УТВЕРЖДЕНО
Генеральным директором ООО «РОБОКАССА»
Приказ № 72/1/р от 09.02.2022 г.
введено в действие c 10.02.2022 г.
ПОЛОЖЕНИЕ
о защите и обработке персональных данных
редакция 3.0, г. Москва
1. Термины и определения
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных - обязательное для соблюдения Компанией или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания.
Компания - организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Компанией является Общество с ограниченной ответственностью «РОБОКАССА», расположенное по адресу: 129344, г. Москва, ул. Искры, д.31, к.1, ком.15А, пом. III (.
Личный кабинет - специализированный раздел на Сайте, защищенный специальными средствами защиты, содержащий Пользовательскую (и иную) информацию, в том числе историю осуществленных Операций, предоставляющий Пользователю возможность совершать действия, предусмотренные внутренними документами Компании.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (Субъекту персональных данных).
Пользователь – Индивидуальный предприниматель; физическое лицо, зарегистрированное в качестве самозанятого; Юридическое лицо (в лице Единоличного исполнительного органа, доверенного лица (действующего на основании доверенности)), Некоммерческая организация (НКО) (в лице Руководителя или доверенного лица), совершившее действия по регистрации в Личном кабинете на Сайте или в Сервисах Компании, имеющее свой личный (профиль/аккаунт); Плательщик (физическое лицо), осуществляющее безналичное перечисление денежных средств, совершившее действие по авторизации на платежной странице Сервиса Robokassa.
Пользовательская информация – любая информация, относящаяся к Пользователю, в том числе анкетные данные Пользователя, указываемые в Анкете, документы, подлежащие предоставлению Компании при Регистрации, а также для целей совершения Операций.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Регистрация – действия Пользователя, совершаемые на Сайте, направленные на регистрацию в Личном кабинете (путем самостоятельного формирования Логина и электронной почты), а также предоставление Компании первичной Пользовательской информации и пр., в целях последующего заключения Договора на условиях Соглашения, и получения доступа к Личному кабинету и сервисам Компании.
Сайт – под Сайтом в Положении понимается Сайт, расположенный в сети Интернет по адресу: http://www.robokassa.com.
Сервисы Компании - Интернет-сервис Robokassa (www.robokassa.com) и/или любой из веб-сайтов, программ, продуктов, услуг Компании.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.
Федеральный закон (ФЗ) – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
2. Общие положения
2.1. ООО «РОБОКАССА», действует как платежный агрегатор (банковский платежный агент, привлекаемый Расчетным банком), оператор услуг информационного обмена, обеспечивает информационное и технологическое взаимодействие между Участниками расчетов при совершении операций посредством Системы Robokassa.
Взаимоотношения между ООО «РОБОКАССА» (далее по тексту – Компания) и Расчетными банками строятся на договорной основе и определяются положениями Договора о начале реализации Программы сотрудничества, привлечении банковского платежного агента – платежного агрегатора и осуществления операций платежного агрегатора посредством Системы Robokassa (далее по тексту – Договор БПА) и условиями Договора об оказании услуг посредством Системы Robokassa (далее по тексту – Договор).
В соответствии с условиями Договора БПА, ООО «РОБОКАССА» от имени и по поручению Расчетного банка проводит обработку персональных данных Пользователей с целью идентификации Пользователей в рамках Федерального закона от 07.08.2001г. N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" и Федерального закона от 27.06.2011 г. № 161-ФЗ «О национальной платежной системе» до момента заключения Пользователем с Компанией любых Договоров (Соглашений).
2.2. Настоящее Положение о защите и обработке персональных данных (далее по тексту – Положение) устанавливает порядок обработки и защиты персональных данных Пользователей, проходящих процедуру регистрации на Сайте и в Сервисах Компании.
Перед началом регистрации на Сайте и в Сервисах Компании, Пользователю необходимо изучить условия Политики конфиденциальности, и настоящего Положения.
Пользователь, самостоятельно проставляя отметку в соответствующей форме, выражает свое полное Согласие с условиями настоящего Положения.
