Политика в отношении обработки персональных данных пользователей сервиса «Люмера»
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее — «Политика») устанавливает порядок и условия работы с персональными данными физических лиц (далее — «Пользователи», «Субъекты персональных данных»), возникающие при использовании ими сайта https://lumera-pay.com/, мобильного приложения и чат-бота в мессенджере Телеграм https://t.me/Lumera_Pay_bot (далее совместно — «Сервис «Люмера»»), которые предназначены для выпуска Пользователям виртуальных карт международных платёжных систем и обеспечения их использования.
1.2. Оператором персональных данных является Общество с ограниченной ответственностью «АКТ ГРУПП», ОГРН 1257700398537, ИНН 9722105390, КПП 772201001, адрес: 111116, г. Москва, ул. Энергетическая, д. 4, помещ. 1/н, регистрационный номер в реестре операторов, осуществляющих обработку персональных данных: [УКАЗАТЬ НОМЕР В РЕЕСТРЕ РКН] (далее — «Оператор»). Оператор одновременно выполняет функции администратора Сервиса «Люмера» и Сайта.
1.3. Организация обработки персональных данных, обеспечение их безопасности и создание соответствующего структурного подразделения по безопасности персональных данных отнесены к компетенции единоличного исполнительного органа Оператора.
1.4. Под обработкой персональных данных в настоящей Политике понимается любое действие (операция) или совокупность действий с персональными данными, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных (далее — «Обработка персональных данных»).
2. Состав и категории обрабатываемых персональных данных
2.1. В связи с использованием Пользователем Сервиса «Люмера» Оператор может обрабатывать следующие сведения: фамилию, имя и отчество (при наличии); день, месяц и год рождения; номер телефона; адрес электронной почты; адрес регистрации; реквизиты документа, удостоверяющего личность (серия и номер паспорта, сведения о дате выдачи и выдавшем органе и т. п.); данные банковской карты; номер расчётного счёта; ИНН; файлы cookie; а также иные сведения, которые могут поступать Оператору в процессе использования Пользователем Сервиса «Люмера».
2.2. Оператор обрабатывает персональные данные Пользователей, относящиеся к общей категории персональных данных.
2.3. Состав и объём обрабатываемых сведений ограничены целями, перечисленными в разделе 3 Политики. Оператор гарантирует, что обрабатываемые данные не являются избыточными по отношению к заявленным целям их обработки.
3. Цели обработки персональных данных
3.1. Персональные данные Пользователей обрабатываются для того, чтобы:
- заключить с Пользователем Договор (публичную оферту об использовании Сервиса «Люмера») и исполнить его условия;
- зарегистрировать Учётную запись (Личный кабинет) Пользователя и обеспечить доступ к функциональности Сервиса «Люмера»;
- выпустить Пользователю виртуальную карту международной платёжной системы и обеспечить возможность её использования;
- проводить статистические и иные исследования, необходимые для поддержки работы, доработки и развития Сервиса «Люмера».
3.2. Использование персональных данных в иных целях возможно только тогда, когда это прямо требуется положениями законодательства Российской Федерации.
3.3. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Обработка, несовместимая с целями сбора персональных данных, не допускается.
4. Правовые основания обработки персональных данных
4.1. Оператор обрабатывает персональные данные на следующих правовых основаниях:
- согласие Пользователя Сервиса «Люмера» на обработку его персональных данных;
- Договор (публичная оферта об использовании Сервиса «Люмера»), заключаемый между Оператором и Пользователем;
- Федеральный закон «О персональных данных» от 27 июля 2006 года № 152-ФЗ, иные федеральные законы и принятые в соответствии с ними подзаконные акты. ## 5. Порядок и условия обработки персональных данных
5.1. В отношении персональных данных Оператор совершает следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
5.2. Обработка ведётся с использованием автоматизированных систем. Неавтоматизированная обработка применяется только в тех случаях, когда она необходима для исполнения требований законодательства Российской Федерации.
5.3. Обработка персональных данных начинается с момента их получения Оператором и продолжается в течение срока, необходимого для исполнения условий Договора, либо до момента отзыва Пользователем согласия на обработку.
5.4. Оператор соблюдает требования конфиденциальности персональных данных, установленные статьей 7 Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ, и принимает меры, предусмотренные частью 2 статьи 18.1 и частью 1 статьи 19 Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ.
5.5. Персональные данные могут передаваться органам дознания и следствия, а также иным уполномоченным органам по основаниям, установленным действующим законодательством Российской Федерации.
5.6. Основаниями для прекращения обработки персональных данных являются отзыв Субъектом персональных данных согласия на обработку, а также выявление фактов неправомерной обработки.
