1.1. Политика обработки и защиты персональных данных (далее – Политика) составлена в соответствии с Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. (далее – Федеральный закон «О персональных данных») и излагает систему основных принципов, применяемых в отношении обработки персональных данных, осуществляемой Обществом с ограниченной ответственностью ООО «ОЗОН Банк» (ОГРН: 1227700133792) (далее – Оператор, Банк).
1.2. Политика вступает в силу с момента её опубликования на официальном сайте Оператора. Оператор вправе вносить изменения в Политику путём её опубликования в новой редакции.
1.3. Настоящая Политика определяет общие принципы, цели, порядок и условия обработки персональных данных работников Оператора и иных лиц, чьи персональные данные обрабатываются Оператором, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных.
1.4. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.
1.5. Политика распространяется на персональные данные, полученные как до, так и после вступления в силу настоящей Политики, и в том числе охватывает обработку таких данных на сайтах и (или) в мобильных приложениях (сервисах), где размещена данная Политика или ссылка на нее.
1.6. Все термины и определения, встречающиеся в тексте Политики толкуются в соответствии с действующим законодательством Российской Федерации (в частности, Федеральным законом «О персональных данных»).
1.7. В случае изменения действующего законодательства, Политика до ее приведения в соответствие с такими изменениями действует в части, не противоречащей действующим законодательным и иным нормативно-правовым актам, а также соответствующим внутренним документам Банка.
1.8. Настоящая Политика является общедоступным внутренним документом Банка и подлежит размещению на официальном сайте Банка в Интернете.
1.9. В части неурегулированной Политикой применяются Клиентские правила, включая Общие положения Клиентских правил и указанные в них правила толкования терминов, а также Порядок обработки персональных данных.
2.1. Оператором разработаны и введены в действие документы, устанавливающие порядок обработки и защиты персональных данных, которые обеспечивают соответствие требованиям Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов.
2.2. Обработка персональных данных осуществляется на основе следующих принципов:
3.1. Оператор осуществляет обработку персональных данных в следующих целях:
3.2. Банк собирает и передает данные об установленных приложениях на устройстве Клиента:
4.1. К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному, или определяемому субъекту персональных данных, обрабатываемая Банком для достижения заранее определенных целей. Обработка персональных данных может осуществляться как c использованием средств автоматизации, так и без них.
4.2. Оператор осуществляет обработку персональных данных следующих субъектов:
4.3. Данные специальных категорий персональных данных Оператором не обрабатываются.
4.4. Оператор не обрабатывает биометрические персональные данные.
4.5. Оператор также может обрабатывать данные пользователей с использованием метрических программ в автоматическом режиме во время использования сайта и (или) мобильных приложений (сервисов) в следующем объеме: сведения, предоставленные при регистрации (создании учетной записи) и последующих авторизациях; сведения о действиях, которые совершаются пользователем; сведения об используемых для этого устройствах; дата и время сессии или осуществления доступа к сайту и (или) мобильным приложениям (сервисам); информация о номерах телефонов из адресной книги устройства; фотоизображения (в т.ч. в потоковом режиме), полученные с использованием камеры устройства (если соответствующий вид устройства поддерживает данный функционал); информация о геолокации; электронные данные технического характера (HTTP-заголовки, IP-адрес, файлы cookie, данные об идентификаторе браузера, информация об аппаратном и программном обеспечении, идентификаторе устройства пользователя, о версии операционной системы и модели устройства и пр.) без цели идентифицировать конкретного пользователя; иная информация, необходимая для обработки в соответствии с условиями, регулирующими использование сайта или мобильных приложений (сервисов).
5.1. Оператор использует файлы «cookie» на официальном сайте, в том числе https://finance.ozon.ru/, на иных сайтах и мобильных предложениях (сервисах), которые принадлежат Оператору или используются им на законных основаниях.
5.2. Файлы «cookie» используются Оператором с целью:
5.3. Пользователь может самостоятельно управлять файлами «cookie». Используемый браузер может позволять блокировать, удалять или иным образом ограничивать использование файлов «cookie». Чтобы узнать, как управлять файлами «cookie» с помощью используемых браузера или устройства, необходимо воспользоваться инструкцией, предоставляемой разработчиком браузера или производителем используемого устройства.
5.4. При удалении или ограничении использования файлов «cookie» некоторые функции сайта могут оказаться недоступны.
5.5. Обрабатываемые файлы «cookie» уничтожаются, либо обезличиваются по достижении указанных выше целей обработки или в случае утраты необходимости в достижении этих целей.