2.3. Положение разработано в соответствии с Конституцией РФ, Гражданским кодексом РФ, действующим законодательством РФ в области защиты персональных данных.
2.4. Настоящее Положение утверждено приказом Генерального директора ООО «РОБОКАССА» и действует до его отмены или до его замены на новую редакцию настоящего Положения или иным аналогичным внутренним документом.
Настоящее Положение публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Компании на основании ч. 2, ст. 18.1. Закона о персональных данных.
2.5. Настоящее Положение является обязательным для исполнения всеми сотрудниками Компании, имеющими доступ к персональным данным Пользователей.
2.6. В Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну Российской Федерации.
2.7. Цели настоящего Положения:
· Обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
· Исключение несанкционированных действий (неправомерный или случайный доступ) любых третьих лиц к персональным данным Пользователей, а равно уничтожения, изменения, блокирования, копирования и распространения персональных данных.
· Обеспечение правового и нормативного режима конфиденциальности и контроля персональной информации Пользователей Сайта.
· Защита конституционных прав граждан на личную тайну, конфиденциальность сведений, составляющих персональные данные, и предотвращение возникновения возможной угрозы безопасности Пользователей, зарегистрированных в Личном кабинете на Сайте.
2.8. Принципы обработки персональных данных:
· обработка персональных данных должна осуществляться на законной и справедливой основе;
· обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
· содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
· при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных;
· хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, Договором БПА, Договором или Пользовательским соглашением, стороной которого является Пользователь.
3. Состав персональных данных Пользователей.
3.1. Пользователь самостоятельно предоставляет (при регистрации на Сайте Системы) следующие данные.
Юридическое лицо:
перечень идентифицирующих его сведений является исчерпывающим, и содержится в ЕГРЮЛ, идентификации подлежат лица, совершающие от имени и в интересах Общества юридически значимые действия, а именно руководитель, учредитель, доверенное лицо (действующее на основании доверенности) и бенефициарный владелец.
Пользователь заполняет соответствующие электронные формы Анкет на Сайте Системы, в которых указывает персональные данные Руководителя, Бенефициарного владельца, Лица, уполномоченного действовать от имени Общества на основании доверенности или иного документа (при наличии такого представителя):
· Фамилию, Имя и Отчество (последнее - при наличии),
· дату рождения,
· гражданство,
· данные документа, удостоверяющего личность (серия и номер паспорта, наименование подразделения, выдавшего документ, дата выдачи документа, адрес регистрации),
· адрес фактического проживания,
· идентификационный номер налогоплательщика (ИНН),
· СНИЛС,
· номер сотового телефона,
· адрес электронной почты.
Дополнительно Пользователь прикладывает к формам Анкет сканы корпоративных документов Общества:
· Решение (Протокол) об учреждении (создании) Общества,
· Решение (Протокол) об избрании Единоличного исполнительного органа Общества,
· Приказ о вступлении в должность Единоличного исполнительного органа Общества,
· Устав,
· Свидетельство ИНН,
· Свидетельство о государственной регистрации юридического лица (ОГРН)/Лист записи ЕГРЮЛ,
а также скан паспорта Единоличного исполнительного органа Общества и скан Доверенности уполномоченного представителя Общества (при наличии такого представителя).
Некоммерческая организация (НКО) (в лице Руководителя или доверенного лица):
Пользователь заполняет соответствующую электронную форму Анкеты на Сайте Системы, в которой указывает персональные данные Руководителя, Лица, уполномоченного действовать
от имени Общества на основании доверенности или иного документа (при наличии такого представителя):
· Фамилию, Имя и Отчество (последнее - при наличии),
· гражданство,
· дату рождения,
· данные документа, удостоверяющего личность (серия и номер паспорта, наименование подразделения, выдавшего документ, дата выдачи документа, адрес регистрации),
· адрес фактического проживания,
· идентификационный номер налогоплательщика (ИНН),
· СНИЛС,
· номер сотового телефона,
· адрес электронной почты.
