Политика конфиденциальности
Версия на русском языке
1. Общие положения
1.1. Настоящая Политика конфиденциальности определяет порядок обработки и защиты персональных данных пользователей сайта, мобильного приложения и иных сервисов, предоставляемых Обществом с ограниченной ответственностью «Микрокредитная компания Кредиска». Настоящая Политика разработана в целях информирования Пользователей о составе персональных и пользовательских данных, подлежащих сбору и обработке, о целях, способах и условиях их обработки, о мерах, принимаемых Обществом для обеспечения их безопасности, а также о правах Пользователей и доступных им способах реализации своих прав в отношении персональных данных.
1.2. Настоящая Политика определяет порядок обработки и защиты информации о Пользователях, использующих сервисы, функции и услуги Приложения, и направлена на обеспечение соблюдения прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Политика разработана с учётом требований законодательства Российской Федерации, включая Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», Федеральный закон от 21.12.2013 N 353-ФЗ «О потребительском кредите (займе)», Федеральный закон от 30.12.2004 N 218-ФЗ «О кредитных историях», Федеральный закон от 07.08.2001 N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», Федеральный закон от 02.07.2010 N 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях», Общим регламентом по защите данных (GDPR) Европейского Союза (применимо к пользователям из ЕС), требованиями платформ: RuStore, Google Play, Apple App Store, а так же иными нормативными правовыми актами РФ и международными стандартами.
1.4. Использование Приложения или Сайта означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональных данных. В случае несогласия с условиями Политики Пользователь должен прекратить использование Приложения и Сайта.
1.5. Общество осуществляет деятельность по предоставлению потребительских займов (оказывает финансовую поддержку) в порядке и на условиях, предусмотренных законодательством Российской Федерации. Мобильное приложение «Кредиска» предназначено для подачи заявок на получение займа и направления Пользователю индивидуального предложения по условиям займа в автоматизированном режиме. Общество обеспечивает конфиденциальность, целостность и безопасность персональных данных и иной информации, получаемой от Пользователей, в соответствии с требованиями законодательства Российской Федерации.
2. Термины
2.1. Ниже приведены термины и определения, используемые в настоящей Политике. Термины применяются в значениях, указанных в настоящем разделе, если иное прямо не предусмотрено текстом Политики или не вытекает из существа соответствующего положения. Термины, не определённые настоящей Политикой, подлежат толкованию в соответствии с законодательством Российской Федерации, нормативными актами Банка России, а также иными применимыми правовыми актами.
Компания — микрокредитная компания, являющаяся оператором персональных данных и осуществляющая обработку персональных данных Пользователей и Клиентов в целях и порядке, предусмотренных настоящей Политикой, законодательством Российской Федерации, нормативными актами Банка России и внутренними документами Компании.
Оператор — Компания, самостоятельно или совместно с иными лицами организующая и/или осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия и операции, совершаемые с персональными данными.
Пользователь, Клиент, Вы — физическое лицо, использующее Мобильное приложение и/или сервис, доступный в сети Интернет по адресу krediska.ru, намеревающееся заключить договор с Компанией либо состоящее с Компанией в договорных или преддоговорных отношениях, в том числе в связи с получением финансовых услуг.
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу, в том числе Пользователю или Клиенту. К персональным данным могут относиться как сведения, позволяющие прямо идентифицировать лицо, включая фамилию, имя, отчество, дату рождения, данные документа, удостоверяющего личность, контактные данные, так и сведения, которые сами по себе не позволяют непосредственно идентифицировать лицо, но могут быть соотнесены с ним при использовании дополнительных данных, включая идентификаторы устройства, технические идентификаторы, сведения о действиях в Приложении и иные аналогичные данные.
Пользовательские данные — сведения, предоставляемые Пользователем самостоятельно при регистрации, авторизации, заполнении анкет, подаче заявок, использовании Приложения, сайта и иных сервисов Компании, а также сведения, автоматически формируемые или передаваемые при использовании указанных сервисов, включая технические данные, данные об использовании, сведения об обращениях, сообщениях, отзывах и иных действиях Пользователя.
Технические данные — сведения, автоматически передаваемые Компании при использовании сайта, Приложения и иных цифровых сервисов Компании, включая IP-адрес, сведения об устройстве, операционной системе, версии Приложения, языке интерфейса, идентификаторах устройства, параметрах подключения, данных о сессии, событиях использования, ошибках, сбоях, а также иные сведения технического характера, необходимые для обеспечения функционирования, безопасности, аналитики и улучшения сервисов Компании.
Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передачу, предоставление, доступ, обезличивание, блокирование, удаление и уничтожение персональных данных.
Автоматизированная обработка персональных данных — обработка персональных данных с использованием средств вычислительной техники, информационных систем, программного обеспечения, алгоритмов, скоринговых моделей, аналитических инструментов и иных технических средств, применяемых Компанией для достижения целей обработки персональных данных.
Согласие на обработку персональных данных, Согласие — свободное, конкретное, информированное и сознательное волеизъявление субъекта персональных данных, выраженное в форме, предусмотренной законодательством Российской Федерации, посредством которого субъект персональных данных предоставляет Компании право на обработку его персональных данных на условиях, определённых соответствующим согласием, настоящей Политикой и применимым законодательством.
App Store — принадлежащая и/или администрируемая Apple Inc. цифровая платформа распространения программного обеспечения, предназначенная, в том числе, для размещения, поиска, скачивания, установки и обновления мобильных приложений, включая приложение App Store и веб-сайт, расположенный в информационно-телекоммуникационной сети «Интернет» по адресу: https://apps.apple.com/.
Google Play — принадлежащая и/или администрируемая Google LLC цифровая платформа распространения программного обеспечения, предназначенная, в том числе, для размещения, поиска, скачивания, установки и обновления мобильных приложений, включая приложение Google Play и веб-сайт, расположенный в информационно-телекоммуникационной сети «Интернет» по адресу: https://play.google.com/.
RuStore — принадлежащая и/или администрируемая Обществом с ограниченной ответственностью «ВК» цифровая платформа распространения программного обеспечения, предназначенная, в том числе, для размещения, поиска, скачивания, установки и обновления мобильных приложений, включая приложение RuStore и веб-сайт, расположенный в информационно-телекоммуникационной сети «Интернет» по адресу: https://www.rustore.ru/.
ЕСИА «Госуслуги» — федеральная государственная информационная система «Единая система идентификации и аутентификации», обеспечивающая в случаях и порядке, установленных законодательством Российской Федерации, санкционированный доступ участников информационного взаимодействия к информации, содержащейся в государственных информационных системах, муниципальных информационных системах и иных информационных системах, в том числе посредством сайта, расположенного в информационно-телекоммуникационной сети «Интернет» по адресу: https://esia.gosuslugi.ru/.
Портал «Госуслуги» — федеральная государственная информационная система «Единый портал государственных и муниципальных услуг (функций)», обеспечивающая предоставление в электронной форме государственных и муниципальных услуг, сервисов и информации, доступ к которой осуществляется, в том числе, через сайт, расположенный в информационно-телекоммуникационной сети «Интернет» по адресу: https://gosuslugi.ru/.
Принцип KYC — совокупность процедур и мероприятий, известных как Know Your Customer / «Знай своего клиента», осуществляемых финансовыми организациями и иными обязанными лицами в соответствии с применимыми требованиями законодательства, нормативными актами Банка России, правилами внутреннего контроля и внутренними документами соответствующей организации, включая идентификацию и/или аутентификацию клиента, установление и проверку сведений о клиенте, оценку уровня риска клиента, а также формирование и актуализацию профиля клиента в целях соблюдения требований законодательства о противодействии легализации доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения, а также иных применимых требований.
3. Права Пользователей в отношении персональных данных
3.1. Компания признаёт право субъектов персональных данных на получение информации об обработке их персональных данных, а также на реализацию иных прав, предусмотренных законодательством Российской Федерации.
3.2. В целях реализации указанных прав Пользователь вправе, в случаях и порядке, предусмотренных настоящей Политикой и законодательством Российской Федерации:
- получать сведения об обрабатываемых персональных данных;
- требовать уточнения, блокирования или уничтожения персональных данных;
- ограничивать обработку персональных данных;
- отзывать согласие на обработку персональных данных, если иное не предусмотрено законодательством Российской Федерации;
- обращаться к Компании с запросом о прекращении обработки или удалении персональных данных и/или пользовательских данных.