6.1. Сроки обработки персональных данных определены в соответствии со сроками действия договоров с субъектом персональных данных, Приказом Минкультуры Российской Федерации от 25.08.2010 №558 «Об утверждении «перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроками исковой давности, а также иными требованиями законодательства Российской Федерации.
6.2. Если иное не установлено условиями договора с субъектом персональных данных или требованиями законодательства Российской Федерации, обработка персональных данных осуществляется на протяжении срока действия договора с субъектом персональных данных, а также на протяжении 5 (пяти) лет с даты окончания срока действия или расторжения договора с субъектом персональных данных.
6.3. Персональные данные обрабатываются Оператором как с помощью средств вычислительной техники, так и без использования таких средств и могут быть представлены как на бумажных, так и на электронных носителях. При этом Оператор выполняет все требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
6.4. Оператор не осуществляет трансграничную передачу персональных данных, однако, в случае осуществления трансграничной передачи персональных данных, Оператор обязуется выполнять все требования к осуществлению трансграничной передачи данных, предусмотренные Федеральным законом «О персональных данных».
6.5. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.
6.6. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение Оператора). При этом Оператор в договоре обязует лицо, осуществляющее обработку персональных данных по поручению Оператора, соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных».
6.7. В случае если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
6.8. Оператор обязуется и обязует иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
6.9. Работники Оператора должны быть ознакомлены под подпись с документами Оператора, устанавливающими порядок обработки и защиты персональных данных, а также права и обязанности, возникающие при осуществлении обработки и защиты персональных данных.
6.10. Персональные данные поступают к Оператору непосредственно от субъекта персональных данных или от лиц, не являющихся субъектами персональных данных. При этом Оператор выполняет все требования к осуществлению обработки таких данных, предусмотренные Федеральным законом «О персональных данных», а также обеспечивает безопасность полученных персональных данных.
6.11. Обработка персональных данных Оператором осуществляется только с согласия субъектов персональных данных, за исключением следующих случаев:
6.12. При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.
7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
7.2. Субъект персональных данных имеет право на получение сведений, касающихся обработки персональных данных субъекта путем направления по юридическому адресу или электронной почте Оператора запроса, составленного в письменной форме, и содержащего: фамилию, имя, отчество субъекта персональных данных; номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе; иные данные, позволяющие однозначно идентифицировать обратившееся лицо; сведения и документы, подтверждающие факт обработки персональных данных обратившегося субъекта персональных данных, лицом к которому составлено обращение; подпись субъекта персональных данных.
7.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.4. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.5. Сведения, касающиеся обработки персональных данных субъекта, предоставляются ему Оператором в доступной форме, и не содержат персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
7.6. В случае если сведения, касающиеся обработки персональных данных субъекта персональных данных, а также если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить повторный запрос не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
7.7. Субъект персональных данных вправе обратиться повторно к Оператору или направить повторный запрос в целях получения сведений, касающихся обработки персональных данных субъекта, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30 (тридцати) дней после первоначального обращения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, касающимися обработки персональных данных субъекта, должен содержать обоснование направления повторного запроса.
7.8. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
7.9. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.10. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в следующем порядке, если прямо не предусмотрено иное: путем обеспечения субъектом персональных данных получения соответствующего обращения об отзыве согласия по юридическому адресу или электронной почте Оператора; обращение должно содержать: фамилию, имя, отчество субъекта персональных данных; номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе; иные данные, позволяющие однозначно идентифицировать обратившееся лицо; сведения и документы, подтверждающие факт обработки персональных данных обратившегося субъекта персональных данных, лицом к которому составлено обращение; подпись субъекта персональных данных. Договором, заключенным между субъектом персональных данных и Оператором, может быть предусмотрен иной порядок отзыва согласия на обработку персональных данных, в этом случае преимущественно применяется порядок (условия, положения), установленные таким договором. В случае отзыва субъектом персональных данных согласия на обработку персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных в случаях, предусмотренных действующим законодательством Российской Федерации.
8.1. В соответствии с требованиями Федерального закона «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Оператор обязан:
9.1. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2. Обеспечение безопасности персональных данных достигается, в частности:
9.3. По запросу уполномоченного органа по защите прав субъектов персональных данных Оператором обеспечена готовность подтвердить принятие мер, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
10.1 Лица, виновные в нарушении требований Федерального закона «О персональных данных», во исполнение которого разработана настоящая Политика, несут гражданскую, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.