Политика в отношении обработки персональных данных

Термины и определения

1. Общие положения

• 1.1 Настоящая Политика в отношении обработки персональных данных ТОО «МФО «CreditBar (КредитБар)» (далее — Политика) разработана в целях обеспечения ТОО «МФО «CreditBar (КредитБар)» (далее —МФО) обработки персональных данных (далее — ПДн) с учетом законных прав и интересов субъектов ПДн в соответствии с требованиями законодательства при обработке и защите ПДн.
• 1.2 Политика содержит описание:
• 1.2.1 целей и правовых оснований обработки ПДн;
• 1.2.2 категорий и способов обработки ПДн;
• 1.2.3 принципов обработки ПДн;
• 1.2.4 порядка и условий обработки ПДн;
• 1.2.5 сведений об обработке пользовательских данных;
• 1.2.6 прав и обязанностей субъектов ПДн и Общества;
• 1.2.7 мер обеспечения безопасности обработки ПДн.
• 1.3 Настоящая политика является общедоступным документом, размещается на общедоступных ресурсах МФО и вступает в действие с момента ее утверждения.
• 1.4 Пересмотр настоящей Политики осуществляется в случае изменений законодательства РК в области ПДн, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам других контрольных мероприятий, но не реже 1 раза в год.
• 1.5 Ответственность за актуальность Политики и организацию реализации положений, описанных в Политике, возлагается на ответственного за организацию обработки ПДн, назначенного на основании приказа МФО.
• 1.6 Ответственность за общую реализацию мер защиты ПДн возлагается на ответственного за обеспечение безопасности ПДн в информационных системах, назначенного на основании приказа МФО.
• 1.7 Ответственность за соблюдение мер защиты работниками МФО при обработке персональных данных также возлагается и на руководителей соответствующих структурных подразделений.
• 1.8 Лица, виновные в нарушении норм, регулирующих получение, обработку, хранение и защиту обрабатываемых в МФО ПДн, несут ответственность, предусмотренную законодательством Республики Казахстан.

2. Цели и основания обработки персональных данных

• 2.1. МФО осуществляет обработку ПДн в следующих целях:
• 2.1.1. предоставления потребительского кредита (займа);
• 2.1.2. проведения мероприятий, предшествующих заключению договора о предоставлении микрокредита;
• 2.1.3. предоставления микрофинансовых услуг физическим лицам;
• 2.1.4. выполнения договорных обязательств;
• 2.1.5. проведения расчетов с клиентами;
• 2.1.6. осуществления трудовых отношений с работниками МФО;
• 2.1.7. документального фиксирования информации в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
• 2.1.8. обработки жалоб, заявлений. претензий;
• 2.1.9. обеспечения возврата просроченной задолженности;
• 2.1.10 выполнения обязательств и работ в соответствии с заключенными договорами гражданско-правового характера;
• 2.1.11. предоставления информации по запросам соответствующих служб и государственных органов в случаях, предусмотренных действующим законодательством;
• 2.1.12. ведения бухгалтерского учета;
• 2.1.13. исполнения судебных актов, актов других государственных органов или должностных лиц;
• 2.1.14. осуществления административно-хозяйственной деятельности;
• 2.1.15. улучшения качества работы сервиса и его содержания;
• 2.1.16. предоставления сведений уведомительного или маркетингового характера, в том числе о новых финансовых продуктах, услугах, проводимых акциях, мероприятиях.
• 2.2. Правовые основания обработки ПДн:
• 2.2.1. Конституция РК;
• 2.2.2. Гражданский кодекс РК;
• 2.2.3. Налоговый кодекс РК;
• 2.2.4. Трудовой кодекс РК;
• 2.2.5. Закон «О микрофинансовой деятельности»;
• 2.2.6. Закон «О персональных данных и их защите»;
• 2.2.7. Закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма»;
• 2.2.8. Закон «О товариществах с ограниченной и дополнительной ответственностью»;
• 2.2.9. Закон «О кредитных бюро и формировании кредитных историй в Республике Казахстан»;
• 2.2.10 Закон «О восстановлении платежеспособности и банкротстве граждан Республики Казахстан»;
• 2.2.11.Устав ТОО «МФО «CreditBar (КредитБар)» ;
• 2.2.17. иные нормативно-правовые акты.