3.3. Для обеспечения безопасности персональных данных и предотвращения несанкционированного доступа Компания вправе запросить прохождение авторизации в Аккаунте и подтверждение личности Пользователя с использованием предусмотренных Компанией способов идентификации и аутентификации. Обращения, связанные с изменением, удалением или иным распоряжением данными, рассматриваются Компанией при наличии достаточных оснований полагать, что соответствующее обращение исходит от надлежащим образом идентифицированного субъекта персональных данных.
3.4. Компания вправе отказать в удовлетворении запроса о прекращении обработки, удалении или уничтожении персональных данных и/или пользовательских данных в случаях, когда сохранение и обработка таких данных необходимы:
- для исполнения требований законодательства Российской Федерации;
- для выполнения обязательств Компании по договору;
- для соблюдения установленных законом сроков хранения документов и сведений;
- для исполнения обязанностей, предусмотренных законодательством о противодействии легализации доходов, полученных преступным путём, и финансированию терроризма;
- для защиты прав и законных интересов Компании, включая предупреждение, выявление и расследование мошеннических действий, обеспечение информационной безопасности и урегулирование споров.
3.5. Компания также вправе не удовлетворять запрос на удаление персональных данных, если его исполнение повлечёт нарушение обязательных требований законодательства, препятствует исполнению правовых обязанностей Компании либо создаёт риск нарушения прав и законных интересов Компании и/или третьих лиц, в том числе в случаях, когда в отношении соответствующего Аккаунта проводится проверка, внутреннее расследование или иное разбирательство, связанное с обеспечением безопасности, предотвращением мошенничества или соблюдением требований законодательства.
4. Обработка персональных данных в целях осуществления предпринимательской деятельности Общества
4.1. Общество осуществляет обработку персональных данных в целях осуществления предпринимательской деятельности, предусмотренной Уставом Общества, в том числе предоставление займов в порядке, установленном Федеральным законом от 21.12.2013 г. № 353-ФЗ «О потребительском кредите (займе)», Федеральным законом от 02.07.2010 N 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях».
4.2. Для цели осуществления предпринимательской деятельности Общество обрабатывает персональные данные у следующих категорий субъектов персональных данных:
- клиентов – физических лиц, в том числе применяющих специальный налоговый режим «Налог на профессиональный доход» (самозанятым), в соответствии с Федеральным законом от 27 ноября 2018 г. N 422-ФЗ «О проведении эксперимента по установлению специального налогового режима «Налог на профессиональный доход»;
- физических лиц представителей клиентов - юридических лиц;
- лиц, заполняющих форму обратной связи и (или) подающих заявку на взаимодействие с Обществом на сайте Общества (далее - пользователи сайта).
4.3. Общество запрашивает у клиентов – физических лиц следующие персональные данные:
- фамилия, имя, отчество;
- год, месяц, дата и место рождения;
- адрес регистрации по месту жительства;
- адрес фактического проживания (адрес пребывания);
- паспортные данные;
- телефон;
- адрес электронной почты.
Указанные данные Пользователя собираются для управления учетными записями и идентификации Пользователя, в соответствии с законодательством РФ.
4.4. Общество запрашивает у пользователей сайта следующие персональные данные:
- фамилия, имя, отчество;
- адрес электронной почты;
- телефон.
Указанные данные Пользователя собираются для управления учетными записями и идентификации Пользователя, в соответствии с законодательством РФ.
4.5. Общество может использовать общеотраслевую технологию «куки» (cookies). В любое время пользователь сайта может изменить параметры в настройках своего браузера таким образом, чтобы браузер перестал сохранять все файлы cookie, а также, оповещал их об отправке. В этом случае некоторые сервисы и функции сайта могут перестать работать или работать некорректно. Указанные данные собираются с целью мониторинга бесперебойности работы приложения, улучшения пользовательского опыта, а также с целью противодействия мошенничеству.
4.6. Общество может получать сведения, получаемые из государственных информационных систем и иных официальных государственных источников, включая, но не ограничиваясь, сведения, предоставляемые посредством федеральной государственной информационной системы «Единая система идентификации и аутентификации» (ЕСИА) при авторизации Пользователя через Единый портал государственных и муниципальных услуг (функций), а также сведения о действительности документа, удостоверяющего личность, в том числе паспорта гражданина Российской Федерации. Указанные данные собираются с целью мониторинга бесперебойности работы приложения, улучшения пользовательского опыта, а также с целью противодействия мошенничеству.
4.7. Отзывы, оценки, комментарии и иные материалы, размещенные Пользователями на цифровых платформах распространения программного обеспечения, включая Google Play, App Store и RuStore, а также содержащиеся в таких отзывах, оценках, комментариях и иных материалах персональные данные, пользовательские данные, технические сведения и иная информация, относящаяся к Пользователю и/или использованию им Приложения. Указанные данные собираются с целью мониторинга бесперебойности работы приложения, улучшения пользовательского опыта, а также с целью противодействия мошенничеству.
4.8. Фотографическое изображение Пользователя, в том числе изображение лица Пользователя, получаемое посредством самостоятельной фотофиксации Пользователя (selfie), собираемое и обрабатываемое при наличии необходимости в целях проведения идентификации, верификации, биометрической проверки и/или подтверждения личности Пользователя, а также в целях исполнения требований законодательства, нормативных актов уполномоченных органов и процедур, предусмотренных принципом KYC (Know Your Customer / «Знай своего клиента»). Указанные данные Пользователя собираются для управления учетными записями и идентификации Пользователя, в соответствии с законодательством РФ.
4.9. Сведения о приблизительном местоположении Пользователя и/или устройства Пользователя, включая данные, позволяющие определить приблизительное географическое положение без установления точной геолокации, собираемые, обрабатываемые и сохраняемые в целях предотвращения, выявления и пресечения мошеннических действий, несанкционированного доступа, злоупотреблений, а также в целях обеспечения безопасности Клиентов, Приложения, информационных систем и предоставляемых услуг. Указанные данные собираются с целью предотвращения мошенничества и обеспечения безопасности транзакций Общества.
4.10. Пользовательские обращения, запросы, сообщения и иная корреспонденция Пользователя, направляемые через Приложение, сайт, службу поддержки, контактный центр, электронную почту, мессенджеры и/или иные каналы взаимодействия, а также сведения, содержащиеся в таких обращениях, запросах и сообщениях, обрабатываемые в целях обеспечения функционирования Приложения, рассмотрения и исполнения обращений Пользователя, предоставления ответов, оказания клиентской поддержки, урегулирования претензий, а также осуществления коммуникации с Пользователем. Указанные данные собираются с целью реализации функций Приложения, для коммуникации с Клиентом в случае обращения в службу поддержки.
4.11. Сведения о доходах Пользователя, включая информацию о размере, источниках, периодичности и характере доходов, а также иные сведения, необходимые для оценки финансового положения Пользователя, собираемые, обрабатываемые и сохраняемые в целях реализации функциональности Приложения, оценки платежеспособности Пользователя, расчета показателя долговой нагрузки и/или предельной долговой нагрузки, анализа возможности предоставления финансовых продуктов и услуг, а также исполнения требований законодательства, нормативных актов Банка России и иных уполномоченных органов. Указанные данные собираются с целью реализации функций Приложения, расчета предельной долговой нагрузки и оценки возможности оказания финансовых услуг в соответствии с требованиями законодательства РФ.
4.12. Сведения, используемые для предотвращения, выявления и пресечения мошеннических действий, включая данные о действиях Пользователя в Приложении, сведения об устройстве, сетевых параметрах, попытках авторизации, поведенческих признаках, технических идентификаторах, признаках подозрительной активности, результатах автоматизированных проверок и иные данные, необходимые для оценки риска мошенничества, обеспечения информационной безопасности, защиты прав и законных интересов Клиентов и Оператора, а также предотвращения неправомерного использования Приложения и/или финансовых услуг.
4.13. Сведения и документы, обрабатываемые в рамках процедур KYC (Know Your Customer / «Знай своего клиента»), включая данные документа, удостоверяющего личность, паспортные данные, идентификационные сведения, контактные данные, анкетные данные, сведения о кредитной истории, финансовом положении, источниках происхождения денежных средств, деловой репутации, в целях установления деловых отношений, предполагаемом характере операций, принадлежности к публичным должностным лицам, представителям публичных должностных лиц и/или выгодоприобретателям, а также иные сведения и документы, необходимые для идентификации, верификации, оценки уровня риска Клиента, исполнения требований законодательства, нормативных актов Банка России, предписаний и поручений уполномоченных органов, предотвращения мошенничества, противодействия легализации доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения, а также обеспечения надлежащего уровня безопасности при оказании финансовых услуг.
