Политика обработки Персональных данных пользователей сервиса «Плати по миру»

1. Общие положения

1.1. Настоящая Политика (далее – «Политика») регулирует вопросы обработки персональных данных Пользователей (далее – «Субъект персональных данных») при использовании Пользователями Сайта https://platipomiru.com, приложения и чат-бота в телеграмм https://t.me/platipomiru_bot (далее вместе – Сервис «Плати по миру»), предназначенных для выпуска Пользователям и использования последними виртуальной карты международной платежной системы, Обществом с ограниченной ответственностью «КАПИБАРА», ОГРН 1257700507965, ИНН 9703231520, адрес: 123112, г. Москва, вн.тер.г. Муниципальный Округ Пресненский, наб. Пресненская, д. 12, помещ. 19/64, регистрационный номер в реестре операторов 78-25-070510 (далее – «Оператор»).

Ответственным лицом за Обработку персональных данных, обеспечение безопасности персональных данных и создание соответствующего структурного подразделения по безопасности персональных данных является единоличный исполнительный орган Оператора.

1.2. При использовании Пользователем Сервиса «Плати по миру» Оператором осуществляется обработка персональных Субъектов персональных данных, а именно все действия с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (далее – «Обработка персональных данных»).

1.3. К обрабатываемым согласно настоящей Политике персональным данным Пользователя относятся фамилия, имя и отчество (при наличии), день, месяц, год рождения, адрес электронной почты, номер телефона, адрес регистрации, данные документа, удостоверяющего личность (серия и номер паспорта, кем и когда выдан и т.п.), реквизиты банковской карты, номер расчетного счета, ИНН, файлы cookie, иные данные, которые могут быть получены в ходе использования Пользователем Сервиса «Плати по миру».

1.4. Администратором Сервиса «Плати по миру» и Сайта выступает Оператор.

1.5. Все запросы, требования и претензии Оператору (далее – «Запросы») направляются в форме электронного образа документа в формате pdf, содержащего графический образ подписи Субъекта персональных данных либо его представителя (с приложением доверенности либо иного документа, подтверждающего полномочия). Запрос также должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором. Запросы направляются по адресу: maintenance_ppm@platipomiru.com.

1.6. Оператор до начала осуществления трансграничной передачи персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных.

2. Цели обработки персональных данных

2.1. Целью обработки персональных данных Пользователя является заключение и выполнение условий Договора (Публичная оферта об использовании Информационно-технологического сервиса «Плати по миру» для оплат за пределами РФ), обеспечения использования Пользователем функционала Сервиса «Плати по миру», включая регистрацию Учетной записи (Личного кабинета), выпуск Пользователям и использования последними виртуальной карты международной платежной системы, а также проведения статистических или иных исследований для обеспечения возможности использования, доработки и совершенствования Сервиса «Плати по миру».

2.2. Персональные данные могут быть использованы с иными целями, только если это является обязательным в соответствии с положениями законодательства Российской Федерации.

2.3. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Правовые основания обработки персональных данных

Правовыми основаниями Обработки персональных данных, согласно настоящей Политике, являются:

Согласие на обработку персональных данных пользователя Сервиса «Плати по миру»;
Договор (Публичная оферта об использовании Информационно-технологического сервиса «Плати по миру» для оплат за пределами РФ);
Федеральный закон «О персональных данных» от 27 июля 2006 года № 152-ФЗ, иные федеральные законы, а также подзаконные акты.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Персональные данные, указанные в пункте 1.3 настоящей Политики, обрабатываются в объемах, необходимых для достижения целей, предусмотренных в разделе 2 настоящей Политики.

4.2. Оператор обрабатывает следующие категории персональных данных Пользователей общей категории.

4.3. Оператор гарантирует, что обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.

5. Порядок и условия обработки персональных данных

5.1. Действия, совершаемые Оператором с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

5.2. Персональные данные обрабатываются Оператором с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства Российской Федерации.

5.3. Персональные данные начинают обрабатываться незамедлительно с момента их получения в течение срока, необходимого для выполнения условий Договора, либо до отзыва Согласия.

5.4. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

5.5. Оператор гарантирует соблюдение требований конфиденциальности персональных данных, установленных статьей 7 Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ, а также принятие мер, предусмотренных частью 2 статьи 18.1, частью 1 статьи 19 Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ.

5.6. Условием прекращения обработки Оператором персональных данных субъектов персональных данных является отзыв согласия Субъекта персональных данных на Обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

5.7. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных, в сроки, необходимые для выполнения обязательств, предусмотренных Договором и указанные в Согласии на обработку персональных данных.

5.8. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации. Персональные данные Субъектов персональных данных хранятся исключительно на электронных носителях.

5.9. Оператор принимает технические и организационно-правовые меры в целях обеспечения защиты персональных данных Субъектов персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

Для доступа к Учетной записи Субъект персональных данных использует индивидуальные средства подтверждения.

Ответственность за сохранность данной информации несет Субъект персональных данных.

