Утверждено приказом Генерального директора ООО «ПС Процессинг»
№ 04/23 от 15.03.2023 г.
Настоящая Публичная политика обработки персональных данных в Обществе с ограниченной ответственностью «ПС Процессинг» (далее по тексту – Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – 152-ФЗ или Закон о персональных данных), а также в соответствии с иными федеральными законами и подзаконными актами Российской Федерации, и определяет принципы обработки и обеспечения безопасности персональных данных в ООО «ПС Процессинг» (далее по тексту – Компания).
Действие настоящей Политики распространяется на все процессы обработки персональных данных в Компании, как с использованием средств автоматизации, так и без использования таких средств, на все структурные подразделения и работников Общества, участвующих в таких процессах, а также на информационные системы Компании, используемые в процессах обработки персональных данных.
Цели настоящей Политики:
обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
исключение несанкционированных действий (неправомерный или случайный доступ) любых третьих лиц к персональным данным Пользователей, а равно уничтожения, изменения, блокирования, копирования и распространения персональных данных.
обеспечение правового и нормативного режима конфиденциальности и контроля персональной информации Пользователей Сайта.
Компания является оператором персональных данных и внесена в реестр операторов персональных данных Роскомнадзора.
Во исполнение требований части 2 статьи 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети
«Интернет» на сайте Компании.
Настоящая Политика утверждена приказом Генерального директора ООО «ПС Процессинг» и действует до его отмены или до его замены на новую редакцию настоящей Политики или иным аналогичным внутренним документом.
Процессинг», расположенное по адресу: Российская Федерация, 115054, г. Москва, переулок Стремянный, д. 26, этаж 3. ОГРН: 1127746263589; ИНН: 7722773179.
сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
передачу (предоставление, доступ);
трансграничную передачу (предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение.
персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Персональные данные Пользователя обрабатываются Компанией в целях:
обеспечения Компанией исполнения Пользовательского соглашения, Соглашений (Договоров) об использовании Информационно-технологического Сервиса Компании, стороной которых является Пользователь;
предоставления Пользователю доступа к Сервисам Компании для совершения операций;
улучшения качества работы Сайта, проведения на основе обезличенных персональных данных статистических и иных исследований.
Обработка персональных данных осуществляется Компанией на законных основаниях
и ограничивается достижением конкретных, заранее определенных и законных целей.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. Компанией принимаются необходимые меры по удалению или уточнению неполных или неточных персональных данных.
Пользователь самостоятельно предоставляет (при регистрации учетной записи в Сервисе AVOSEND) следующие данные: имя, фамилия, мобильный номер телефона и адрес регистрации.
Пользователь заполняет соответствующие электронные формы на Сервисе AVOSEND в разделе «Регистрация».
Согласие на обработку персональных данных предоставляются с момента процедуры регистрации на Сервисе AVOSEND, путем заполнения соответствующей Формы для прохождения идентификации в соответствии с требованиями действующего законодательства Российской Федерации, соглашением об использовании Информационно-технологического сервиса AVOSEND, договором об оказании услуги по осуществлению перевода денежных средств по поручению физического лица, и действует в течение 5 (Пяти) лет с даты прекращения обязательств Сторон по Договорам либо с даты получения Компанией надлежащим образом оформленного письменного отзыва согласия на обработку персональных данных.
Обработка персональных данных осуществляется Компанией исключительно для достижения целей, определенных настоящей Политикой.
Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
Компания не осуществляет обработку персональных данных, предусматривающую распространение персональных данных, направленную на раскрытие персональных данных неопределенному кругу лиц.
Обработка персональных данных в Компании осуществляется как автоматизированным способом в информационных системах персональных данных, так и без использования средств автоматизации (на бумажных носителях).
К обработке персональных данных Пользователя могут иметь доступ только сотрудники Компании, чьи должностные обязанности непосредственно связаны с доступом и работой с персональными данными Пользователя.
Сотрудники Компании, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Хранение персональных данных Компанией осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором, стороной по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, если иное не предусмотрено федеральным законом.
Под блокированием персональных данных понимается временное прекращение Компанией операций по их обработке по требованию Пользователя при выявлении им недостоверности обрабатываемых сведений или неправомерных, по мнению субъекта персональных данных, действий в отношении его данных.
Блокирование персональных данных на Сайте осуществляется на основании письменного заявления от Субъекта персональных данных.
Передача персональных данных осуществляется Компанией в рамках Договора об оказании услуги по осуществлению перевода денежных средств по поручению физического лица и Договоров (Соглашений) об использовании Сервисов Компании, а именно:
в кредитные организации, участвующие при осуществлении переводов в рамках предоставляемых Сервисов Компании, в целях соблюдения должного уровня безопасности онлайн платежей, совершаемых с использованием электронных средств платежа посредством Сервисов Компании, Компания может передавать сведения, перечень которых устанавливается протоколами безопасности платежных систем, банками-эквайерами, эмитентами электронных средств платежа.
Передача персональных данных осуществляется Компанией на основании Согласия субъекта персональных данных (Пользователя) на обработку и передачу персональных данных.