5.7. Персональные данные хранятся в форме, позволяющей определить Субъекта персональных данных, в течение сроков, необходимых для исполнения обязательств по Договору и указанных в согласии на обработку персональных данных.
5.8. Для хранения персональных данных Оператор использует базы данных, размещённые на территории Российской Федерации. Данные Субъектов персональных данных хранятся исключительно на электронных носителях.
5.9. До начала трансграничной передачи персональных данных Оператор уведомляет уполномоченный орган по защите прав субъектов персональных данных о своём намерении осуществлять такую передачу.
6. Меры по защите персональных данных
6.1. Для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий Оператор применяет комплекс правовых, организационных и технических мер.
6.2. Правовые меры включают анализ и применение законодательства о персональных данных, а также разработку и применение локальных актов Оператора в этой сфере.
6.3. Организационные меры включают отбор, обучение и расстановку персонала, повышение мотивации работников в вопросах защиты данных. Единоличным исполнительным органом Оператора утверждён перечень лиц, которым доступ к персональным данным необходим для исполнения трудовых обязанностей, а также создано структурное подразделение, отвечающее за безопасность персональных данных в информационной системе.
6.4. Технические меры включают, в частности:
- режим безопасности помещений, в которых размещена информационная система, исключающий неконтролируемое проникновение или пребывание лиц, не имеющих права доступа;
- обеспечение сохранности технологий Оператора, включая материальные носители персональных данных;
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, когда применение таких средств необходимо для нейтрализации актуальных угроз;
- недопущение передачи конфиденциальной информации Оператора, включая сведения, составляющие коммерческую тайну, неуполномоченным лицам;
- обеспечение информационной безопасности и бесперебойной работы технических и программных средств обработки персональных данных (средств вычислительной техники, информационно-вычислительных комплексов и сетей, средств и систем передачи, приёма и обработки данных, операционных систем, систем управления базами данных и средств защиты информации);
- предоставление доступа к электронному журналу сообщений только тем работникам Оператора, которым содержащиеся в нём сведения необходимы для исполнения трудовых обязанностей, с автоматической регистрацией в электронном журнале безопасности изменений полномочий работников по доступу к персональным данным;
- постоянный контроль уровня защищённости персональных данных.
6.5. Для входа в Учётную запись Субъект персональных данных использует индивидуальные средства подтверждения. Ответственность за их сохранность несёт Субъект персональных данных: он не вправе передавать доступ к Учётной записи третьим лицам и обязан принимать меры по обеспечению её конфиденциальности.
7. Права субъектов персональных данных
7.1. Субъект персональных данных вправе получить информацию, касающуюся обработки его персональных данных, в том числе содержащую:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым персональные данные могут быть раскрыты на основании договора с Оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, и источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления Субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ;
- информацию об осуществлённой или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ или другими федеральными законами.
7.2. Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
- обработка персональных данных, включая данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка осуществляется органами, осуществившими задержание Субъекта персональных данных по подозрению в совершении преступления, либо предъявившими ему обвинение по уголовному делу, либо применившими к нему меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- обработка осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
- обработка осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
7.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения, если данные являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8. Порядок направления и рассмотрения запросов субъектов персональных данных
8.1. Запросы, требования и претензии к Оператору (далее — «Запросы») направляются в форме электронного образа документа в формате PDF, содержащего графический образ подписи Субъекта персональных данных либо его представителя (с приложением доверенности или иного документа, подтверждающего полномочия). В Запросе указываются: номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя; сведения о дате выдачи этого документа и выдавшем его органе; сведения, подтверждающие участие Субъекта персональных данных в отношениях с Оператором (номер договора, дата его заключения, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором. Запросы направляются на адрес электронной почты: info@lumera-pay.com.
8.2. Сведения, перечисленные в пункте 7.1 Политики, предоставляются Субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения Оператором соответствующего Запроса. Этот срок может быть продлён не более чем на 5 рабочих дней при условии направления Субъекту персональных данных мотивированного уведомления с указанием причин продления. Сведения предоставляются в электронной форме, если иное не указано в обращении или Запросе.
8.3. Если сведения, указанные в пункте 7.1 Политики, и обрабатываемые персональные данные уже были предоставлены Субъекту персональных данных по его запросу, повторное обращение или повторный Запрос с той же целью допускаются не ранее чем через 30 дней после первоначального обращения или Запроса, если более короткий срок не установлен законодательством Российской Федерации. До истечения этого срока повторное обращение возможно, если запрошенные сведения и (или) персональные данные не были предоставлены для ознакомления в полном объёме. Повторный Запрос должен содержать обоснование его направления. Оператор вправе мотивированно отказать в исполнении повторного Запроса, не соответствующего этим условиям.