Субъект персональных данных не вправе передавать доступ к Учетной записи третьим лицам, а также обязан предпринимать меры по обеспечению ее конфиденциальности.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1. Субъект персональных данных имеет право на получение информации, касающейся Обработки его персональных данных, в том числе содержащей: подтверждение факта Обработки персональных данных Оператором; правовые основания и цели Обработки персональных данных; цели и применяемые Оператором способы Обработки персональных данных; наименование и место нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; сроки Обработки персональных данных, в том числе сроки их хранения; порядок осуществления Субъектом персональных данных прав, предусмотренных Федеральным законом О персональных данных» от 27 июля 2006 года № 152-ФЗ; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего Обработку персональных данных по поручению Оператора, если Обработка поручена или будет поручена такому лицу; информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федеральным законом О персональных данных» от 27 июля 2006 года № 152-ФЗ; иные сведения, предусмотренные Федеральным законом О персональных данных» от 27 июля 2006 года № 152-ФЗ или другими федеральными законами.

Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если: (1) Обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; (2) Обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими Субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными; (3) Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; (4) доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц; (5) Обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

6.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Сведения, указанные в абзаце 1 пункта 6.1 Политики, предоставляются Субъекту персональных данных или его представителю Оператором в течение 10 рабочих дней с момента обращения либо получения Оператором запроса Субъекта персональных данных или его представителя.

Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Оператор предоставляет сведения Субъекту персональных данных или его представителю в той форме, в электронной форме, если иное не указано в обращении или запросе.

6.3. В случае, если сведения, указанные в абзаце 1 пункта 6.1 Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления Субъекту персональных данных по его запросу, Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения указанных сведений, и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством Российской Федерации.

Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения указанных сведений до истечения срока, указанного в настоящем пункте, в случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.

Повторный запрос должен содержать также обоснование направления повторного запроса.

Оператор вправе отказать Субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным настоящим пунктом.

Такой отказ должен быть мотивированным.

6.4. Оператор обязан сообщить Субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему Субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 10 рабочих дней с даты получения запроса субъекта персональных данных или его представителя.

Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

В случае отказа в предоставлении информации о наличии персональных данных о соответствующем Субъекте персональных данных или персональных данных Субъекту персональных данных или его представителю при их обращении либо при получении запроса Субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона О персональных данных» от 27 июля 2006 года № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 рабочих дней со дня обращения Субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

6.5. Оператор обязан предоставить безвозмездно Субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому Субъекту персональных данных.

В срок, не превышающий 7 рабочих дней со дня предоставления Субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.

В срок, не превышающий 7 рабочих дней со дня представления Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.

Оператор обязан уведомить Субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

6.6. В случае выявления неправомерной обработки персональных данных при обращении Субъекта персональных данных или его представителя либо по запросу Субъекта персональных данных или его представителя либо уполномоченного органа по защите прав Субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому Субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

В случае выявления неправомерной Обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора.

В случае, если обеспечить правомерность Обработки персональных данных невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.

Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

6.7. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных, Оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных: (1) в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом; (2) в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

6.8. В случае достижения цели обработки персональных данных Оператор обязан прекратить Обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Федеральным законом О персональных данных» от 27 июля 2006 года № 152-ФЗ или другими федеральными законами.

6.9. В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей Обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом О персональных данных» от 27 июля 2006 года № 152-ФЗ или другими федеральными законами.

6.10. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении Обработки персональных данных Оператор обязан в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона О персональных данных» от 27 июля 2006 года № 152-ФЗ.

6.11. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев.

6.12. Недопущение вреда Субъекта персональных данных является одним из направлений настоящей Политики и представляет собой комплекс правовых, организационных и технических мер.

Правовые меры состоят из изучения и применения законодательства по вопросам недопущения вреда, разработки локальных актов и их применения в данной сфере деятельности Оператора.

Организационные меры включают тщательный отбор, обучение и расстановку кадров, повышение их мотивации в вопросах недопущения вреда, в частности, единоличным исполнительным органом Оператора утвержден перечень лиц, доступ которых к обрабатываемым персональным данным необходим для выполнения ими трудовых обязанностей, а также создано структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе.

Технические меры объединяют создание условий и реализацию мероприятий по недопущению вреда, в том числе:

организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
обеспечение сохранности технологий Оператора, в том числе материальных носителей персональных данных;
установление и поддержания соответствующих режимов безопасности, использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
недопущение попадания конфиденциальной информации Оператора, в том числе информации, составляющей коммерческую тайну, неуполномоченным лицам;
обеспечение информационной безопасности Оператора, бесперебойного функционирования технических средств обработки персональных данных (средств вычислительной техники, информационно-вычислительных комплексов и сетей, средств и систем передачи, приема и обработки персональных данных (средств и систем звукозаписи, звукоусиления, звуковоспроизведения, переговорных и телевизионных устройств, средств изготовления, тиражирования документов и других технических средств обработки речевой, графической, видео- и буквенно-цифровой информации), программных средств (операционных систем, систем управления базами данных и т.п.), средств защиты информации, применяемых в информационных системах);
доступ к содержанию электронного журнала сообщений возможен исключительно для работников Оператора, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения трудовых обязанностей, при этом осуществляется автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника Оператора по доступу к персональным данным, содержащимся в информационной системе;
постоянный контроль за обеспечением уровня защищенности персональных данных.