Кредитные организации обеспечивают конфиденциальность персональных данных и безопасность персональных данных при их обработке.
Передача сведений может носить обязательный характер, например, в части сведений о пользовательском оборудовании: IP-адрес, ОС, географические данные, ID/тип оборудования, используемый канал: браузер/ приложение, платежная авторизация, идентификация/ верификация или факультативный характер, например, в части сведений об индикаторах совпадения адресов, номере мобильного телефона, о сумме платежа.
Передача персональных данных государственным органам осуществляется в рамках их полномочий в соответствии с применимым законодательством.
В Компании осуществляется трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
Пользователь дает свое согласие на трансграничную передачу персональных данных, с учетом целей обработки персональных данных, указанных в разделе 3 Политики, третьим лицам при наличии надлежаще заключенного между Компанией и такими третьими лицами договора, предусматривающего обязательство третьих лиц о соблюдении требований Федерального закона РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных на Сайте и/или в результате которых уничтожаются материальные носители персональных данных.
Субъект персональных данных вправе в письменной форме требовать уничтожения своих персональных данных.
В случае соответствующего обращения Субъекта персональных данных, Компания обязана, произвести необходимые изменения, уничтожить персональные данные по предоставлении Субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему Субъекту и обработку которых осуществляет Компания, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
О внесенных изменениях и предпринятых мерах Компания обязана уведомить Субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого Субъекта были переданы.
Компания уничтожает персональные данные Пользователя не позднее 7 (Семи) рабочих дней с даты поступления соответствующего письменного требования от Пользователя.
Уничтожение персональных данных осуществляется путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением.
В случае отсутствия возможности уничтожения персональных данных Компания осуществляет блокирование таких персональных данных.
В случае обращения в Компанию Пользователя с письменным требованием об уничтожении актуальной информации по персональным данным, Компания прекращает обработку персональных данных Пользователя, за исключением операции хранения и блокирования.
Пользователь имеет право на получение сведений о Компании, о месте ее нахождения, о наличии у Компании персональных данных, относящихся к соответствующему Субъекту персональных данных, а также на ознакомление с такими персональными данными.
Пользователь вправе требовать от Компании уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения о наличии персональных данных, должны быть предоставлены Пользователю Компанией в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных.
Доступ к своим персональным данным предоставляется Пользователю или его законному представителю Компанией при личном обращении либо при получении письменного запроса Субъекта персональных данных или его законного представителя.
Запрос может быть направлен в адрес Компании в электронной форме, по адресу электронной почты: support@avosend.com.
Пользователь имеет право на получение от Компании при личном обращении к ней либо при получении Компанией письменного запроса от Пользователя следующей информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных Компанией, а также цель такой обработки;
способы обработки персональных данных, применяемые Компанией;
наименование и местонахождение Компании, сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
перечень обрабатываемых персональных данных и источник их получения;
сроки обработки персональных данных, в том числе сроки их хранения;
сведения о том, какие юридические последствия для Субъекта персональных данных может повлечь за собой обработка его персональных данных.
Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных.
Отзыв согласия на обработку персональных данных производится Пользователем лично путем направления Компании письменного заявления, содержащего сведения о Пользователе, дату предоставления согласия и основание отзыва.
При поступлении отзыва согласия на обработку персональных данных, Компания прекращает обработку персональных данных и производит уничтожение персональных данных в срок, определенный Федеральным Законом от 27.07.2006г. № 152-ФЗ «О персональных данных», за исключением случаев, когда обработка персональных данных необходима в соответствии с действующим законодательством РФ.
Субъект персональных данных вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав Субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
Обработка и передача персональных данных Пользователей осуществляется Компанией с Согласия Субъектов персональных данных. Обязанность представить доказательство получения Согласия на обработку персональных данных по основаниям данного пункта в соответствии с законом возлагается на Компанию.
По факту личного обращения либо при получении письменного запроса Субъекта персональных данных или его законного представителя Компания, при наличии оснований, обязана в течение 30 (Тридцати) календарных дней с даты обращения либо получения запроса Субъекта персональных данных или его законного представителя предоставить сведения в объеме, установленном Федеральным законом. Такие сведения должны быть предоставлены Пользователю в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Компания вправе продлить указанный срок до 60 (Шестьдесят) календарных дней с учетом сложности и количества запросов. Компания информирует Пользователя или его законного представителя о таком продлении срока, с указанием причин, послуживших основанием для такого продления, посредством услуг почты РФ.
В случае отказа в предоставлении Субъекту персональных данных или его законному представителю, при обращении либо при получении запроса Субъекта персональных данных или его законного представителя, информации о наличии персональных данных о соответствующем Субъекте персональных данных, Компания обязана дать в письменной
форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного Федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 (Тридцать) календарных дней со дня обращения Субъекта персональных данных или его законного представителя, либо с даты получения запроса Субъекта персональных данных или его законного представителя.
