1.Общие положения
1.1. Цель политики обработки данных физических лиц – защитить основные права и свободы физических лиц в отношении обработки персональных данных, осуществляемой компанией Taunigma согласно нормативным актам ЕС в сфере защиты персональных данных, а также – раскрытие субъекту данных информации об обработке персональных данных в соответствии с требованиями Регламента 2016/679 Европейского Парламента и Совета (ЕС) о защите физических лиц в отношении обработки личных данных и о свободном движении таких данных, которым отменяется Директива 95/46/ЕС (Общий Регламент о защите данных) (далее – Регламент).
1.2. Политика устанавливает общий порядок, в каком осуществляются обработка персональных данных, определение основных целей обработки персональных данных и условия установления правового основания, основные принципы защиты персональных данных, применяемые при обработке персональных данных, а также продолжительность хранения персональных данных и случаи передачи персональных данных третьим лицам и в третьи страны, и – порядок, в каком субъект данных может реализовывать свои права.
1.3. Политика разработана, учитывая требования Регламента, направленные на безопасность персональных данных. Компания Taunigma обрабатывает данные физического лица, уважая интересы лиц в аспекте защиты их приватности.
1.4. Компания Taunigma в рамках применяемых нормативных актов обеспечивает конфиденциальность персональных данных и приняла соответствующие технические и организационные меры по защите персональных данных от несанкционированного доступа, противозаконной обработки, разглашения, случайной потери, изменения или уничтожения персональных данных.
1.5. Политика является обязательной для всех сотрудников компании Taunigma.
1.6. Политика cookie-файлов компании опубликована на сайте www.tainigma.com.
2. Основные принципы обработки персональных данных
2.1. В обеспечение безопасной обработки персональных данных и ее осуществления в соответствии с Регламентом и требованиям других нормативных актов, компания Taunigma, соблюдает следующие принципы обработки персональных данных:
2.1.1. Персональные данные обрабатываются законно, добросовестно и обзорным для субъекта данных образом ("законность, добросовестность и обзорность"). Реализуя в жизни данный принцип, компания Taunigma разработала настоящую политику, которой она информирует субъекта данных об обработке его персональных данных, обеспечивая, что персональные данные используются только в тех целях, в каких были собраны. Компания уважает права субъекта данных, позволяя ему контролировать обработку его данных и наблюдать за ней (см. раздел 7 политики);
2.1.2. Обработка персональных данных осуществляется для конкретных целей и исключительно согласно им ("ограничения намерения"). Компания Taunigma не осуществляет сбора персональных данных и не хранит их с неопределенными будущими целями, необходимость которых не рассмотрена, и реализация которых не утверждена нормативными актами или внутренними нормативными документами компании;
2.1.3. Персональные данные являются адекватными, соответствующими и включают в себе только ту информацию, которая необходима для целей обработки ("минимизация данных"). Реализуя в жизни данный принцип, компания не запрашивает у субъекта данных и не обрабатывает больше информации, чем необходимо для достижения конкретной цели;
2.1.4. Персональные данные точны ("точность"). Компания Taunigma заботится об обработке только корректных и точных данных. Если у компании возникли сомнения относительно актуальности или точности информации, представленной субъектом данных, компания свяжется с субъектом данных с целью уточнения обрабатываемой информации. Каждый субъект данных обязан сообщить компании об изменениях информации (например, фамилии, номера телефона, адреса местожительства лица и т. п.), представленной им компании;
2.1.5. Персональные данные хранятся не дольше чем это необходимо ("ограничение хранения"). Компания обрабатывает персональные данные не дольше, чем необходимо для осуществления определенного намерения. Исключением являются случаи, когда при завершении одного намерения возникает другое легитимное намерение (см. раздел 8 политики);
2.1.6. Персональные данные обрабатываются образом, обеспечивающим соответствующую безопасность персональных данных, в том числе – защиту от недозволенной или незаконной обработки и от случайной их потери, уничтожения или порчи, с применением соответствующих технических или организационных мер ("интегральность и конфиденциальность"). Компания Taunigma защищает данные клиентов, используя возможности современных технологий, учитывая риски, существующие в сфере приватности (например, с применением различных мер безопасности – шифровки данных, передачи данных, брандмауэра, защиты от вторжения и т.д.), а также в компании постоянно усовершенствуется система информационных технологий с целью обеспечения безопасности персональных данных. Taunigma обеспечивает возможность доступа к персональным данным только тем сотрудникам, которым это необходимо для исполнения их должностных обязанностей. Компания в целях минимизации риска нарушения защиты персональных данных надзирает за действиями обработки персональных данных, учитывает каждый инцидент, влияющий на безопасность данных, и принимает меры по недопущению дальнейших угроз данным.