3. Категории и способы обработки персональных данных

• 3.1. МФО обрабатывает ПДн следующих категории субъектов ПДн:
• 3.1.1. физические лица (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с МФО;
• 3.1.2. работники (субъекты), состоящие в трудовых отношениях с МФО;
• 3.1.3. неизвестные третьи лица, от которых исходит или может исходить криминальная угроза;
• 3.1.4. физические лица, обратившиеся в МФО с запросом;
• 3.1.5. контрагенты (представители юридических лиц);
• 3.1.6. претенденты на замещение вакантных должностей.
• 3.2. Категории ПДн, обрабатываемых в МФО, определяется с учетом целей обработки ПДн, указанных в пункте 2.1 настоящей Политики. МФО не обрабатывает ПДн, которые не соответствуют принципу достаточности для достижения целей обработки и являются избыточными по отношению к целям обработки.
• 3.3. МФО осуществляет обработку ПДн следующими способами:
• 3.3.1. автоматизированная обработка с передачей по внутренней сети Общества;
• 3.3.2. автоматизированная обработка с передачей по сети Интернет;
• 3.3.3. обработка без использования средств автоматизации.

4. Принципы обработки персональных данных

• 4.1. Обработка ПДн МФО осуществляется на основе принципов:
• 4.1.1. соблюдения конституционных прав и свобод человека и гражданина;
• 4.1.2. законности;
• 4.1.3.конфиденциальности персональных данных ограниченного доступа;
• 4.1.4.равенства прав субъектов, собственников и операторов;
• 4.1.5. обеспечения безопасности личности, общества и государства.
• 4.2. Работники МФО, допущенные к обработке ПДн, обязаны:
• 4.2.1. знать и неукоснительно выполнять положения:
• 4.2.1.1. законодательства Республики Казахстан в области ПДн;
• 4.2.1.2. настоящей Политики;.
• 4.2.1.3. локальных актов МФО по вопросам обработки ПДн.
• 4.2.2. обрабатывать ПДн только в рамках выполнения своих должностных обязанностей;
• 4.2.3. сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
• 4.2.4. не разглашать ПДн, обрабатываемые в МФО;
• 4.2.5. сообщать об известных фактах нарушения требований настоящей Политики Лицу, ответственному за организацию обработки ПДн в МФО.
• 4.3. Безопасность ПДн в МФО обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности ПДн, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем ПДн в случае реализации угроз