5. Принципы обработки персональных данных
5.1. В отношении персональных данных Общество осуществляет действия (операции) или совокупность действий (операций), совершаемые как с использованием средств автоматизации, так и без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.2. Обработка персональных данных в Обществе осуществляется на основе следующих принципов:
5.3. Обработка персональных данных осуществляется на законной и справедливой основе;
5.4. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
5.5. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
5.6. Содержание, объем и способы обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
5.7. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество обеспечивает принятие необходимых мер по удалению или уточнению неполных или неточных данных;
5.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, не менее 5 (пяти) лет, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6. Пользовательские данные собираемые автоматически
6.1. В процессе использования Приложения Компания может автоматически собирать и обрабатывать следующие пользовательские данные и технические сведения в целях обеспечения работоспособности Приложения, улучшения качества предоставляемых сервисов, анализа пользовательского опыта, а также в целях обеспечения информационной безопасности, предотвращения мошенничества и защиты прав и законных интересов Компании и Пользователя.
6.2. Сведения об устройстве и программной среде.
6.2.1. К таким сведениям могут относиться:
- тип и модель устройства;
- уникальные идентификаторы устройства, включая IMEI, IDFA, GAID и иные аналогичные идентификаторы;
- версия операционной системы и её наименование;
- язык интерфейса и региональные настройки;
- разрешение экрана;
- сведения о браузере, включая тип, версию и язык;
- версия Мобильного приложения;
- сведения о параметрах подключения и программной среде использования Приложения.
6.2.2. Сведения об использовании Приложения.
К таким сведениям могут относиться:
- дата и время использования Приложения;
- сведения о действиях Пользователя в Приложении, включая посещённые страницы, нажатия кнопок, последовательность действий и иные события использования;
- сведения о сбоях, ошибках, аварийных завершениях работы Приложения и иных технических неисправностях;
- идентификатор сессии;
- сведения о времени авторизации, регистрации и иных значимых действиях в Приложении;
- сведения о токене доступа, времени его проверки и результатах проверки;
- сведения об источнике перехода, включая источник рекламного трафика;
- User-Agent Пользователя;
- длительность и частота использования Приложения.
6.2.3. Технические данные.
К техническим данным могут относиться:
- IP-адрес;
- файлы cookie и иные аналогичные технологии идентификации;
- идентификаторы сессии и устройства;
- список аккаунтов, прикреплённых к устройству, в случаях, предусмотренных функциональностью Приложения и применимыми настройками безопасности;
- иные технические сведения, автоматически передаваемые устройством Пользователя при использовании Приложения.
6.2.4. Данные, обрабатываемые в целях противодействия мошенничеству и обеспечения безопасности.
В целях выявления, предотвращения и расследования подозрительных действий, а также обеспечения безопасности операций и защиты Аккаунта Компания может обрабатывать следующие сведения:
- данные о приблизительном местоположении устройства при наличии соответствующего разрешения Пользователя;
- сведения о наличии на устройстве отдельных установленных Приложений, если это необходимо для целей информационной безопасности и предотвращения мошенничества;
- идентификаторы устройства;
- сессионные файлы cookie.
6.2.5. Использование данных о местоположении.
При подаче заявки на предоставление потребительского кредита (займа) либо при совершении операций в Приложении Компания может использовать данные о местоположении устройства, при наличии соответствующего разрешения Пользователя, в целях:
- выявления и предотвращения мошеннических операций;
- проверки соответствия местоположения устройства характеру совершаемой операции;
- выявления нетипичной активности и подозрительных действий;
- проведения дополнительной проверки безопасности при использовании Приложения в условиях, отличающихся от обычных.
6.3. Обработка указанных данных осуществляется автоматизированно и может использоваться в режиме реального времени для целей защиты Аккаунта, предотвращения несанкционированного доступа и минимизации рисков совершения мошеннических операций.
6.4. Компания не использует указанные данные для принятия решений, влекущих юридические последствия для Пользователя, исключительно на основании автоматизированной обработки, за исключением случаев, прямо предусмотренных законодательством Российской Федерации или согласованными Пользователем условиями использования Приложения.
7. Цели использования персональных данных Пользователей
7.1. Компания осуществляет обработку персональных и пользовательских данных исключительно при наличии предусмотренных законодательством Российской Федерации правовых оснований, включая, в зависимости от обстоятельств, согласие субъекта персональных данных, необходимость исполнения договора, заключённого с субъектом персональных данных, исполнение обязанностей, возложенных на Компанию законодательством Российской Федерации, защиту законных интересов Компании или третьих лиц, а также иные основания, предусмотренные применимым законодательством.
7.2. Обработка персональных и пользовательских данных осуществляется Компанией в следующих целях:
7.2.1. Заключение и исполнение договора потребительского кредита (займа)
- рассмотрения заявки на предоставление потребительского кредита (займа);
- проведения оценки платёжеспособности, кредитоспособности и уровня риска;
- принятия решения о возможности заключения договора;
- оформления и заключения договора с использованием предусмотренных способов электронной подписи, включая простую электронную подпись;
- предоставления и перечисления денежных средств по указанным Пользователем банковским реквизитам;
- сопровождения исполнения обязательств по договору.
7.2.2. Взаимодействие с Пользователем.
- предоставления ответов на обращения Пользователя;
- направления уведомлений, связанных с использованием Приложения, сайта, Аккаунта и договорных отношений;
- информирования о статусе заявки, договоре, платёжных обязательствах и иных существенных обстоятельствах;
- направления уведомлений об изменении условий обслуживания, положений, политик и иных документов Компании, если такие уведомления являются необходимыми для взаимодействия с Пользователем.
7.2.2.1. Отказ от получения отдельных видов информационных сообщений может быть ограничен в случаях, когда направление таких сообщений необходимо для исполнения договора, соблюдения требований законодательства или обеспечения безопасности использования сервисов Компании.
7.2.3. Обеспечение безопасности и противодействие мошенничеству
- предотвращения несанкционированного доступа к Аккаунту;
- выявления, предупреждения и пресечения мошеннических действий;
- анализа подозрительных операций и нетипичной активности;
- обеспечения информационной безопасности;
- защиты прав и законных интересов Компании, Пользователей и третьих лиц.
7.2.4. Улучшение качества сервисов.
- анализа работы Приложения, сайта и иных сервисов Компании;
- выявления и устранения технических ошибок;
- повышения стабильности и качества предоставляемых сервисов;
- улучшения пользовательского опыта;
- настройки интерфейса и функциональности сервисов;
- проведения внутренней аналитики использования сервисов.
7.2.5. Информирование и коммуникации.
- направления уведомлений о ходе рассмотрения заявки;
- направления напоминаний о наступлении сроков платежей и исполнения обязательств;
- направления сервисных сообщений;
- направления маркетинговых и рекламных материалов — при наличии отдельного согласия, если такое согласие требуется в соответствии с законодательством Российской Федерации.
7.2.6. Соблюдение требований законодательства.
- исполнения обязанностей, предусмотренных законодательством Российской Федерации;
- исполнения требований нормативных актов Банка России и иных уполномоченных органов;
- предоставления сведений по законным запросам государственных органов, судов, надзорных и контрольных органов;
- исполнения обязанностей по хранению документов и сведений;
- соблюдения требований законодательства о противодействии легализации доходов, полученных преступным путём, и финансированию терроризма;
- исполнения обязанностей, связанных с формированием, передачей и хранением сведений о кредитной истории, если такие обязанности применимы.
7.2.7. Пользовательские данные могут обрабатываться для анализа эффективности Приложения, сайта, клиентского сервиса и маркетинговых мероприятий с использованием аналитических инструментов, включая, в частности, Google Analytics, Firebase Analytics, Яндекс.Метрику, AppMetrica, Juicy Score, ASOMobile и иные аналогичные сервисы.
7.2.7.1. При использовании указанных инструментов Компания, по возможности, применяет меры по обезличиванию данных и ограничивает состав передаваемой информации объёмом, необходимым для достижения соответствующих целей.
7.2.8. Передача данных третьим лицам.
7.2.8.1. Компания вправе привлекать к обработке персональных данных третьих лиц, действующих по поручению Компании либо самостоятельно определяющих цели и состав обработки в пределах, допускаемых законодательством Российской Федерации.
7.2.8.2. Такими лицами могут быть, но не ограничиваясь:
- Бюро кредитных историй — для получения кредитного отчёта, оценки кредитной истории и исполнения обязанностей, предусмотренных законодательством Российской Федерации;
- сервисы противодействия мошенничеству — для оценки рисков, выявления подозрительных операций, проверки идентификаторов, а также в целях обеспечения безопасности и выполнения процедур KYC;
- банки и иные финансовые организации — для перечисления денежных средств, проведения расчётов, сверки операций и формирования отчётности;
- поставщики услуг связи — для направления уведомлений, в том числе посредством телефонной связи, SMS, электронной почты и иных каналов связи;
- поставщики услуг цифрового маркетинга и аналитики — для проведения маркетинговых и аналитических мероприятий от имени Компании либо в её интересах.