2.2. Компания Taunigma отвечает за соответствие действий с данными принципам, перечисленным в подпунктах пункта 2.1, и обеспечивает их соблюдение путем:
2.2.1. внедрения настоящей политики и обеспечения соответствия деятельности компании согласно политики;
2.2.2. внедрения соответствующих технических и организационных средств и мер;
2.2.3. регулярного обучения на тот момент уже работающих и новых сотрудников, в т. ч. относительно обработки и защиты персональных данных, а также соблюдения норм конфиденциальности и этики;
2.2.4. разработки и поддержания регистра обработки данных, в котором фиксируется вся информация о действиях по обработке персональных данных;
2.2.5. информирования субъекта данных о его правах и об осуществляемой компанией обработке персональных данных.
2.3. Если нарушение защиты персональных данных создает или может создать угрозу высокой степени правам и свободам субъекта данных, компания информирует об этом субъекта данных и государственную инспекцию данных в соответствии с требованиями Регламента.
3. Категории персональных данных
3.1. Сборка персональных данных может осуществляться с субъекта данных, действий клиента по использованию услуг (например, cookie-файлы, IP-адреса, авторизация) и с внешних источников, например, публичных и частных регистров или третьих лиц.
3.2. Существуют следующие категории персональных данных, в основном – но не только – собираемых и обрабатываемых компанией:
3.2.1. Идентификационные данные: имя и фамилия субъекта данных, данные о рождении, персональный код,
данные, содержащиеся в документе, удостоверяющем личность, гражданство, налоговая резиденция, номер
налогоплательщика;
3.2.2. Контактная информация: адрес фактического и/или декларированного местожительства, номер телефона, адрес e-почты, язык коммуникации;
3.2.3. Семейные данные: сведения о супруге, иждивенцах, наследниках субъекта данных и других связанных с ним лицах;
3.2.4. Финансовые данные клиента: счета, право собственности, сделки, кредиты, доходы, обязательства, финансовый опыт клиента и цели инвестиций и т.д.;
3.2.5. Данные, добытые и/или созданные, исполняя обязанности, предусмотренные в нормативных актах: данные, следующие из запросов информации, полученных от следственных органов, присяжных нотариусов, учреждений налоговой администрации, судов и присяжных судебных исполнителей, сведения о доходах, кредитных обязательствах, принадлежащей собственности, отметках и исторических отметках в базах данных, а также остатках долговых обязательств;
3.2.6. Информация, необходимая для произведения и обработки платежей: номер расчетного счета клиента в банке, информация платежной карты, и т.д.;
3.2.7. Данные доступа систем: предоставленные субъекту данных имена пользователя и пароли;
3.2.8. Информация о пользователе сайта компании: cookie-файлы, IP-адрес.
4. Цель и правовое основание обработки персональных данных
4.1. Осуществляя свою деятельность, компания Taunigma обрабатывает персональные данные различных видов, объема и характера, учитывая разнообразные цели обработки персональных данных. Компания запрашивает и обрабатывает персональные данные только в случаях, когда имеются определенная цель и правовое основание их обработки.
4.2. Компания не обрабатывает информацию, которая не нужна для достижения законных целей. Перед началом обработки персональных данных Taunigma всегда рассматривает и определяет цели обработки персональных данных.
4.3. Компания Taunigma обрабатывает персональные данные в целях:
4.3.1. оказания и администрирования услуг по реализации продуктов компании:
4.3.1.1. идентификации клиентов;
4.3.1.2. подготовки и заключения договора (например, договора купли-продажи, договора доверительного управления и т. п.) и выполнения договорных обязательств;
4.3.1.4. обеспечения удаленных услуг;
4.3.2. обслуживания клиента;
4.3.3. обеспечения финансовых взаиморасчетов с клиентом;
4.3.4. исполнения обязанностей, установленных в нормативных актах (например, выполнения требований
Закона о предотвращении легализации средств, добытых преступным путем, и финансирования
терроризма);
4.3.5. рекламы и распространения услуг, или для нужд маркетинга, например, отправки, рекламы предложений,
проведения опросов и исследований клиентов, организации лотерей и розыгрышей и т. п.;
4.3.6. рассмотрения и обработки жалоб;
4.3.7. защиты своих ущемленных прав;
4.3.8. поддержания сайта и мобильных приложений и улучшения их работы;
4.3.9. представления информации государственным органам, государственным должностным лицам или другим
учреждениям и должностным лицам или субъектам оперативной деятельности в случаях и объемах, установленных во внешних нормативных актах;
4.3.10. гарантии безопасности компании и/или клиента, защиты жизни и здоровья клиента и/или его представителей и других прав компании и клиента;
4.3.11. управления персоналом;
4.3.12. обеспечения управления рисками;
4.3.13. исполнения обязанностей в налоговой сфере, установленных в международных договорах и нормативных актах, обязанностей в отношении автоматизированного обмена информацией о финансовых счетах и – других указанных обязанностей.