5. Порядок и условия обработки персональных данных

• 5.1. Обработка ПДн осуществляется с согласия субъекта ПДн кроме случаев, установленных законодательством РК.
• 5.2. В МФО организованы прием и обработка обращений и запросов субъектов ПДн или их представителей, и (или) осуществляется контроль за приемом и обработкой таких обращений и запросов.
• 5.3. Согласие на обработку ПДн может быть дано/отозвано посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия. При сборе и (или) обработке персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц, согласие предоставляется посредством государственного сервиса. Субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства.
• 5.3.1. В случае удовлетворения заявления МФО прекращает обработку ПДн или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению МФО) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению МФО), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между МФО и субъектом ПДн либо если МФО не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законодательством. МФО в течение одного рабочего дня блокируют персональные данные, относящиеся к субъекту ПДн, в случае наличия информации о нарушении условий их сбора, обработки. МФО в течение одного рабочего дня уничтожают персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан.
• 5.5. ПДн не раскрываются третьим лицам, не распространяются иным образом без согласия субъекта ПДн, если иное не предусмотрено законодательством РК.
• 5.6. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов), получают доступ к ПДн, обрабатываемым в МФО, в объеме и порядке, установленном законодательством РК.
• 5.7. В целях подтверждения достоверности сведений, указанных субъектом ПДн в процессе оформления заявки на предоставление микрокредита, а также получения информации, необходимой для принятия решения о выдаче ему микрокредита, МФО вправе направлять запросы в бюро кредитных историй только с обязательного согласия субъекта ПДн. МФО вправе самостоятельно выбрать конкретное бюро кредитных историй для направления соответствующих запросов.
• 5.8. Срок хранения ответов на обращения (запросы) — 5 (пять) лет с даты окончания срока, установленного для подготовки ответа.
• 5.9. МФО обрабатывает ПДн работников в течение срока действия трудового договора, если иное не предусмотрено законодательством.
• 5.10. В случае отказа в приеме на работу сведения, предоставленные претендентами на замещение вакантных должностей, уничтожаются в течение 30 дней после принятия МФО соответствующего решения.
• 5.11. В соответствии с п. 7 «Правил оформления согласия субъектов кредитных историй на предоставление информации о них в кредитные бюро», утвержденных Постановлением Правления Национального Банка РК № 53 от 27.03.2017 г., МФО получает согласие субъекта кредитной истории на выдачу кредитного отчета из кредитного бюро (далее — согласие на выдачу кредитного отчета) при рассмотрении заявления на заключение договора о предоставлении займа либо иной сделки между поставщиком информации и субъектом кредитной истории. Согласие на выдачу кредитного отчета оформляется в рамках заявления субъекта кредитной истории на заключение договора о предоставлении займа либо иной сделки между поставщиком информации и субъектом кредитной истории и действует до окончания срока действия заключенного(ой) на основании данного заявления договора о предоставлении займа или иной сделки между поставщиком информации и субъектом кредитной истории, при котором(ой) у субъекта кредитной истории возникают денежные обязательства перед поставщиком информации.
• 5.12. В соответствии с п 3-1 ст. 29 Закона «О кредитных бюро и формировании кредитных историй в Республике Казахстан», на МФО возложена обязанность хранить экземпляр согласие субъектов кредитной истории о выдаче кредитного отчета о них на бумажном носителе или в электронной форме не менее десяти лет с даты получения согласия субъекта кредитной истории. Согласие субъекта кредитной истории о выдаче кредитного отчета, полученное при заключении договора договора о предоставлении микрокредита, должно храниться получателями кредитных отчетов не менее пяти лет со дня окончания действия соответствующего договора, но не менее десяти лет с даты получения согласия субъекта кредитной истории.
• 5.13. В соответствии с п. 4. ст.11 Закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма» документы и сведения, полученные по результатам надлежащей проверки клиента, включая досье клиента, сведения о счете (для банков и организаций, осуществляющих открытие и ведение счетов), и переписку с ним, подлежат хранению субъектами финансового мониторинга не менее пяти лет со дня прекращения деловых отношений с клиентом. Документы и сведения об операциях с деньгами и (или) иным имуществом, в том числе подлежащих финансовому мониторингу, и подозрительных операциях, а также результаты изучения всех сложных, необычно крупных и других необычных операций подлежат хранению субъектами финансового мониторинга не менее пяти лет после совершения операции.

6. Обработка пользовательских данных

• 6.1. МФО осуществляет обработку пользовательских данных посетителей сайта и пользователей мобильного приложения в целях обеспечения возможности использования сервисов МФО, улучшения качества, содержания и продвижения сервисов, проведение ретаргетинга, проведение статистических исследований и обзоров.
• 6.2. МФО осуществляется обработка следующих пользовательских данных:
• 6.3. название и версия операционной системы устройства, тип подключения и наименование оператора связи, файлы cookie (куки), а также сведения о пользователе, включающие IP-адрес, поисковые запросы пользователя, время запроса, информация об используемом браузере (тип и версия браузера) и языке, даты и времени доступа к сайту, интернет-адреса веб-страниц, посещенных пользователем, тематику информации, размещенной на посещаемых пользователем интернет-ресурсах МФО, идентификатор пользователя; идентификатор устройства, географическое положение, количество просмотренных страниц, длительность пребывания на сайте, информация о касаниях пользователя по экрану, информация о функциях и элементах приложения, с которыми взаимодействует пользователь, снимки экрана приложения МФО, запросы, которые пользователь использовал при переходе на сайт, страницы, с которых были совершены переходы, сведения о мобильном устройстве, в т.ч, идентификатор устройства, сведения о местоположении, данные о настройках системы, информация об установленных на устройстве приложениях, метаданные фотоснимков, сделанных с камеры устройства, список контактов устройства, список прикрепленных к устройству аккаунтов, номер установленной(ых) SIM-карты и их IMEI, User-Agent пользователя, источник рекламного трафика, идентификатор сессии, время авторизации/регистрации, токен, время каждой проверки токена в привязке к системам, идентификаторы систем, посещаемых пользователем, версия мобильного приложения, логин пользователя сервиса, дата/время использования сервиса.
• 6.4. Сбор и обработка пользовательских данных осуществляется с использованием следующих сторонних аналитических сервисов: Google Tag Manager, Google Analytics, Firebase Analytics, Яндекс.Метрика, Appsflyer, UserX, Vk.com, Mail.ru, Amplitude, Mytarget, Microsoft Clarity, JuicyScore.
• 6.5. Пользовательские данные собираются и обрабатываются исключительно с согласия пользователя сайта/мобильного приложения безопасным образом, в том числе с применением современных методов шифрования.
• 6.6. МФО осуществляет передачу пользовательских данных третьим лицам только на законных основаниях: в случаях когда такая передача осуществляется для исполнения требований законодательства, и для целей исполнения договора, заключенного с Пользователем (при наличии согласия Пользователя).
• 6.7. Пользователь в любой момент может ограничить сбор пользовательских данных с использованием настроек браузера в части использованию cookies.
• 6.8. Пользовательские данные обезличены и не содержат персональных и иных данных, относящихся тем или иным способом к личности пользователя. На передаваемых снимках экрана скрываются все поля экрана, которые могут содержать персональные данные, а также финансовые и другие пользовательские данные.
• 6.9. МФО принимает необходимые организационные и технические меры для защиты личных и конфиденциальных пользовательских данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц. Обеспечение безопасности пользовательских данных достигается применением организационных и технических мер, указанных в разделе 8 настоящей Политики.