7.2.8.3. Передача персональных данных указанным лицам осуществляется в объёме, необходимом для выполнения соответствующих функций, на основании договоров, заключённых с такими лицами, и/или в случаях, предусмотренных законодательством Российской Федерации.
7.3. Лица, которым передаются персональные данные, обязаны соблюдать конфиденциальность и обеспечивать надлежащую защиту персональных данных в соответствии с требованиями законодательства и условиями договоров с Компанией.
8. Предоставление персональных данных третьим лицам
8.1. Общество вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании документа, соответствующего цели обработки персональных данных.
8.2. Общество вправе поручить обработку персональных данных третьим лицам с согласия Субъекта персональных данных, исключительно в пределах, необходимых для реализации основных направлений его деятельности в целях, проверки платёжеспособности, оценки кредитных рисков («скоринг») и принятия обоснованного решения относительно выдачи займа, в том числе в целях взыскания задолженности, процентов, договорной неустойки, убытков, процентов за пользование чужими денежными средствами или иных штрафных санкций.
8.3. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.
8.4. В поручении Общества определяется перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели их обработки и устанавливаются обязанности:
- 8.5. соблюдать конфиденциальность персональных данных;
- 8.6. принимать меры, направленные на обеспечение выполнения обязанностей, предусмотренных локально-нормативными актами Общества;
- 8.7. при сборе персональных данных в том числе посредством информационно-телекоммуникационной сети "Интернет", обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации;
- 8.8. предоставлять Обществу документы и информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с Законом о персональных данных;
- 8.9. уведомлять Общество в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.
8.10. Лицо, осуществляющее обработку персональных данных по поручению Общества, не обязано получать согласие Субъекта персональных данных на обработку его персональных данных.
8.11. В случае, если Общество поручает обработку персональных данных другому лицу, ответственность перед Субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.
8.12. Передача персональных данных может осуществляться в следующих случаях:
8.12.1. Исполнение договора и проведение расчётов.
Компания вправе передавать персональные данные в объёме, необходимом для исполнения обязательств по договору потребительского кредита (займа), включая проведение расчётов, зачисление и списание денежных средств, а также обработку платежных операций.
К указанным получателям могут относиться:
- кредитные организации;
- платёжные системы;
- банки-корреспонденты;
- иные участники расчётных и платёжных операций, задействованные в исполнении договора.
8.12.1.1. Передача данных осуществляется в объёме, необходимом для совершения соответствующей операции и исполнения обязательств Компании и/или Клиента.
8.12.1.2. Исполнение требований законодательства.
Компания вправе передавать персональные данные в государственные органы, органы местного самоуправления, суды, а также иным уполномоченным лицам в случаях, порядке и объёме, предусмотренных законодательством Российской Федерации, в том числе по мотивированному и надлежащим образом оформленному запросу.
К таким случаям, в частности, относятся запросы:
- налоговых органов;
- правоохранительных органов;
- судебных органов;
- органов, осуществляющих государственный контроль и надзор;
- иных уполномоченных органов и организаций.
8.12.1.3. Уступка прав требования.
В случае уступки прав требования по договору потребительского кредита (займа) Компания вправе передать персональные данные новому кредитору или иному лицу, которому уступлены соответствующие права, в объёме, необходимом для исполнения обязательств по договору и в порядке, предусмотренном законодательством Российской Федерации.
О такой уступке Клиент уведомляется в случаях и порядке, установленных законом и договором.
8.12.1.4. Иные случаи, предусмотренные законодательством.
8.13. Компания вправе передавать персональные данные и в иных случаях, прямо предусмотренных законодательством Российской Федерации, включая случаи, связанные с исполнением обязательных требований, защитой прав и законных интересов Компании, Клиентов и третьих лиц, а также предотвращением правонарушений, мошенничества и иных противоправных действий.
8.14. Запрет на передачу для маркетинговых целей.
8.14.1. Компания не передаёт персональные данные третьим лицам для их самостоятельного использования в маркетинговых, рекламных или иных аналогичных целях без отдельного согласия субъекта персональных данных, если такое согласие требуется в соответствии с законодательством Российской Федерации.
9. Защита персональных данных
9.1. Защите подлежат персональные данные субъекта, содержащиеся в:
- копиях документов;
- документах, созданных Обществом;
- занесенные в учетные формы;
- содержащиеся на электронных носителях;
- содержащиеся в информационных системах персональных данных, а также записи, содержащие персональные данные субъекта.
9.2. Организация работы по защите персональных данных субъекта и реализация системы защиты регламентируется Положением о защите персональных данных, утверждаемого приказом руководителя Общества.
9.3. В случае утечки персональных данных Общество обязано направить первичное уведомление в Роскомнадзор в течение 24 часов с момента выявления неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, которое повлекло нарушение прав субъектов персональных данных, а в течении 72 часов с момента выявления инцидента Общество должно направить в Роскомнадзор дополнительное уведомление.
10. Трансграничная передача персональных данных
10.1. Компания осуществляет обработку и хранение персональных данных субъектов на территории Российской Федерации.
10.2. Трансграничная передача персональных данных не осуществляется, за исключением случаев, прямо предусмотренных законодательством Российской Федерации и при условии соблюдения установленных законом требований.
10.3. В целях предотвращения несанкционированной трансграничной передачи персональных данных Компания применяет организационные и технические меры защиты, включая:
- контроль маршрутизации трафика и ограничение доступа к информационным ресурсам;
- применение механизмов фильтрации сетевых соединений;
- ограничение доступа к базам данных из-за пределов Российской Федерации;
- иные меры, направленные на обеспечение соблюдения требований законодательства и защиту персональных данных.
10.4. В случае возникновения технологической необходимости, связанной с обеспечением работоспособности Приложения или сопутствующих сервисов, Компания обеспечивает применение мер защиты персональных данных и соблюдение требований законодательства Российской Федерации, включая требования к трансграничной передаче, если такая передача допускается применимым законодательством.
11. Права Субъектов персональных данных
11.1. Субъект персональных данных вправе:
- требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих персональных данных, обрабатываемых Обществом и информацию об источнике их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- отозвать согласие на обработку персональных данных в любое время (При отзыве согласия на обработку, Общество обязано прекратить обработку и уничтожить данные, за исключением случаев, когда их хранение требуется законом).
11.2. Для реализации вышеуказанных прав субъект персональных данных, может в порядке, установленном ст. 14 Закона о персональных данных, обратиться в Общество с соответствующим запросом. Для выполнения таких запросов представитель Общества устанавливает личность Субъекта персональных данных и при необходимости запрашивает дополнительную информацию.
11.3. Если Субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований законодательства о персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в порядке, предусмотренном законодательством Российской Федерации.
12. Права и обязанности Общества как оператора персональных данных
12.1. Общество в соответствии с Законом о персональных данных в том числе, но не исключительно, исполняет следующие обязанности:
- предоставляет субъекту персональных данных или его представителю по их просьбе информацию, предусмотренную Законом о персональных данных, в том числе о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными;
- осуществляет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя дает в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа;
- разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если в соответствии с федеральным законом предоставление персональных данных и (или) получение Обществом согласия на обработку персональных данных являются обязательными;
- в случае получения персональных данных не от субъекта персональных данных предоставляет субъекту персональных данных (за исключением установленных Законом о персональных данных случаев) до начала обработки таких персональных данных информацию, предусмотренную Законом о персональных данных;
- при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных;
- вносит необходимые изменения в персональные данные в случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, а также уведомляет об этом субъекта персональных данных или его представителя и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
- уничтожает персональные данные в случае представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, а также уведомляет об этом субъекта персональных данных или его представителя и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
- прекращает обработку персональных данных при достижении целей их обработки.
12.2. Общество в соответствии с Законом о персональных данных в том числе, но не исключительно имеет право:
- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;
- продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных, в случае отзыва субъектом персональных данных согласия на обработку персональных данных;
- мотивированно отказать субъекту персональных данных в выполнении повторного запроса на предоставление необходимой информации и ознакомления с обрабатываемыми персональными данными, не соответствующего условиям, предусмотренным Законом о персональных данных.
13. Заключительные положения
13.1. Настоящая Политика может быть изменена и дополнена Компанией в одностороннем порядке в случаях, предусмотренных законодательством Российской Федерации, а также при необходимости уточнения порядка обработки персональных данных, обеспечения соответствия применимым требованиям и/или совершенствования процессов обработки персональных данных.