8.4. Оператор обязан сообщить Субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к этому Субъекту, и предоставить возможность ознакомления с ними при обращении либо в течение 10 рабочих дней с даты получения Запроса. Срок может быть продлён не более чем на 5 рабочих дней при направлении мотивированного уведомления с указанием причин продления.
8.5. При отказе в предоставлении информации о наличии персональных данных или самих персональных данных Оператор обязан дать мотивированный ответ в письменной форме со ссылкой на положение части 8 статьи 14 Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ или иного федерального закона, являющееся основанием для отказа, в срок, не превышающий 10 рабочих дней со дня обращения либо с даты получения Запроса. Указанный срок может быть продлён не более чем на 5 рабочих дней при направлении Субъекту персональных данных мотивированного уведомления.
8.6. Возможность ознакомления с персональными данными предоставляется Субъекту персональных данных или его представителю безвозмездно. В срок, не превышающий 7 рабочих дней со дня представления сведений, подтверждающих неполноту, неточность или неактуальность персональных данных, Оператор вносит в них необходимые изменения. В срок, не превышающий 7 рабочих дней со дня представления сведений, подтверждающих, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, Оператор уничтожает такие данные. О внесённых изменениях и принятых мерах Оператор уведомляет Субъекта персональных данных или его представителя и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта были переданы.
9. Действия при выявлении неправомерной обработки и инцидентах
9.1. При выявлении неправомерной обработки персональных данных по обращению или Запросу Субъекта персональных данных, его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор блокирует неправомерно обрабатываемые данные, относящиеся к этому Субъекту, или обеспечивает их блокирование (если обработка ведётся другим лицом по поручению Оператора) с момента обращения или получения Запроса на период проверки.
9.2. При выявлении неточных персональных данных Оператор аналогичным образом блокирует данные (или обеспечивает их блокирование) на период проверки, если блокирование не нарушает права и законные интересы Субъекта персональных данных или третьих лиц. Если факт неточности подтверждён, Оператор на основании представленных сведений или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование.
9.3. При выявлении неправомерной обработки, осуществляемой Оператором или лицом, действующим по его поручению, Оператор в срок, не превышающий 3 рабочих дней с даты выявления, прекращает неправомерную обработку или обеспечивает её прекращение таким лицом. Если обеспечить правомерность обработки невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки, уничтожает соответствующие персональные данные или обеспечивает их уничтожение. Об устранении нарушений или об уничтожении данных Оператор уведомляет Субъекта персональных данных или его представителя, а если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных — также указанный орган.
9.4. При установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных, Оператор с момента выявления такого инцидента им самим, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов персональных данных:
- в течение 24 часов — о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесённом их правам, и принятых мерах по устранению последствий, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по вопросам инцидента;
- в течение 72 часов — о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали его причиной (при наличии). ## 10. Прекращение обработки и уничтожение персональных данных
10.1. При достижении цели обработки персональных данных Оператор прекращает обработку или обеспечивает её прекращение (если обработка ведётся другим лицом по поручению Оператора) и уничтожает персональные данные или обеспечивает их уничтожение в срок, не превышающий 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом либо если Оператор не вправе осуществлять обработку без согласия Субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ или другими федеральными законами.
10.2. При отзыве Субъектом персональных данных согласия на обработку Оператор прекращает обработку или обеспечивает её прекращение и, если сохранение персональных данных более не требуется для целей обработки, уничтожает их или обеспечивает их уничтожение в срок, не превышающий 30 дней с даты поступления отзыва, с теми же исключениями, что указаны в пункте 10.1 Политики.
10.3. При обращении Субъекта персональных данных с требованием о прекращении обработки его персональных данных Оператор в срок, не превышающий 10 рабочих дней с даты получения требования, прекращает обработку или обеспечивает её прекращение, за исключением случаев, предусмотренных пунктами 2 – 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ. Указанный срок может быть продлён не более чем на 5 рабочих дней при направлении Субъекту персональных данных мотивированного уведомления с указанием причин продления.
10.4. Если уничтожить персональные данные в установленный срок невозможно, Оператор блокирует такие данные или обеспечивает их блокирование (если обработка ведётся другим лицом по поручению Оператора) и обеспечивает их уничтожение в срок не более 6 месяцев.
11. Заключительные положения
11.1. Политика размещается в свободном доступе на Сайте Сервиса «Люмера».
11.2. Оператор вправе вносить изменения в Политику. Новая редакция вступает в силу с момента её размещения на Сайте, если иное не предусмотрено новой редакцией Политики.