Дополнительно Пользователь прикладывает к формам Анкет сканы корпоративных документов Общества:
· Решение (Протокол) об учреждении (создании) Общества,
· Решение (Протокол) об избрании Единоличного исполнительного органа Общества,
· Приказ о вступлении в должность Единоличного исполнительного органа Общества,
· Устав,
· Свидетельство ИНН,
· Свидетельство о государственной регистрации юридического лица (ОГРН)/Лист записи ЕГРЮЛ,
· Свидетельство о государственной регистрации организации, выданное Министерством юстиции (для организаций, зарегистрированных до 2006г.) или Федеральной регистрационной службой (для организаций, зарегистрированных после 2006 г.),
а также скан паспорта Руководителя НКО и скан Доверенности уполномоченного представителя Общества (при наличии такого представителя).
Индивидуальный предприниматель:
Пользователь заполняет соответствующую электронную форму Анкеты на Сайте Системы, в которой указывает:
· Фамилию, Имя и Отчество (последнее - при наличии),
· гражданство,
· дату рождения,
· данные документа, удостоверяющего личность (серия и номер паспорта, наименование подразделения, выдавшего документ, дата выдачи документа, адрес регистрации),
· адрес фактического проживания,
· идентификационный номер налогоплательщика (ИНН),
· СНИЛС,
· номер сотового телефона,
· адрес электронной почты.
Физическое лицо, зарегистрированное в качестве самозанятого:
Пользователь заполняет соответствующую электронную форму Анкеты на Сайте Системы, в которой указывает:
· Фамилию, Имя и Отчество (последнее - при наличии),
· данные документа, удостоверяющего личность (серия и номер паспорта, наименование подразделения, выдавшего документ, дата выдачи документа, адрес регистрации),
· справка о регистрации в ИФНС в качестве самозанятого.
Плательщик (физическое лицо, осуществляющее безналичное перечисление денежных средств):
Плательщик на платежной странице Сервиса Robokassa, указывает реквизиты ЭСП и e-mail.
Вся информация, предоставленная Пользователем, должна быть действительной на дату получения такой информации Компанией.
3.2. Пользователь предоставляет Компании необходимую достоверную и актуальную Пользовательскую информацию для формирования Личного кабинета, включая уникальные для каждого Пользователя Логин (комбинацию из латинских букв и цифр для входа в Личный кабинет) и электронную почту.
3.3. После получения Сведений Компания проверяет предоставленные Сведения на полноту и достоверность, проверяет подлинность (действительность) предоставленных документов, соответствие представленных документов информации и данным, указанным в электронной форме Анкеты. Для указанных целей Компания использует информацию, содержащуюся в открытых информационных системах органов государственной власти Российской Федерации, Пенсионного фонда Российской Федерации, Федерального фонда обязательного медицинского страхования, размещенных в сети "Интернет".
3.4. Автоматически собираемые данные:
· IP-адрес,
· данные из файлов cookie,
· информация о браузере Пользователя, технические характеристики оборудования и программного обеспечения, используемых Пользователем,
· дата и время доступа к сайту, адреса запрашиваемых страниц и иная подобная информация.
При просмотре веб-сайтов Компании, происходит автоматический сбор (из cookies) следующих обезличенных статистических данных о Пользователе, в том числе:
· тип выполненного на web-сайте Сервиса действия (клик, наведение курсора и т.п.);
· дата и время выполнения действия;
· URL страницы;
· Referer;
· IP (без возможности работы с IP-адресами в статистике);
· User-Agent;
· ClientID (идентификатор браузера по файлу cookie);
· экранное разрешение;
· класс HTML-элемента, на который происходит клик;
· данные об информации, просматриваемой Пользователем в интерфейсе Сервисов Компании;
· данные о фактах заполнения форм/обращений на web-сайтах Сервисов Компании, включая ошибки при их заполнении.