13.2. Актуальная редакция Политики размещается в Приложении и на сайте Компании по адресу: https://krediska.ru/privacy-policy
13.3. Пользователь обязуется самостоятельно отслеживать изменения настоящей Политики. Продолжение использования Приложения после вступления в силу новой редакции Политики означает согласие Пользователя с соответствующими изменениями, если иное не предусмотрено применимым законодательством.
13.4. По всем вопросам, связанным с обработкой персональных данных, Пользователь вправе обратиться в Компанию по следующим контактным данным:
- адрес: 603093, Россия г. Нижний Новгород, ул. Ковровская, д. 21А, помещ. 504;
- телефон: 8 800 600-96-76;
- адрес электронной почты: support@krediska.ru.
13.5. Компания подтверждает, что принимает необходимые меры для соблюдения требований законодательства Российской Федерации о персональных данных, обеспечивает конфиденциальность персональных данных и применяет организационные и технические меры защиты в объёме, предусмотренном законодательством и внутренними документами Компании.
13.6. Настоящая Политика не ограничивает и не исключает права Пользователя, предоставленные ему законодательством Российской Федерации, и подлежит применению в части, не противоречащей обязательным требованиям законодательства.
The English version of Privacy Policy
1. General Provisions
1.1. This Privacy Policy defines the procedure for processing and protecting the personal data of users of the website, mobile application, and other services provided by Limited Liability Company "Microcredit Company Krediska" (hereinafter referred to as the "Company"). This Policy is developed to inform Users about the composition of personal and user data collected and processed, the purposes, methods, and conditions of their processing, the measures taken by the Company to ensure their security, as well as the rights of Users and the available means of exercising their rights in relation to personal data.
1.2. This Policy defines the procedure for processing and protecting information about Users using the services, functions, and features of the Application, and is aimed at ensuring compliance with the rights and freedoms of individuals and citizens in the processing of personal data, including the protection of the right to privacy, personal and family secrecy.
1.3. The Policy has been developed taking into account the requirements of the legislation of the Russian Federation, including Federal Law No. 152-FZ dated 27.07.2006 "On Personal Data", Federal Law No. 353-FZ dated 21.12.2013 "On Consumer Credit (Loan)", Federal Law No. 218-FZ dated 30.12.2004 "On Credit Histories", Federal Law No. 115-FZ dated 07.08.2001 "On Combating the Legalization (Laundering) of Proceeds from Crime and the Financing of Terrorism", Federal Law No. 151-FZ dated 02.07.2010 "On Microfinance Activities and Microfinance Organizations", the General Data Protection Regulation (GDPR) of the European Union (applicable to users from the EU), the requirements of the platforms: RuStore, Google Play, Apple App Store, as well as other regulatory legal acts of the Russian Federation and international standards.
1.4. Use of the Application or Website constitutes unconditional acceptance by the User of this Policy and the conditions of processing his/her personal data specified therein. In case of disagreement with the terms of the Policy, the User must stop using the Application and Website.
1.5. The Company carries out activities for the provision of consumer loans (provides financial support) in the manner and on the terms provided for by the legislation of the Russian Federation. The mobile application "Krediska" is intended for submitting loan applications and sending an individual loan offer to the User in an automated manner. The Company ensures the confidentiality, integrity, and security of personal data and other information received from Users in accordance with the requirements of the legislation of the Russian Federation.
2. Terms
2.1. The terms and definitions used in this Policy are set forth below. The terms are used in the meanings specified in this section, unless otherwise expressly provided by the text of the Policy or follows from the essence of the relevant provision. Terms not defined by this Policy shall be interpreted in accordance with the legislation of the Russian Federation, regulatory acts of the Bank of Russia, and other applicable legal acts.
Company — a microcredit company that is the operator of personal data and processes the personal data of Users and Clients for the purposes and in the manner provided for by this Policy, the legislation of the Russian Federation, regulatory acts of the Bank of Russia, and internal documents of the Company.
Operator — the Company independently or jointly with other persons organizing and/or carrying out the processing of personal data, as well as determining the purposes of processing personal data, the composition of personal data to be processed, and the actions and operations performed with personal data.
User, Client, You — an individual using the Mobile Application and/or the service available on the Internet at krediska.ru, intending to enter into an agreement with the Company or being in contractual or pre-contractual relations with the Company, including in connection with the receipt of financial services.
Personal Data — any information relating directly or indirectly to an identified or identifiable individual, including the User or Client. Personal data may include information that directly identifies an individual, including last name, first name, patronymic, date of birth, identity document data, contact information, as well as information that does not by itself directly identify an individual but may be associated with him/her when using additional data, including device identifiers, technical identifiers, information about actions in the Application, and other similar data.
User Data — information provided independently by the User during registration, authorization, filling out questionnaires, submitting applications, using the Application, website, and other services of the Company, as well as information automatically generated or transmitted when using the said services, including technical data, usage data, information about appeals, messages, reviews, and other actions of the User.
Technical Data — information automatically transmitted to the Company when using the website, Application, and other digital services of the Company, including IP address, device information, operating system, Application version, interface language, device identifiers, connection parameters, session data, usage events, errors, failures, and other technical information necessary to ensure the functioning, security, analytics, and improvement of the Company's services.
Processing of Personal Data — any action or set of actions performed with or without the use of automation tools with personal data, including collection, recording, systematization, accumulation, storage, clarification, updating, modification, extraction, use, transfer, provision, access, anonymization, blocking, deletion, and destruction of personal data.
Automated Processing of Personal Data — processing of personal data using computer equipment, information systems, software, algorithms, scoring models, analytical tools, and other technical means used by the Company to achieve the purposes of processing personal data.
Consent to the Processing of Personal Data, Consent — a free, specific, informed, and conscious expression of will of the personal data subject, expressed in the form provided for by the legislation of the Russian Federation, by which the personal data subject grants the Company the right to process his/her personal data on the terms defined by the relevant consent, this Policy, and applicable law.
App Store — a digital software distribution platform owned and/or administered by Apple Inc., designed, among other things, for hosting, searching, downloading, installing, and updating mobile applications, including the App Store application and the website located on the Internet at: https://apps.apple.com/.
Google Play — a digital software distribution platform owned and/or administered by Google LLC, designed, among other things, for hosting, searching, downloading, installing, and updating mobile applications, including the Google Play application and the website located on the Internet at: https://play.google.com/.
RuStore — a digital software distribution platform owned and/or administered by Limited Liability Company "VK", designed, among other things, for hosting, searching, downloading, installing, and updating mobile applications, including the RuStore application and the website located on the Internet at: https://www.rustore.ru/.
ESIA "Gosuslugi" — the federal state information system "Unified Identification and Authentication System", ensuring, in cases and in the manner established by the legislation of the Russian Federation, authorized access of information interaction participants to information contained in state information systems, municipal information systems, and other information systems, including through the website located on the Internet at: https://esia.gosuslugi.ru/.
Gosuslugi Portal — the federal state information system "Unified Portal of State and Municipal Services (Functions)", providing the provision in electronic form of state and municipal services, services, and information, access to which is carried out, including through the website located on the Internet at: https://gosuslugi.ru/.
KYC Principle — a set of procedures and measures known as Know Your Customer, carried out by financial organizations and other obligated persons in accordance with applicable legislative requirements, regulatory acts of the Bank of Russia, internal control rules, and internal documents of the respective organization, including identification and/or authentication of the client, establishment and verification of information about the client, assessment of the client's risk level, as well as formation and updating of the client profile in order to comply with the requirements of legislation on combating the legalization of proceeds from crime, the financing of terrorism, and the financing of the proliferation of weapons of mass destruction, as well as other applicable requirements.
3. User Rights Regarding Personal Data
3.1. The Company recognizes the right of personal data subjects to receive information about the processing of their personal data, as well as to exercise other rights provided for by the legislation of the Russian Federation.
3.2. To exercise the said rights, the User has the right, in the cases and manner provided for by this Policy and the legislation of the Russian Federation, to:
- receive information about the personal data being processed;
- demand clarification, blocking, or destruction of personal data;
- restrict the processing of personal data;
- withdraw consent to the processing of personal data, unless otherwise provided by the legislation of the Russian Federation;
- contact the Company with a request to terminate the processing or delete personal data and/or user data.
3.3. To ensure the security of personal data and prevent unauthorized access, the Company has the right to request authorization in the Account and confirmation of the User's identity using the identification and authentication methods provided by the Company. Appeals related to changing, deleting, or otherwise disposing of data are considered by the Company if there are sufficient grounds to believe that the relevant appeal comes from a properly identified personal data subject.