4.4. Компания Taunigma в основном получает персональные данные при:
4.4.1. идентификации и изучения клиента перед установлением деловых отношений;
4.4.2. проведении исследования клиента в период деловых отношений;
4.4.3. начале договорных отношений с клиентом и исполнении договорных отношений;
4.4.4. консультировании клиентов (если для консультации необходима идентификация Клиента) или
получении распоряжения клиента на произведение различных операций;
4.4.6. запросе информации о клиенте с различных регистров;
4.4.7. приеме на работу новых сотрудников;
4.4.8. получении письма или e-почты от субъекта данных;
4.4.9. использовании информации о субъекте данных с ресурсов Интернета и других публично доступных источников.
4.5. Политика относится к обработке персональных данных вне зависимости от того, в какой форме и/или среде клиент представляет персональные данные (на сайте компании, через мобильные приложения, в бумажном формате или по телефону) и в каких системах компании, и в каком формате они обрабатываются.
4.6. Компания Taunigma приступает к обработке персональных данных только в случае, если обработка персональных данных имеет конкретную цель (например, заключение договора, оказание определенной услуги, исполнение обязанностей, предусмотренных в нормативных актах, и т. д.) и если обработка персональных данных имеет определенное соответствующее правовое основание.
4.7. Если субъект данных отказывается от обработки персональных данных, компания вправе отказать в оказании своих услуг.
4.8. Обработка персональных данных может иметь следующие правовые основания:
4.8.1. Правовое основание: Установление и выполнение договорных обязательств.
Необходимость: Данное правовое основание позволяет обработать персональные данные перед заключением договора, в целях подготовки договора, и продолжать обработку в течение срока действительности договора, заключенного с субъектом данных. Относительно обработки персональных данных, основанной на выполнении договора, субъект данных не вправе запретить использовать свои данные для выполнения договора, пока договор в силе. Компания запрашивает всю необходимую информацию для заключения договора, кроме того, правовое основание остается в силе также в случаях, когда договор по каким-либо причинам не заключается.
4.8.2. Правовое основание: Исполнение юридической обязанности.
Необходимость: Данное правовое основание компания применяет при такой обработке персональных данных, когда у компании нет свободного выбора действий – соответствующее действие регламентируется условиями действительных нормативных актов ЕС.
4.8.3. Правовое основание: Защита жизненно-важных интересов субъекта данных или третьих лиц. Необходимость: Данное правовое основание компания применяет в исключительных случаях, когда обработка персональных данных производится, например, с целью защиты жизни или здоровья лица.
4.8.4. Правовое основание: Соблюдение общественных интересов или реализация официальных полномочий.
Необходимость: Данное правовое основание компания применяет в исключительном порядке и оно подобно выполнению юридической обязанности, потому что интересы общества или официальные полномочия компании должны быть определены в нормативных актах. В отличие от юридической обязанности, в данном случае компания может располагать свободой действий (или частичной свободой действий).
4.8.5. Правовое основание: Легитимные интересы компании или третьего лица.
Необходимость: Данное правовое основание компания применяет в случаях, когда в заявлении должна быть указана существенная для оказания услуг компании информация о третьих лицах, обеспечения безопасности собственности, сохранения доказательств осуществления сделки, защиты своих ущемленных прав. При проведении обработки данных согласно данному правовому основанию компания проводит проверку уравновешивания интересов перед началом соответствующей обработки.
4.8.6. Правовое основание: Согласие субъекта данных.
Необходимость: Данное правовое основание компания применяет, например, в маркетинговых целях, при подаче лицом заявки о получении информационного материала, рассылок и т.д.. Субъект данных имеет свободный выбор – дать свое согласие на обработку персональных данных или нет, а также субъект данных вправе в любой момент отозвать свое согласие, прекращая таким образом данную обработку. Отзыв согласия не влияет на законность хранения, осуществленного до получения отзыва.