В случае получения запроса от Уполномоченного органа по защите прав Субъектов персональных данных о предоставлении информации, необходимой для осуществления деятельности указанного органа, Компания обязана сообщить такую информацию в Уполномоченный орган в течение 30 (Тридцать) календарных дней с даты получения такого запроса.
В случае выявления неправомерной обработки персональных данных при обращении или по запросу Субъекта персональных данных или его представителя либо Уполномоченного органа по защите прав Субъектов персональных данных Компания обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неправомерной обработки персональных данных, осуществляемой Компанией, Компания в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных. Об устранении допущенных нарушений Компания обязана уведомить Субъекта персональных данных или его законного представителя, а в случае если обращение Субъекта персональных данных или его законного представителя либо запрос Уполномоченного органа по защите прав Субъектов персональных данных были направлены Уполномоченным органом по защите прав Субъектов персональных данных, также в указанный орган.
В случае достижения цели обработки персональных данных Компания обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 (Тридцать) рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено Договором или Соглашением, стороной которого является Субъект персональных данных.
Компания обязуется соблюдать конфиденциальность в отношении персональных данных Пользователя, а также иной информации о Пользователе, ставшей известной Компании в связи с Использованием Сервиса AVOSEND Пользователем, за исключением случаев, когда:
такая информация является общедоступной;
информация раскрыта по требованию или с разрешения Пользователя;
информация подлежит предоставлению Получателям перевода, указанным Пользователем, в объеме, необходимом для исполнения условий Договора, заключенного на условиях Соглашения;
информация требует раскрытия по основаниям, предусмотренным Применимым правом, или по вызывающим подозрение сделкам, или при поступлении соответствующих запросов суда или уполномоченных государственных органов.
Компания осуществляет постоянный контроль за сохранением конфиденциальности персональных данных Пользователя. Компания не использует и не раскрывает идентифицирующую Пользователя информацию в целях, не связанных с оформлением или выдачей документов, предъявлением требования или осуществлением расчетов с Пользователем. Раскрытие информации допускается исключительно в случаях, о которых Пользователь был заранее информирован в момент получения от него такой информации, либо с согласия самого Пользователя.
В случае возникновения у Компании подозрений о несанкционированном доступе (попытке несанкционированного доступа) третьих лиц к Учетной записи Пользователя с использованием аутентификационных данных такого Пользователя, Компания вправе произвести принудительную смену пароля, входящего в состав таких аутентификационных данных, с незамедлительным уведомлением об этом Пользователя путем направления ему
SMS-сообщения на указанный Пользователем в момент регистрации Учетной записи Пользователя в Сервисе AVOSEND Абонентский номер.
Все меры конфиденциальности при сборе, обработке и хранении персональных данных Пользователей распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
Компания обязана при обработке персональных данных Пользователей принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Защита персональных данных Пользователей, хранящихся в электронных базах данных Компании, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается сотрудниками Компании.
К защищаемым сведениям о Пользователе относятся данные, позволяющие идентифицировать Субъект персональных данных и/или получить о нем дополнительные сведения, предусмотренные законодательством и настоящей Политикой.
К защищаемым объектам персональных данных относятся:
объекты информатизации и технические средства автоматизированной обработки информации, содержащей персональные данные;
каналы связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;
отчуждаемые носители информации на магнитной, магнитно-оптической и иной основе, применяемые для обработки персональных данных.
Обеспечение безопасности персональных данных достигается, в частности:
Назначением лица, ответственного за обработку персональных данных, которое осуществляет обучение и инструктаж, внутренний контроль за соблюдением Компанией и его сотрудниками требований к защите персональных данных;
определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учетом машинных носителей персональных данных;
обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
Система защиты персональных данных должна соответствовать требованиям Федерального закона № 152-ФЗ «О персональных данных» и Постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Система защиты персональных данных должна обеспечивать:
своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль за обеспечением уровня защищенности персональных данных. Средства защиты информации, применяемые в информационных системах, должны в установленном порядке проходить процедуру оценки соответствия.
Правом доступа к персональным данным Пользователей обладают Генеральный директор Компании и лица, наделенные соответствующими полномочиями в соответствии со своими служебными обязанностями.
Перечень лиц, имеющих доступ к персональным данным Пользователей, утверждается Генеральным директором Компании.
Допуск к персональным данным Пользователей других сотрудников Компании, не имеющих надлежащим образом оформленного доступа, запрещается.
Копировать персональные данные Пользователей разрешается исключительно в служебных целях с письменного разрешения Генерального директора Компании.
Ответы на письменные запросы уполномоченных государственных органов, других организаций и учреждений о персональных данных Пользователей даются только с письменного согласия Субъектов персональных данных, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Компании, и в том объеме, который позволяет не разглашать излишний объем персональных данных.
В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных настоящая Политика действует в части, не противоречащей действующему законодательству до приведения ее в соответствие с такими.
Условия настоящей Политики устанавливаются, изменяются и отменяются Компанией в одностороннем порядке без предварительного уведомления Пользователя. С момента размещения на Сайте новой редакции Политики предыдущая редакция считается утратившей свою силу.