3.4. The Company has the right to refuse to satisfy a request to terminate processing, delete, or destroy personal data and/or user data in cases where the retention and processing of such data are necessary:
- to comply with the requirements of the legislation of the Russian Federation;
- to fulfill the Company's obligations under the agreement;
- to comply with the statutory retention periods for documents and information;
- to fulfill the obligations provided for by the legislation on combating the legalization of proceeds from crime and the financing of terrorism;
- to protect the rights and legitimate interests of the Company, including the prevention, detection, and investigation of fraudulent actions, ensuring information security, and resolving disputes.
3.5. The Company also has the right not to satisfy a request for deletion of personal data if its execution would violate mandatory legislative requirements, impede the fulfillment of the Company's legal obligations, or create a risk of violation of the rights and legitimate interests of the Company and/or third parties, including in cases where a verification, internal investigation, or other proceeding related to ensuring security, preventing fraud, or complying with legislative requirements is being conducted in respect of the relevant Account.
4. Processing of Personal Data for the Purposes of the Company's Business Activities
4.1. The Company processes personal data for the purposes of carrying out business activities provided for by the Charter of the Company, including the provision of loans in the manner established by Federal Law No. 353-FZ dated 21.12.2013 "On Consumer Credit (Loan)" and Federal Law No. 151-FZ dated 02.07.2010 "On Microfinance Activities and Microfinance Organizations".
4.2. For the purpose of carrying out business activities, the Company processes personal data of the following categories of personal data subjects:
- clients — individuals, including those applying the special tax regime "Tax on Professional Income" (self-employed), in accordance with Federal Law No. 422-FZ dated 27 November 2018 "On the Experiment to Establish the Special Tax Regime 'Tax on Professional Income'";
- individuals representing clients — legal entities;
- persons filling out the feedback form and/or submitting an application for interaction with the Company on the Company's website (hereinafter — website users).
4.3. The Company requests the following personal data from individual clients:
- last name, first name, patronymic;
- year, month, date, and place of birth;
- address of registration at the place of residence;
- address of actual residence (place of stay);
- passport data;
- telephone;
- e-mail address.
The said User data is collected for account management and User identification in accordance with the legislation of the Russian Federation.
4.4. The Company requests the following personal data from website users:
- last name, first name, patronymic;
- e-mail address;
- telephone.
The said User data is collected for account management and User identification in accordance with the legislation of the Russian Federation.
4.5. The Company may use the industry-standard "cookie" technology. At any time, the website user may change the settings of his/her browser so that the browser stops saving all cookie files and also notifies about their sending. In this case, some services and functions of the website may stop working or work incorrectly. The said data is collected for the purpose of monitoring the uninterrupted operation of the application, improving the user experience, as well as for the purpose of combating fraud.
4.6. The Company may receive information obtained from state information systems and other official state sources, including, but not limited to, information provided through the federal state information system "Unified Identification and Authentication System" (ESIA) when the User authorizes through the Unified Portal of State and Municipal Services (Functions), as well as information on the validity of the identity document, including the passport of a citizen of the Russian Federation. The said data is collected for the purpose of monitoring the uninterrupted operation of the application, improving the user experience, as well as for the purpose of combating fraud.
4.7. Reviews, ratings, comments, and other materials posted by Users on digital software distribution platforms, including Google Play, App Store, and RuStore, as well as personal data, user data, technical information, and other information contained in such reviews, ratings, comments, and other materials relating to the User and/or his/her use of the Application. The said data is collected for the purpose of monitoring the uninterrupted operation of the application, improving the user experience, as well as for the purpose of combating fraud.
4.8. A photographic image of the User, including an image of the User's face, obtained through independent photo fixation by the User (selfie), is collected and processed when necessary for the purposes of identification, verification, biometric verification, and/or confirmation of the User's identity, as well as for the purpose of fulfilling the requirements of legislation, regulatory acts of authorized bodies, and procedures provided for by the KYC (Know Your Customer) principle. The said User data is collected for account management and User identification in accordance with the legislation of the Russian Federation.
4.9. Information about the approximate location of the User and/or the User's device, including data that allows determining the approximate geographical location without establishing exact geolocation, is collected, processed, and stored for the purposes of preventing, detecting, and suppressing fraudulent actions, unauthorized access, abuse, as well as for the purposes of ensuring the security of Clients, the Application, information systems, and services provided. The said data is collected for the purpose of preventing fraud and ensuring the security of the Company's transactions.
4.10. User appeals, requests, messages, and other correspondence of the User sent through the Application, website, support service, contact center, e-mail, messengers, and/or other communication channels, as well as information contained in such appeals, requests, and messages, are processed for the purposes of ensuring the functioning of the Application, reviewing and executing User appeals, providing responses, providing customer support, settling claims, as well as communicating with the User. The said data is collected for the purpose of implementing the functions of the Application and for communication with the Client in case of contacting the support service.
4.11. Information about the User's income, including information about the amount, sources, frequency, and nature of income, as well as other information necessary to assess the User's financial condition, is collected, processed, and stored for the purposes of implementing the functionality of the Application, assessing the User's solvency, calculating the debt burden indicator and/or maximum debt burden, analyzing the possibility of providing financial products and services, as well as fulfilling the requirements of legislation, regulatory acts of the Bank of Russia, and other authorized bodies. The said data is collected for the purpose of implementing the functions of the Application, calculating the maximum debt burden, and assessing the possibility of providing financial services in accordance with the requirements of the legislation of the Russian Federation.
4.12. Information used to prevent, detect, and suppress fraudulent actions, including data on the User's actions in the Application, information about the device, network parameters, authorization attempts, behavioral signs, technical identifiers, signs of suspicious activity, results of automated checks, and other data necessary for assessing the risk of fraud, ensuring information security, protecting the rights and legitimate interests of Clients and the Operator, as well as preventing unlawful use of the Application and/or financial services.
4.13. Information and documents processed within the framework of KYC (Know Your Customer) procedures, including identity document data, passport data, identification information, contact information, questionnaire data, credit history information, financial condition, sources of origin of funds, business reputation, intended nature of operations, establishment of business relations, affiliation with, affiliation with public officials, representatives of public officials, and/or beneficial owners, as well as other information and documents necessary for identification, verification, assessment of the Client's risk level, fulfillment of the requirements of legislation, regulatory acts of the Bank of Russia, prescriptions and instructions of authorized bodies, prevention of fraud, combating the legalization of proceeds from crime, the financing of terrorism, and the financing of the proliferation of weapons of mass destruction, as well as ensuring an adequate level of security in the provision of financial services.
5. Principles of Personal Data Processing
5.1. With respect to personal data, the Company carries out actions (operations) or a set of actions (operations), performed both with the use of automation tools and without their use, including collection, recording, systematization, accumulation, storage, clarification (updating, modification), extraction, use, transfer (distribution, provision, access), anonymization, blocking, deletion, and destruction of personal data.
5.2. The processing of personal data in the Company is carried out on the basis of the following principles:
5.3. The processing of personal data is carried out on a lawful and fair basis;
5.4. The processing of personal data is limited to the achievement of specific, predetermined, and lawful purposes. Processing of personal data incompatible with the purposes of collecting personal data is not permitted;
5.5. Merging of databases containing personal data, the processing of which is carried out for purposes incompatible with each other, is not permitted;
5.6. The content, volume, and methods of processed personal data correspond to the stated purposes of processing. The processed personal data are not excessive in relation to the stated purposes of their processing;
5.7. When processing personal data, the accuracy of personal data, their sufficiency, and, where necessary, relevance in relation to the purposes of processing personal data are ensured. The Company ensures the adoption of necessary measures to delete or clarify incomplete or inaccurate data;
5.8. Personal data are stored in a form that allows identifying the personal data subject for no longer than required by the purposes of processing personal data, but not less than 5 (five) years, unless another storage period for personal data is established by federal law, agreement, of which the personal data subject is a party, beneficiary, or surety. The processed personal data are subject to destruction or anonymization upon achieving the purposes of processing or in case of loss of the need to achieve these purposes, unless otherwise provided by federal law.
6. User Data Collected Automatically
6.1. In the process of using the Application, the Company may automatically collect and process the following user data and technical information for the purposes of ensuring the operability of the Application, improving the quality of the services provided, analyzing the user experience, as well as for the purposes of ensuring information security, preventing fraud, and protecting the rights and legitimate interests of the Company and the User.
6.2. Information about the device and software environment.
6.2.1. Such information may include:
- type and model of the device;
- unique device identifiers, including IMEI, IDFA, GAID, and other similar identifiers;
- version and name of the operating system;
- interface language and regional settings;
- screen resolution;
- browser information, including type, version, and language;
- version of the Mobile Application;
- information about connection parameters and the software environment of using the Application.
