрено федеральным законом. Условия обработки ПДн. Оператор производит обработку ПДн при наличии хотя бы одного из следующих условий: • обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; • обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; • обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве; • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем; • обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно; • обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн; • осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. В случае, если обработка ПДн Компанией осуществляется в целях исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем, заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн. Законодательные и иные нормативные правовые акты. Настоящая Политика разработана в соответствии со следующими законодательными и нормативными правовыми актами Российской Федерации: • Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»; • Трудовым кодексом Российской Федерации; • Указом Президента Российской Федерации от 06 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера»; • постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; • постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; • законами, касающимися вопросов обработки персональных данных. Конфиденциальность ПДн. Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом. Общедоступные источники ПДн. В целях информационного обеспечения у Оператора могут создаваться общедоступные источники ПДн субъектов ПДн, в том числе справочники и адресные книги. В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты. Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн, уполномоченного органа по защите прав субъектов ПДн или по решению суда. ПДн, разрешенные субъектом ПДн для распространения. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн. В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих ПДн оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц. Отказ Оператора в установлении субъектом ПДн указанных запретов и условий не допускается. Специальные категории ПДн. Обработка Оператором специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости допускается в случаях, установленных законодательством. Обработка специальных категорий ПДн должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом. Биометрические ПДн. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность – биометрические ПДн – могут обрабатываться Оператором только при наличии согласия субъекта ПДн в письменной форме. Предоставление субъектом ПДн своих биометрических ПДн Компании не может быть обязательным, за исключением случаев, предусмотренных ч. 2 ст. 11 ФЗ-152. Оператор не вправе отказывать в обслуживании в случае отказа субъекта ПДн предоставить биометрические ПДн и (или) дать согласие на обработку ПДн, если в соответствии с федеральным законом получение оператором согласия на обработку ПДн не является обязательным. Поручение обработки ПДн другому лицу. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение Оператора). Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные настоящей Политикой и ФЗ-152. Поручение Оператора по форме и содержанию должно соответствовать требованиям, установленным законодательством. В случае, если Компания поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Компания. Лицо, осуществляющее обработку ПДн по поручению Компании, несет ответственность перед Компанией. В случае, если Компания поручает обработку ПДн иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом ПДн за действия указанных лиц несет оператор и лицо, осуществляющее обработку ПДн по поручению оператора. Перечень третьих лиц, которым Компания осуществляет передачу/поручение обработки ПДн приведен в документе «Перечень видов сторонних организаций, которым ООО МКК «ДК Пэй» осуществляет передачу/поручение обработки персональных данных субъектов персональных данных», размещенном по адресу: https://dk-pay.ru/. Обработка ПДн граждан Российской Федерации. В соответствии со ст. 2 Федерального закона от 21 июля 2014 года N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» при сборе ПДн, в том числе посредством информационно-телекоммуникационной сети "Интернет", Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев: • обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; • обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; • обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта ПДн на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; • обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн. Трансграничная передача ПДн. При трансграничной передаче ПДн Компания обязана соблюдать требования ФЗ-152, а также положения международных договоров Российской Федерации. Компания до начала осуществления деятельности по трансграничной передаче ПДн обязана уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять трансграничную передачу ПДн. Использование web-ресурсов и мобильных приложений Компании Компания использует файлы cookies, в том числе обрабатывает сведения о Посетителях web-ресурсов, необходимые для правильной работы web-ресурсов и мобильных приложений Компании, а также в целях улучшения качества работы и удобства использования web-ресурсов и мобильных приложений Компании, персонализации сервисов и предложений для Посетителей web-ресурсов. Некоторая часть функционала web-ресурсов и мобильных приложений Компании может быть использована без предоставления персональных данных. Однако для использования специальных возможностей web-ресурсов и мобильных приложений Компании необходимо предоставить пользовательские данные, включая персональные данные. Проставляя галочку (чек-бокс) или нажимая кнопку в электронной форме подтверждения, предоставляемой web-ресурсом и (или) мобильным приложением Компании, субъект персональных данных выражает свое согласие на обработку своих персональных данных Компании на условиях, предусмотренных настоящей Политикой. Субъект персональных данных не использует web-ресурсы и (или) мобильные приложения Компании и не предоставляет Компании свои персональные данные, если он не согласен с положениями данного раздела настоящей Политики. Компания осуществляет обработку персональных данных с использованием web-ресурсов и мобильных приложений на условиях, определенных в Приложении 1 к настоящей Политике.