3.5. Указанные в пункте 3.1 статьи 3 Положения персональные данные обрабатываются в целях:
· идентификации Пользователей в рамках исполнения Компанией обязательств по Договору БПА,
· обеспечения Компанией исполнения Пользовательского соглашения, Соглашений (Договоров) об использовании Сервисов Компании, стороной которых является Пользователь.
А также для предоставления Пользователю доступа в Личный кабинет и совершения операций, предусмотренных функционалом Личного кабинета, предоставление персонализированных сервисов, улучшения качества работы Сайта, проведения на основе обезличенных персональных данных статистических и иных исследований.
3.6. Обработка персональных данных Пользователей производится с их Согласия.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных (Пользователем) для передачи, распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Пользователь, регистрирующийся на Сайте с целью получения доступа к сервисам Компании, самостоятельно проставляет отметку в соответствующей форме под Согласием на обработку персональных данных, Согласием на передачу персональных данных (за исключением Плательщика) и Согласием на распространение персональных данных (за исключением Плательщика), тем самым выражает свое полное Согласие на автоматизированную, а также без использования средств автоматизации, обработку своих персональных данных в соответствии со статьей 9 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
3.7. Согласие на обработку персональных данных предоставляются с момента процедуры регистрации на Сайте Системы, путем заполнения соответствующей Формы и/или Анкеты для прохождения идентификации в соответствии с требованиями действующего законодательства Российской Федерации, Договора об оказании Платежных услуг, Договора БПА и действительно в течение 5 (Пяти) лет с даты прекращения обязательств Сторон по Договорам либо с даты получения Компанией надлежащим образом оформленного письменного отзыва согласия на обработку персональных данных.
3.8. Персональные данные, предоставленные Пользователем Компании до 2020 года, считаются полученными Компанией с полного и добровольного Согласия Пользователя. Согласие Пользователя на обработку его персональных данных, в соответствии со статьей 9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», подтверждает факт прохождения процедуры регистрации на Сайте в целях получения доступа к Сервисам Компании.
4. Конфиденциальность персональных данных
4.1. Сведения, перечисленные в статье 3 настоящего Положения, являются конфиденциальными. Компания обеспечивает конфиденциальность персональных данных и обязана не допускать их распространения без согласия Пользователей, либо наличия иного законного основания.
4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных клиентов распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
4.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или опубликования их в таких источниках, как СМИ, Интернет, ЕГРЮЛ и иных публичных государственных реестрах.
5. Права Пользователя (Субъекта персональных данных).
5.1. Пользователь имеет право на получение сведений о Компании, о месте ее нахождения, о наличии у Компании персональных данных, относящихся к соответствующему Субъекту персональных данных, а также на ознакомление с такими персональными данными.
5.2. Пользователь вправе требовать от Компании уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.3. Сведения о наличии персональных данных, должны быть предоставлены Пользователю Компанией в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных.
5.4. Доступ к своим персональным данным предоставляется Пользователю или его законному представителю Компанией при личном обращении либо при получении письменного запроса Субъекта персональных данных или его законного представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность Пользователя или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Пользователя или его законного представителя. Запрос может быть направлен в электронной форме, через Личный кабинет на Сайте.
5.5. Пользователь имеет право на получение от Компании при личном обращении к ней либо при получении Компанией письменного запроса от Пользователя следующей информации, касающейся обработки его персональных данных, в том числе содержащей:
· подтверждение факта обработки персональных данных Компанией, а также цель такой обработки;
· способы обработки персональных данных, применяемые Компанией;
· наименование и местонахождение Компании, сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
· перечень обрабатываемых персональных данных и источник их получения;
· сроки обработки персональных данных, в том числе сроки их хранения;
· сведения о том, какие юридические последствия для Субъекта персональных данных может повлечь за собой обработка его персональных данных.
5.6. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.
5.7. Субъект персональных данных вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав Субъектов персональных данных или в судебном порядке.
5.8. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
6. Права и обязанности Компании
6.1. Обработка и передача персональных данных Пользователей осуществляется Компанией с Согласия Субъектов персональных данных. Обязанность представить доказательство получения Согласия на обработку персональных данных по основаниям данного пункта в соответствии с законом возлагается на Компанию.