6.2.2. Information about the use of the Application.
Such information may include:
- date and time of using the Application;
- information about the User's actions in the Application, including visited pages, button clicks, sequence of actions, and other usage events;
- information about failures, errors, crashes of the Application, and other technical malfunctions;
- session identifier;
- information about the time of authorization, registration, and other significant actions in the Application;
- information about the access token, the time of its verification, and the results of verification;
- information about the source of transition, including the source of advertising traffic;
- User-Agent of the User;
- duration and frequency of using the Application.
6.2.3. Technical Data.
Technical data may include:
- IP address;
- cookie files and other similar identification technologies;
- session and device identifiers;
- list of accounts linked to the device, in cases provided for by the functionality of the Application and applicable security settings;
- other technical information automatically transmitted by the User's device when using the Application.
6.2.4. Data processed for the purposes of combating fraud and ensuring security.
For the purposes of detecting, preventing, and investigating suspicious actions, as well as ensuring the security of transactions and protecting the Account, the Company may process the following information:
- data on the approximate location of the device, if the relevant permission is granted by the User;
- information about the presence of certain applications installed on the device, if this is necessary for the purposes of information security and preventing fraud;
- device identifiers;
- session cookie files.
6.2.5. Use of location data.
When submitting an application for a consumer credit (loan) or when making transactions in the Application, the Company may use data on the location of the device, subject to the relevant permission of the User, for the purposes of:
- detecting and preventing fraudulent transactions;
- checking the compliance of the device location with the nature of the transaction being performed;
- detecting atypical activity and suspicious actions;
- carrying out additional security checks when using the Application in conditions different from the usual ones.
6.3. The processing of the said data is carried out automatically and may be used in real-time mode for the purposes of protecting the Account, preventing unauthorized access, and minimizing the risks of fraudulent transactions.
6.4. The Company does not use the said data to make decisions that entail legal consequences for the User solely on the basis of automated processing, except for cases expressly provided for by the legislation of the Russian Federation or agreed by the User terms of use of the Application.
7. Purposes of Using Users' Personal Data
7.1. The Company processes personal and user data only if there are legal grounds provided for by the legislation of the Russian Federation, including, depending on the circumstances, consent of the personal data subject, the need to perform an agreement concluded with the personal data subject, fulfillment of obligations imposed on the Company by the legislation of the Russian Federation, protection of the legitimate interests of the Company or third parties, as well as other grounds provided for by applicable law.
7.2. The Company processes personal and user data for the following purposes:
7.2.1. Conclusion and performance of a consumer credit (loan) agreement
- review of the application for the provision of a consumer credit (loan);
- conducting an assessment of solvency, creditworthiness, and risk level;
- making a decision on the possibility of concluding an agreement;
- execution and conclusion of the agreement using the provided methods of electronic signature, including a simple electronic signature;
- provision and transfer of funds to the bank details specified by the User;
- supporting the performance of obligations under the agreement.
7.2.2. Interaction with the User.
- providing responses to the User's appeals;
- sending notifications related to the use of the Application, website, Account, and contractual relations;
- informing about the status of the application, agreement, payment obligations, and other material circumstances;
- sending notifications about changes in service conditions, provisions, policies, and other documents of the Company, if such notifications are necessary for interaction with the User.
7.2.2.1. Refusal to receive certain types of informational messages may be limited in cases where sending such messages is necessary for the performance of the agreement, compliance with legislative requirements, or ensuring the security of using the Company's services.
7.2.3. Ensuring security and combating fraud
- preventing unauthorized access to the Account;
- detecting, preventing, and suppressing fraudulent actions;
- analyzing suspicious transactions and atypical activity;
- ensuring information security;
- protecting the rights and legitimate interests of the Company, Users, and third parties.
7.2.4. Improving the quality of services.
- analyzing the operation of the Application, website, and other services of the Company;
- identifying and eliminating technical errors;
- increasing the stability and quality of the services provided;
- improving the user experience;
- configuring the interface and functionality of services;
- conducting internal analytics of the use of services.
7.2.5. Information and communication.
- sending notifications about the progress of the application review;
- sending reminders about the due dates of payments and fulfillment of obligations;
- sending service messages;
- sending marketing and advertising materials — subject to separate consent, if such consent is required in accordance with the legislation of the Russian Federation.
7.2.6. Compliance with legislative requirements.
- fulfillment of obligations provided for by the legislation of the Russian Federation;
- fulfillment of the requirements of regulatory acts of the Bank of Russia and other authorized bodies;
- provision of information upon lawful requests of state bodies, courts, supervisory and control bodies;
- fulfillment of obligations for the storage of documents and information;
- compliance with the requirements of legislation on combating the legalization of proceeds from crime and the financing of terrorism;
- fulfillment of obligations related to the formation, transfer, and storage of credit history information, if such obligations are applicable.
7.2.7. User data may be processed to analyze the effectiveness of the Application, website, customer service, and marketing activities using analytical tools, including, in particular, Google Analytics, Firebase Analytics, Yandex.Metrica, AppMetrica, Juicy Score, ASOMobile, and other similar services.
7.2.7.1. When using the said tools, the Company, where possible, applies measures to anonymize data and limits the volume of transmitted information to the amount necessary to achieve the relevant purposes.
7.2.8. Transfer of data to third parties.
7.2.8.1. The Company has the right to involve third parties in the processing of personal data acting on behalf of the Company or independently determining the purposes and composition of processing within the limits permitted by the legislation of the Russian Federation.
7.2.8.2. Such persons may include, but are not limited to:
- Credit bureaus — for obtaining a credit report, assessing credit history, and fulfilling obligations provided for by the legislation of the Russian Federation;
- anti-fraud services — for assessing risks, detecting suspicious transactions, checking identifiers, as well as for the purposes of ensuring security and performing KYC procedures;
- banks and other financial organizations — for transferring funds, making settlements, reconciling transactions, and generating reports;
- communication service providers — for sending notifications, including by telephone, SMS, e-mail, and other communication channels;
- providers of digital marketing and analytics services — for conducting marketing and analytical activities on behalf of the Company or in its interests.
7.2.8.3. The transfer of personal data to the said persons is carried out in the volume necessary to perform the relevant functions, on the basis of agreements concluded with such persons, and/or in cases provided for by the legislation of the Russian Federation.
7.3. Persons to whom personal data are transferred are obliged to maintain confidentiality and ensure proper protection of personal data in accordance with the requirements of legislation and the terms of agreements with the Company.
8. Provision of Personal Data to Third Parties
8.1. The Company has the right to entrust the processing of personal data to another person with the consent of the Personal Data Subject, unless otherwise provided by federal law, on the basis of a document corresponding to the purpose of processing personal data.
8.2. The Company has the right to entrust the processing of personal data to third parties with the consent of the Personal Data Subject, solely within the limits necessary for the implementation of the main areas of its activities for the purposes of checking solvency, assessing credit risks ("scoring"), and making a reasonable decision on the issuance of a loan, including for the purpose of collecting debt, interest, contractual penalty, damages, interest for the use of another's funds, or other penalty sanctions.
8.3. A person processing personal data on behalf of the Company is obliged to comply with the principles and rules for the processing of personal data provided for by the Personal Data Law, maintain the confidentiality of personal data, and take necessary measures aimed at ensuring the fulfillment of the obligations provided for by the Personal Data Law.
8.4. The Company's instruction shall define the list of personal data, the list of actions (operations) with personal data that will be performed by the person processing personal data, and the purposes of their processing, and shall establish the following obligations:
- 8.4.1. to maintain the confidentiality of personal data;
- 8.4.2. to take measures aimed at ensuring the fulfillment of the obligations provided for by local regulatory acts of the Company;
- 8.4.3. when collecting personal data, including through the Internet, to ensure the recording, systematization, accumulation, storage, clarification (updating, modification), and extraction of personal data of citizens of the Russian Federation using databases located on the territory of the Russian Federation;
- 8.4.4. to provide the Company with documents and information confirming the adoption of measures and compliance with requirements to ensure the security of personal data;
- 8.4.5. to notify the Company in case of establishing the fact of unlawful or accidental transfer (provision, distribution, access) of personal data that has violated the rights of personal data subjects.
8.10. A person processing personal data on behalf of the Company is not required to obtain consent from the Personal Data Subject for the processing of his/her personal data.
8.5. If the Company entrusts the processing of personal data to another person, the Company is responsible to the Personal Data Subject for the actions of that person. The person processing personal data on behalf of the Company is responsible to the Company.