4.9. Банк в отношении клиентов может осуществлять автоматизированное принятие решений, а также профилирование. Профилирование – это автоматизированная обработка персональных данных, используемая для оценки определенных личностных признаков клиента, особенно – для анализа или предсказания, например, экономической ситуации, личных предпочтений, интересов, местонахождения данного частного лица. Например, профилирование в компании применяется в процессе идентификации подозрительных сделок. Автоматизированное индивидуальное решение – это решение, в основе которого лежит только
автоматизированная обработка, которая в отношении клиента создает правовые последствия или которая похожим образом существенно влияет на субъекта данных. Автоматизированное принятие индивидуальных решений может осуществляться и с применением профилирования и без него. Компания заверяет, что клиент будет отдельно информирован, если полученные персональные данные будут использоваться для автоматизированного принятия индивидуальных решений (в том числе профилирования).
5. Передача персональных данных третьим лицам
5.1. Приоритетом компании Taunigma при обработке персональных данных является соблюдение конфиденциальности информации. Информация может передаваться третьим лицам в таких объемах и случаях, какие предусмотрены в действительных нормативных актах ЕС, а также – с целью обеспечения оказания качественных и эффективных услуг, или когда это необходимо для выполнения обязательств по договорам, заключенным с субъектом данных.
5.2. Банк не разглашает третьим лицам персональные данные клиента или любую информацию, полученную в период оказания услуг и действия договора, в том числе информацию о полученных услугах, финансовых взаимоотношениях или другую информацию, кроме случаев, когда:
5.2.1. данные соответствующему третьему лицу должны передаваться в рамках заключенного договора, для
выполнения какой-либо функции, которая необходима для выполнения договора или делегирована законом;
5.2.2. получено четкое и однозначное согласие клиента;
5.2.3. это предусмотрено внешними нормативными актами и – только предусмотренных в нормативных актах случаях, объеме и порядке (например, правоохранительным органам, присяжным судебным исполнителям, надзорным учреждениям и финансовым следственным учреждениям);
5.2.4. это установлено во внешних нормативных актах – для защиты законных интересов компании, например, при обращении в суд или другой государственный орган против клиента, ущемившего законные интересы компании;
5.2.5. третьим сторонам, осуществляющим обработку персональных данных по поручению компании;
5.2.6. связанным с компанией предприятиям;
5.2.7. другим лицам, гарантирующим надлежащее выполнение клиентом обязательств перед компанией;
5.2.8. участникам Европейских и международных расчетных систем, в т. ч. SWIFT, и связанным с ними лицам;
5.2.9. бенефициарам платежей или сделок;
5.2.10. другим лицам, связанным с оказанием услуг компании, в т. ч. оказывающим услуги архивирования, почты, телекоммуникационному сервису, оказывающим услуги клиенту;
5.2.11. бизнес-партнерам, обеспечивающим клиенту программы лояльности и различные привилегии.
5.3. Перед передачей данных третьему лицу компания заключает с ним договор, в котором подробно устанавливается порядок, в каком третье лицо будет обрабатывать и защищать персональные данные. Третьему лицу передается только та информация, которая необходима для осуществления конкретного намерения. При возможности компания передает информацию, в которой указан псевдоним, на основании которой третье лицо не может идентифицировать конкретного субъекта данных, или информацию, содержащую зашифрованные персональные данные. Taunigma может не заключать договор с третьим лицом только в тех случаях, когда передача соответствующих данных регламентируется условиями действительных нормативных актов ЕС.
6. Передача персональных данных в третьи страны
6.1. Обычно Персональные данные обрабатываются в ЕС/ЕЭЗ, однако в отдельных случаях они могут быть переданы и обработаны в странах, не входящих в ЕС/ЕЭЗ (в третьих странах). Передача и обработка Персональных данных вне ЕС/ЕЭЗ могут осуществляться, если для этого имеется правовое основание, а именно, с целью выполнения юридической обязанности, заключения или выполнения договора или с согласия клиента, и если приняты надлежащие меры безопасности. Надлежащие меры безопасности – это, например, заключенное соглашение, в том числе стандартные статьи договора ЕС, утвержденные согласно Регламенту.
6.2. Субъект данных на основании запроса может получить более подробную информацию о передаче персональных данных странам, находящимся вне ЕС/ЕЭЗ.