6.2. По факту личного обращения либо при получении письменного запроса Субъекта персональных данных или его законного представителя Компания, при наличии оснований, обязана в течение 30 (Тридцати) календарных дней с даты обращения либо получения запроса Субъекта персональных данных или его законного представителя предоставить сведения в объеме, установленном Федеральным законом. Такие сведения должны быть предоставлены Пользователю в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Компания вправе продлить указанный срок до 60 (Шестьдесят) календарных дней с учетом сложности и количества запросов. Компания информирует Пользователя или его законного
представителя о таком продлении срока, с указанием причин, послуживших основанием для такого продления, посредством услуг почты РФ или через Личный кабинет Пользователя.
6.3. В случае отказа в предоставлении Субъекту персональных данных или его законному представителю, при обращении либо при получении запроса Субъекта персональных данных или его законного представителя, информации о наличии персональных данных о соответствующем Субъекте персональных данных, Компания обязана дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного Федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 (Тридцать) календарных дней со дня обращения Субъекта персональных данных или его законного представителя, либо с даты получения запроса Субъекта персональных данных или его законного представителя.
6.4. В случае получения запроса от Уполномоченного органа по защите прав Субъектов персональных данных о предоставлении информации, необходимой для осуществления деятельности указанного органа, Компания обязана сообщить такую информацию в Уполномоченный орган в течение 30 (Тридцать) календарных дней с даты получения такого запроса.
6.5. В случае выявления неправомерной обработки персональных данных при обращении или по запросу Субъекта персональных данных или его представителя либо Уполномоченного органа по защите прав Субъектов персональных данных Компания обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.
6.6. В случае выявления неправомерной обработки персональных данных, осуществляемой Компанией, последний в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных. Об устранении допущенных нарушений Компания обязана уведомить Субъекта персональных данных или его законного представителя, а в случае если обращение Субъекта персональных данных или его законного представителя либо запрос Уполномоченного органа по защите прав Субъектов персональных данных были направлены Уполномоченным органом по защите прав Субъектов персональных данных, также указанный орган.
6.7. В случае достижения цели обработки персональных данных Компания обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 (Тридцать) рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено Договором БПА или Договором (Соглашением), стороной которого является Субъект персональных данных.
6.8. В целях обеспечения прав и свобод человека и гражданина Компания и её сотрудники при обработке персональных данных Пользователя обязаны соблюдать следующие общие требования:
· При определении объема и содержания персональных данных Пользователя подлежащих обработке, сотрудники Компании руководствуются Федеральным законом «О персональных данных», Федеральным законом "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", Федеральным законом «О национальной платежной системе», Пользовательским соглашением. Компания получает персональные данные Пользователя только в объеме, необходимом для достижения законных целей сбора и обработки персональных данных.
· Сотрудники Компании не имеют права обрабатывать персональные данные Пользователя о его расовой, национальной принадлежности, судимости, политических, религиозных и иных убеждениях и частной жизни.
7. Обработка персональных данных
7.1. Обработка персональных данных осуществляется Компанией исключительно для достижения целей, определенных настоящим Положением, Пользовательским соглашением, Политикой конфиденциальности и Договором.
7.2. Обработка персональных данных Компанией заключается:
в сборе, хранении, уточнении (обновлении, изменении), передача (предоставление, распространение, доступ), обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа.
7.3. Обработка персональных данных ведется:
методом смешанной (в том числе автоматизированной) обработки.
7.4. К обработке персональных данных Пользователя могут иметь доступ только сотрудники Компании, чьи должностные обязанности непосредственно связаны с доступом и работой с персональными данными Пользователя.
7.5. Сотрудники Компании, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
8. Уничтожение персональных данных
8.1. Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных на Сайте и/или в результате которых уничтожаются материальные носители персональных данных.
8.2. Субъект персональных данных вправе в письменной форме требовать уничтожения своих персональных данных.