7. Права и обязанности субъектов персональных данных и МФО

• 7.1. Права и обязанности субъекта ПДн.
• 7.1.1. Субъект ПДн имеет право:
• 7.1.1.знать о наличии у МФО, а также третьего лица своих ПДн, а также получать информацию, содержащую: подтверждение факта, цели, источников, способов сбора и обработки ПДн; перечень персональных данных; сроки обработки ПДн, в том числе сроки их хранения;
• 7.1.2. требовать от МФО изменения и дополнения своих ПДн при наличии оснований, подтвержденных соответствующими документами;
• 7.1.3. требовать от МФО, а также третьего лица блокирования своих ПДн в случае наличия информации о нарушении условий сбора, обработки ПДн;
• 7.1.4. требовать от МФО а также третьего лица уничтожения своих ПДн, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом «О персональных данных и их защите» и иными нормативными правовыми актами Республики Казахстан;
• 7.1.5. отозвать согласие на сбор, обработку, распространение в общедоступных источниках, передачу третьим лицам и трансграничную передачу ПДн, кроме случаев, предусмотренных п. 2 ст. 8 Закона «О персональных данных и их защите»;
• 7.1.6. дать согласие (отказать) МФО на распространение своих ПДн в общедоступных источниках ПДн;
• 7.1.7. на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
• 7.1.8. на осуществление иных прав, предусмотренных Законом «О персональных данных и их защите» и иными законами Республики Казахстан.
• 7.1.4. Сведения, указанные в пункте 7.1.1 настоящей Политики, предоставляются субъекту ПДн или его представителю в течение 3 (трех) рабочих дней со дня получения обращения субъекта ПДн или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан. В случае отказа в предоставлении информации субъекту ПДн или его законному представителю, МФО в срок, не превышающий 3 (трех) рабочих дней со дня получения обращения, представляет мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан.
• 7.1.4.1. При этом для получения информации субъектом ПДн или его законным представителем направляется обращение (запрос) МФО либо третьему лицу письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.
• 7.1.4.2. МФО предоставляет сведения, субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
• 7.1.5. Субъект ПДн обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан
• 7.2. Обязанности и права МФО
• 7.2.1. МФО имеет право осуществлять сбор, обработку персональных данных в порядке, установленном Законом «О персональных данных и их защите» и иными нормативными правовыми актами Республики Казахстан.
• 7.2.2.МФО обязано:
• 1) утверждать перечень ПДн, необходимый и достаточный для выполнения осуществляемых им задач, если иное не предусмотрено законами Республики Казахстан;
• 1-1) утверждать документы, определяющие политику МФО в отношении сбора, обработки и защиты персональных данных;
• 2) принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты ПДн в соответствии с законодательством Республики Казахстан;
• 3) соблюдать законодательство Республики Казахстан о ПДн и их защите;
• 3-1) предоставлять по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения МФО требований Закона «О персональных данных и их защите»;
• 4) принимать меры по уничтожению ПДн в случае достижения цели их сбора и обработки, а также в иных случаях, установленных Законом «О персональных данных и их защите» и иными нормативными правовыми актами Республики Казахстан;
• 5) представлять доказательство о получении согласия субъекта ПДн на сбор и обработку его ПДн в случаях, предусмотренных законодательством Республики Казахстан;
• 6) по обращению субъектаПДн сообщать информацию, относящуюся к нему, в сроки, предусмотренные законодательством Республики Казахстан;
• 7) в случае отказа в предоставлении информации субъекту ПДн или его законному представителю представить мотивированный ответ в сроки, предусмотренные законодательством Республики Казахстан;
• 8) в течение одного рабочего дня: изменить и (или) дополнить ПДн на основании соответствующих документов, подтверждающих их достоверность, или уничтожить ПДн при невозможности их изменения и (или) дополнения; блокировать персональные данные, относящиеся к субъекту ПДн, в случае наличия информации о нарушении условий их сбора, обработки; уничтожить ПДн в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом «О персональных данных и их защите» и иными нормативными правовыми актами Республики Казахстан; снять блокирование ПДн в случае не подтверждения факта нарушения условий сбора, обработки ПДн.
• 9) предоставлять безвозмездно субъекту ПДн или его законному представителю возможность ознакомления с ПДН, относящимися к данному субъекту;
• 10) назначить лицо, ответственное за организацию обработки ПДн.
• 7.2.3. Лицо, ответственное за организацию обработки ПДн, обязано:
• 1) осуществлять внутренний контроль за соблюдением МФО и его работниками законодательства Республики Казахстан о ПДн и их защите, в том числе требований к защите ПДн;
• 2) доводить до сведения работников МФО положения законодательства Республики Казахстан о ПДн и их защите по вопросам обработки ПДн, требования к защите ПДн;
• 3) осуществлять контроль за приемом и обработкой обращений субъектов ПДн или их законных представителей.