8.6. Personal data may be transferred in the following cases:
8.6.1. Performance of the agreement and settlement transactions.
The Company has the right to transfer personal data in the volume necessary for the performance of obligations under the consumer credit (loan) agreement, including settlement transactions, crediting and debiting funds, as well as processing payment transactions.
The said recipients may include:
- credit institutions;
- payment systems;
- correspondent banks;
- other participants in settlement and payment transactions involved in the performance of the agreement.
8.6.1.1. Data transfer is carried out in the volume necessary to carry out the relevant transaction and fulfill the obligations of the Company and/or the Client.
8.6.1.2. Compliance with legislative requirements.
The Company has the right to transfer personal data to state bodies, local self-government bodies, courts, as well as other authorized persons in the cases, manner, and volume provided for by the legislation of the Russian Federation, including upon a reasoned and duly executed request.
Such cases include, in particular, requests from:
- tax authorities;
- law enforcement agencies;
- judicial authorities;
- bodies exercising state control and supervision;
- other authorized bodies and organizations.
8.6.1.3. Assignment of rights of claim.
In case of assignment of rights of claim under the consumer credit (loan) agreement, the Company has the right to transfer personal data to the new creditor or other person to whom the relevant rights have been assigned, in the volume necessary for the performance of obligations under the agreement and in the manner provided for by the legislation of the Russian Federation.
The Client shall be notified of such assignment in the cases and manner established by law and the agreement.
8.6.1.4. Other cases provided for by legislation.
8.7. The Company has the right to transfer personal data in other cases expressly provided for by the legislation of the Russian Federation, including cases related to the fulfillment of mandatory requirements, protection of the rights and legitimate interests of the Company, Clients, and third parties, as well as the prevention of offenses, fraud, and other unlawful actions.
8.8. Prohibition on transfer for marketing purposes.
8.8.1. The Company does not transfer personal data to third parties for their independent use for marketing, advertising, or other similar purposes without separate consent of the personal data subject, if such consent is required in accordance with the legislation of the Russian Federation.
9. Protection of Personal Data
9.1. The personal data of the subject contained in the following shall be subject to protection:
- copies of documents;
- documents created by the Company;
- entries in accounting forms;
- information on electronic media;
- information in personal data information systems, as well as records containing the personal data of the subject.
9.2. The organization of work on the protection of personal data of the subject and the implementation of the protection system is regulated by the Regulation on the Protection of Personal Data approved by the order of the head of the Company.
9.3. In the event of a personal data leak, the Company is obliged to send an initial notification to Roskomnadzor within 24 hours from the moment of detection of the unlawful or accidental transfer (provision, distribution, access) of personal data that has violated the rights of personal data subjects, and within 72 hours from the moment of detection of the incident, the Company must send an additional notification to Roskomnadzor.
10. Cross-Border Transfer of Personal Data
10.1. The Company processes and stores personal data of subjects on the territory of the Russian Federation.
10.2. Cross-border transfer of personal data is not carried out, except for cases expressly provided for by the legislation of the Russian Federation and subject to compliance with the requirements established by law.
10.3. In order to prevent unauthorized cross-border transfer of personal data, the Company applies organizational and technical protection measures, including:
- control of traffic routing and restriction of access to information resources;
- application of network connection filtering mechanisms;
- restriction of access to databases from outside the Russian Federation;
- other measures aimed at ensuring compliance with legislative requirements and protecting personal data.
10.4. In case of technological necessity related to ensuring the operability of the Application or related services, the Company ensures the application of personal data protection measures and compliance with the requirements of the legislation of the Russian Federation, including requirements for cross-border transfer, if such transfer is permitted by applicable law.
11. Rights of Personal Data Subjects
11.1. The personal data subject has the right to:
- demand that the Company clarify his/her personal data, block or destroy them if the personal data are incomplete, outdated, inaccurate, unlawfully obtained, or are not necessary for the stated purpose of processing, as well as take measures provided for by law to protect his/her rights;
- demand a list of his/her personal data processed by the Company and information about the source of their receipt;
- obtain information about the periods of processing of his/her personal data, including the periods of their storage;
- demand that all persons to whom inaccurate or incomplete personal data were previously communicated be notified of all exclusions, corrections, or additions made to them;
- withdraw consent to the processing of personal data at any time (Upon withdrawal of consent to processing, the Company is obliged to stop processing and destroy the data, except in cases where their storage is required by law).
11.2. To exercise the above rights, the personal data subject may, in the manner established by Article 14 of the Personal Data Law, apply to the Company with a corresponding request. To fulfill such requests, the Company's representative establishes the identity of the Personal Data Subject and, if necessary, requests additional information.
11.3. If the Personal Data Subject believes that the Company processes his/her personal data in violation of the requirements of personal data legislation or otherwise violates his/her rights and freedoms, the Personal Data Subject has the right to challenge the actions or inaction of the Company in the manner provided for by the legislation of the Russian Federation.
12. Rights and Obligations of the Company as the Operator of Personal Data
12.1. The Company, in accordance with the Personal Data Law, including, but not limited to, performs the following obligations:
- provides the personal data subject or his/her representative, at their request, with information provided for by the Personal Data Law, including information on the availability of personal data relating to the relevant personal data subject, and provides the opportunity to familiarize themselves with these personal data;
- assesses the harm that may be caused to personal data subjects in case of violation of Federal Law No. 152-FZ dated 27 July 2006 "On Personal Data";
- in case of refusal to provide information on the availability of personal data about the relevant personal data subject or personal data to the personal data subject or his/her representative upon their appeal or upon receipt of a request from the personal data subject or his/her representative, gives a written reasoned response containing a reference to the provision of the federal law that is the basis for such refusal;
- explains to the personal data subject the legal consequences of refusing to provide his/her personal data and/or consent to their processing, if in accordance with federal law the provision of personal data and/or the Company's obtaining consent to the processing of personal data is mandatory;
- if personal data are obtained not from the personal data subject, provides the personal data subject (except for cases established by the Personal Data Law) before the start of processing such personal data with information provided for by the Personal Data Law;
- when collecting personal data, including through the Internet, ensures the recording, systematization, accumulation, storage, clarification (updating, modification), and extraction of personal data of citizens of the Russian Federation using databases located on the territory of the Russian Federation, except for cases specified in the Personal Data Law;
- makes the necessary changes to personal data in case the personal data subject or his/her representative provides information confirming that the personal data are incomplete, inaccurate, or outdated, and notifies the personal data subject or his/her representative thereof and takes reasonable measures to notify third parties to whom the personal data of this subject were transferred;
- destroys personal data in case the personal data subject or his/her representative provides information confirming that such personal data are unlawfully obtained or are not necessary for the stated purpose of processing, and notifies the personal data subject or his/her representative thereof and takes reasonable measures to notify third parties to whom the personal data of this subject were transferred;
- stops processing personal data when the purposes of their processing are achieved.
12.2. The Company, in accordance with the Personal Data Law, including, but not limited to, has the right to:
- entrust the processing of personal data to another person with the consent of the personal data subject, unless otherwise provided by federal law, on the basis of an agreement concluded with that person;
- continue processing personal data without the consent of the personal data subject if there are grounds specified in the Personal Data Law, in case the personal data subject withdraws consent to the processing of personal data;
- reasonably refuse the personal data subject to fulfill a repeated request for the provision of the necessary information and familiarization with the processed personal data that does not comply with the conditions provided for by the Personal Data Law.
13. Final Provisions
13.1. This Policy may be amended and supplemented by the Company unilaterally in cases provided for by the legislation of the Russian Federation, as well as when it is necessary to clarify the procedure for processing personal data, ensure compliance with applicable requirements, and/or improve personal data processing processes.
13.2. The current version of the Policy is posted in the Application and on the Company's website at: https://krediska.ru/privacy-policy
13.3. The User undertakes to independently monitor changes to this Policy. Continued use of the Application after the new version of the Policy comes into force means the User's consent to the corresponding changes, unless otherwise provided by applicable law.
13.4. For all issues related to the processing of personal data, the User has the right to contact the Company using the following contact details:
- Address: 603093, Russia, Nizhny Novgorod, Kovrovskaya str., 21A, room. 504;
- phone: 8 800 600-96-76;
- Email: support@krediska.ru.
13.5. The Company confirms that it takes the necessary measures to comply with the requirements of the legislation of the Russian Federation on personal data, ensures the confidentiality of personal data, and applies organizational and technical protection measures in the volume provided for by the legislation and internal documents of the Company.
13.6. This Policy does not limit or exclude the rights of the User granted to him/her by the legislation of the Russian Federation and shall be applied in the part that does not contradict the mandatory requirements of the legislation.