В случае соответствующего обращения Субъекта персональных данных, Компания обязана, произвести необходимые изменения, уничтожить персональные данные по предоставлении Субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему Субъекту и обработку которых осуществляет Компания, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
8.3. О внесенных изменениях и предпринятых мерах Компания обязана уведомить Субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого Субъекта были переданы.
8.4. Компания уничтожает персональные данные Пользователя не позднее 7 (Семи) рабочих дней с даты поступления соответствующего письменного требования от Пользователя.
8.5. Уничтожение персональных данных осуществляется путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением.
8.6. В случае отсутствия возможности уничтожения персональных данных Компания осуществляет блокирование таких персональных данных.
8.7. В случае обращения в Компанию Пользователя с письменным требованием об уничтожении актуальной информации по персональным данным, Компания прекращает обработку персональных данных Пользователя, за исключением операции хранения и блокирования. Хранение персональных данных Пользователя осуществляется в соответствии с п. 11.3. статьи 11 настоящего Положения.
9. Блокирование персональных данных.
9.1. Под блокированием персональных данных понимается временное прекращение Компанией операций по их обработке по требованию Пользователя при выявлении им недостоверности обрабатываемых сведений или неправомерных, по мнению субъекта персональных данных, действий в отношении его данных.
9.2. Блокирование персональных данных на Сайте осуществляется на основании письменного заявления от Субъекта персональных данных.
10. Передача персональных данных
10.1. Передача, распространение персональных данных осуществляется Компанией, в рамках Договора о начале реализации Программы сотрудничества, привлечении банковского платежного агента – платежного агрегатора и осуществления операций платежного агрегатора посредством Системы Robokassa (Договор БПА) и Договоров (Соглашений) об использовании Сервисов Компании, а именно:
передача персональных данных осуществляется Компанией:
· в Расчетные банки, в рамках Договора о начале реализации Программы сотрудничества, привлечении банковского платежного агента – платежного агрегатора и осуществления операций платежного агрегатора посредством Системы Robokassa (Договор БПА). Перечень и информация о Расчетных банках указаны в Приложении № 1 к Положению о защите и обработке персональных данных.
распространение персональных данных осуществляется Компанией:
· в кредитные организации, участвующие при осуществлении переводов в рамках предоставляемых Сервисов Компании, в целях соблюдения должного уровня безопасности онлайн платежей, совершаемых с использованием электронных средств платежа посредством Сервисов Компании, Компания может передавать сведения, перечень которых устанавливается протоколами безопасности платежных систем, банками-эквайерами, эмитентами электронных средств платежа.
10.2. Передача, распространение персональных данных осуществляется Компанией на основании Согласия субъекта персональных данных (Пользователя) на передачу персональных данных, Согласия субъекта персональных данных на распространение персональных данных и оформляются отдельно от согласия субъекта персональных данных на обработку его персональных данных.
10.3. Расчетные банки обеспечивают конфиденциальность персональных данных и безопасность персональных данных при их обработке.
10.4. Передача сведений может носить обязательный характер, например, в части сведений о пользовательском оборудовании: IP-адрес, ОС, географические данные, ID/тип оборудования, используемый канал: браузер/ приложение, платежная авторизация, идентификация/ верификация или факультативный характер, например, в части сведений об индикаторах совпадения адресов, информации об аккаунте в системе поставщика, адресе электронной почты, номере мобильного телефона, о сумме платежа, об уровне риска, установленного поставщиком, MCC.
10.5. Передача персональных данных государственным органам осуществляется в рамках их полномочий в соответствии с применимым законодательством.
11. Хранение персональных данных
11.1. Персональные данные Пользователей хранятся в электронном виде на территории России.
11.2. Хранение персональных данных Пользователей осуществляться не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен Федеральным законом, Договором БПА, Договором или Пользовательским соглашением.
11.3. Компания хранит документы и информацию, содержащую сведения для идентификации личности, не менее 5 (Пяти) лет со дня прекращения отношений (действия Договора).