Категории субъектов ПДн и цели обработки ПДн

Категории субъектов ПДн. В Компании осуществляется обработка ПДн, принадлежащих следующим категориям субъектов ПДн: • Кандидаты на вакантные должности в Компании; • Работники Компании; • Рекомендатели соискателей на замещение вакантной должности; • Участники кадрового резерва; • Члены семьи работников Компании; • Стажеры Компани; • Контрагенты компании; • Бывшие работники компании; • Физические лица - контрагенты Компании; • Сотрудники контрагентов; • Участники тендерных процедур, работники / представители участников Тендерных процедур; • Клиенты Компании; • Родственники клиентов; • Посетители помещений Компании; • Участники программы лояльности; • Посетители сайта Компании; • Клиенты партнеров Компании; • Участники и победители конкурсов, различных маркетинговых мероприятий; • Пользователи сервисов Компании; • Третьи лица, предоставленные клиентом. Цели обработки ПДн. Компанией осуществляется обработка ПДн в различных целях. В таблице «Перечень целей обработки ПДн в Компании, размещенной по адресу: https://dk-pay.ru/, являющейся неотъемлемой частью настоящей Политики, приведен перечень целей обработки ПДн в Компании, для каждой цели обработки определены: • категории субъектов ПДн, ПДн которых обрабатываются в Компании; • перечень ПДн; • категории ПДн; • способы обработки ПДн; • сроки обработки, в том числе сроки хранения ПДн; • порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований.

Права субъекта ПДн

Согласие субъекта ПДн на обработку его ПДн. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Права субъекта ПДн. Субъект ПДн имеет право на получение у Оператора информации, касающейся обработки его ПДн, если такое право не ограничено в соответствии с федеральными законами. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом ПДн (потенциальным потребителем) с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн. Оператор обязан немедленно прекратить по требованию субъекта ПДн обработку его ПДн в вышеуказанных целях. Субъект ПДн вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих ПДн, ранее разрешенных субъектом ПДн для распространения, к любому лицу, обрабатывающему его ПДн, в случае несоблюдения положений ст. 10.1 ФЗ-152 или обратиться с таким требованием в суд. Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта ПДн. Если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов ПДн или в судебном порядке. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда. Обязанности Оператора ПДн Компания как оператор персональных данных вправе: • отстаивать свои интересы в суде; • предоставлять персональные данные субъектов персональных данных третьим лицам, если это предусмотрено законодательством Российской Федерации (налоговые, правоохранительные органы и др.); • отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации; • использовать персональные данные субъектов персональных данных без его согласия в случаях, предусмотренных законодательством Российской Федерации. Компания как оператор персональных данных обязана: • предоставлять субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»; • разъяснить субъекту персональных данных юридические последствия его отказа в предоставлении АО «НСПК» его персональных данных при условии, что такое предоставление субъектом персональных данных своих персональных данных АО «НСПК» является обязательным в соответствии с федеральным законом; • в случае получения персональных данных не от субъекта персональных данных, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», до начала обработки таких персональных данных предоставить субъекту персональных данных следующую информацию: 1) наименование либо фамилию, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных; 5) источник получения персональных данных. • при сборе персональных данных субъектов персональных данных, в том числе посредством сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов персональных данных с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». АО «НСПК» предпринимает разумные меры для поддержания точности и актуальности имеющихся персональных данных, а также удаления персональных данных субъектов персональных данных в случаях, если они являются устаревшими, недостоверными или излишними либо если достигнуты цели их обработки. Обеспечение безопасности ПДн Безопасность ПДн, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты ПДн. Для предотвращения несанкционированного доступа к ПДн Оператором применяются следующие организационно-технические меры: • назначение должностных лиц, ответственных за организацию обработки и защиты ПДн; • ограничение состава лиц, допущенных к обработке ПДн; • ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите ПДн; • организация учета, хранения и обращения носителей, содержащих информацию с ПДн; • определение угроз безопасности ПДн при их обработке, формирование на их основе моделей угроз; • разработка на основе модели угроз системы защиты ПДн; • проверка готовности и эффективности использования средств защиты информации; • разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации; • регистрация и учет действий пользователей информационных систем ПДн; • использование антивирусных средств и средств восстановления системы защиты ПДн; • применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации; • организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки ПДн. Заключительные положения Иные права и обязанности Оператора в связи с обработкой ПДн определяются законодательством Российской Федерации в области ПДн. Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.