8. Меры, направленные на обеспечение защиты персональных данных

• 8.1. В целях обеспечения защиты ПДн, в МФО реализованы следующие организационные и технические меры безопасности:
• 8.1.1. назначено лицо, ответственное за организацию обработки ПДн;
• 8.1.2. назначено лицо, ответственное за обеспечение безопасности ПДн;
• 8.1.3. определена политика в отношении обработки ПДн;
• 8.1.4. разработаны и утверждены внутренние организационные документы по вопросам обработки ПДн, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РК, устранение последствий таких нарушений;
• 8.1.5. осуществляется внутренний контроль и аудит соответствия обработки ПДн;
• 8.1.6. проведена оценка вреда, который может быть причинен субъектам ПДн;
• 8.1.7. организовано ознакомление работников, осуществляющих обработку ПДн, с законодательными и внутренними организационными документами по вопросам обработки и защиты ПДн;
• 8.1.8. опубликованы документы, определяющие политику в отношении обработки и реализуемых требованиях к защите ПДн;
• 8.1.9. определены угрозы обеспечения безопасности ПДн;
• 8.1.10 применяются средства защиты ПДн, включая антивирусное программное обеспечение, устройства межсетевого экранирования, сигнализации, видеонаблюдение, системы контроля доступа, сейфы, шкафы, запирающиеся на ключ и иные технические средства защиты;
• 8.1.11. обеспечено безопасное хранение носителей, содержащих ПДн;
• 8.1.12. ведется учет лиц, допущенных к работе с ПДн;
• 8.1.13. внедрена система разграничения и контроля доступа к информационным ресурсам и базам данных, содержащим ПДн;
• 8.1.14. осуществляется авторизация и аутентификация пользователей;
• 8.1.15. реализован учет машинных носителей информации, содержащих ПДн;
• 8.1.16. реализован комплекс мер, обеспечения внутриобъектового режима, направленных на ограничение и контроль доступа к ПДн;
• 8.1.17. используются средства резервного копирования восстановления информационных ресурсов, содержащих ПДн;
• 8.1.18. используются средства обнаружения фактов несанкционированного доступа к ПДн;
• 8.2. Меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн устанавливаются в соответствии с локальными нормативными актами МФО, регламентирующими вопросы обеспечения безопасности ПДн при их обработке в информационных системах ПДн МФО.