Таким образом, в течение пяти лет со дня прекращения отношений, персональные данные Пользователей обрабатываются только в части хранения, в силу ст. 14 Федерального закона от 27.06.2011 г. № 161-ФЗ «О национальной платежной системе» и п. 4 ст. 7 Федерального закона
от 07.08. 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
12. Защита персональных данных Пользователей
12.1. Компания обязана при обработке персональных данных Пользователей принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
12.2. Защита персональных данных Пользователей, хранящихся в электронных базах данных Компании, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается сотрудниками Компании.
12.3. К защищаемым сведениям о Пользователе относятся данные, позволяющие идентифицировать Субъект персональных данных и/или получить о нем дополнительные сведения, предусмотренные законодательством и настоящим Положением.
12.4. К защищаемым объектам персональных данных относятся:
· объекты информатизации и технические средства автоматизированной обработки информации, содержащей персональные данные;
· каналы связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;
· отчуждаемые носители информации на магнитной, магнитно-оптической и иной основе, применяемые для обработки персональных данных.
12.5. Обеспечение безопасности персональных данных достигается, в частности:
· Назначением лица, ответственного за обработку персональных данных, которое осуществляет обучение и инструктаж, внутренний контроль за соблюдением Компанией и его сотрудниками требований к защите персональных данных;
· определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
· применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
· применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
· оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
· учетом машинных носителей персональных данных;
· обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
· установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
· контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также
иные неправомерные действия при их обработке в информационной системе персональных данных.
12.6. Система защиты персональных данных должна соответствовать требованиям Федерального закона № 152-ФЗ «О персональных данных» и Постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Система защиты персональных данных должна обеспечивать:
· своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
· недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
· возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· постоянный контроль за обеспечением уровня защищенности персональных данных.
Средства защиты информации, применяемые в информационных системах, должны в установленном порядке проходить процедуру оценки соответствия.
12.7. Правом доступа к персональным данным Пользователей обладают Генеральный директор Компании и лица, наделенные соответствующими полномочиями в соответствии со своими служебными обязанностями.
Перечень лиц, имеющих доступ к персональным данным Пользователей, утверждается Генеральным директором Компании.
Допуск к персональным данным Пользователей других сотрудников Компании, не имеющих надлежащим образом оформленного доступа, запрещается.
12.8. Копировать персональные данные Пользователей разрешается исключительно в служебных целях с письменного разрешения Генерального директора Компании.
12.9. Ответы на письменные запросы уполномоченных государственных органов, других организаций и учреждений о персональных данных Пользователей даются только с письменного согласия Субъектов персональных данных, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Компании, и в том объеме, который позволяет не разглашать излишний объем персональных данных.
13. Заключительные положения
13.1. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных настоящее Положение действует в части, не противоречащей действующему законодательству до приведения его в соответствие с такими.
13.2. Условия настоящего Положения устанавливаются, изменяются и отменяются Компанией в одностороннем порядке без предварительного уведомления Пользователя. С момента размещения на Сайте новой редакции Положения предыдущая редакция считается утратившей свою силу. В случае существенного изменения условий настоящего Соглашения Компания извещает об этом Пользователей путем размещения на Сайте соответствующего сообщения.
Приложение № 1 к Положению о защите и обработке персональных данных, утвержденных Приказом Генерального директора ООО «РОБОКАССА»
№ 72/1/р от 09.02.2022 г.
ПЕРЕЧЕНЬ РАСЧЕТНЫХ БАНКОВ
ПAO «Промсвязьбанк» - ОГРН 1027739019142; ИНН 7744000912; действует в соответствии с Генеральной лицензией Банка России на осуществление банковских операций No 3251 от 17.12.2014г.; местонахождение (адрес): 109052, г. Москва, Смирновская ул., д. 10, стр. 22;https://www.psbank.ru
Периодичность выхода дайджеста - 1 раз в месяц. На указанный e-mail отправлено письмо-подтверждение.