7. Права субъекта данных
7.1. Субъект данных, подав в компанию Taunigma письменное заявление, вправе получать информацию о своих персональных данных, имеющихся в распоряжении компании, а также – вправе просить об их исправлении, удалении или пополнении. Эти права субъекта данных не относятся к сбору и обработке данных, осуществляемых в исполнение требований нормативных актов, регламентирующих предотвращение легализации средств, добытых преступным путем, а также в других случаях, установленных в нормативных актах.
7.2. Субъект данных запросы информации и жалобы на обработку его персональных данных может подавать следующими способами:
7.2.1. в письменной форме, подав их лично в офисе компании,предъявив документ, удостоверяющий личность;
7.2.2. в электронной форме, отправив на адрес e-почты: info@taunigma.com;
7.3. При получении запроса субъекта данных о реализации своих прав компания проверяет идентичность субъекта данных. Имеющиеся в распоряжении компании сведения о клиенте и его сделках, получаемые компанией при оказании услуг согласно заключенным договорам, не подлежат разглашению, и их разрешается представлять только самому клиенту или его законным представителям.
7.4. Субъект данных относительно обработки его персональных данных имеет следующие права:
7.4.1. получать информацию об обработке его персональных данных, ее целях и правовых основаниях. Если персональные данные собраны с третьих лиц, то компания не обязан информировать субъекта данных о такой обработке персональных данных;
7.4.2. иметь доступ к своим данным и получать подтверждение обработки данных. Например, у клиента имеется возможность в интернет-офисе компании ознакомиться с информацией о персональных данных, остатках на счетах, и т.д.;
7.4.3. исправлять свои данные, если они неправильны или неточны. Субъект данных путем подачи обоснованного запроса и информации, обосновывающей это (если это необходимо), вправе потребовать, чтобы компания без необоснованного промедления пополнил или исправил его неточные или неполные персональные данные;
7.4.4. удалять свои персональные данные или "быть преданным забвению", например, если данные уже не нужны для тех целей, для которых они собирались, или если субъект данных отозвал свое согласие, на основании которого данные обрабатывались, если только у компании нет другого намерения и правового основания их обработки;
7.4.5. ограничивать обработку персональных данных, например, если субъект данных оспаривает точность данных, или если данные уже не нужны компании для достижения поставленных целей, а субъект данных возражает против удаления данных, для предъявления, реализации или защиты законных требований и т. п.;
7.4.6. возражать против обработки персональных данных, если обработка обоснована легитимными интересами компании или интересами общества. Права на возражение нельзя реализовать, если правовым основанием обработки персональных данных является согласие, данное субъектом данных, установление и выполнение договорных отношений, выполнение юридической обязанности, защита жизненно-важных интересов субъекта данных или третьих лиц;
7.4.7. право на переносимость или перемещение данных с целью их сохранения или обеспечения возможности повторного использования данных, например, путем передачи их другому субъекту оказания услуг. Право нельзя реализовать в отношении абсолютно всей информации. Право можно реализовать только в отношении тех персональных данных, которые субъектом данных представлены, например, путем заполнения бланков и форм для использования продуктов или услуг компании, а также персональных данных, обработка которых осуществляется автоматизированными средствами (а не бумажными документами).
7.5. Компания рассматривает запрос субъекта данных без необоснованного промедления, но не позднее чем в течение одного месяца с момента получения запроса дает ответ субъекту данных, информируя его о мерах, которые будут приниматься в связи с его запросом. Taunigma может продлить срок выполнения запроса на еще два месяца, если для этого имеется основание (например, большое количество запросов или сложность запросов).
7.6. Компания отвечает на запросы субъекта данных, а также предпринимает любые другие действия, связанные с выполнением запроса субъекта данных, бесплатно, кроме случаев, когда запрос является явно необоснованным, чрезмерным или не соответствующим ресурсам, имеющимся в распоряжении компании, а именно, если в результате выполнения запроса или условий его выполнения возникает угроза работе компании Taunigma или правам других физических лиц.
7.7. Субъект данных вправе подавать жалобы, если он считает, что его персональные данные обрабатываются не в соответствии с требованиями нормативных актов.
7.8. Субъект данных вправе подавать жалобы в надзорный орган того государства-участника, в котором находится его постоянное местожительство, место работы или место совершения предположительного нарушения, если субъект данных считает, что компания при обработке его персональных данных нарушает требования нормативных актов.
8. Продолжительность хранения персональных данных
8.1. Персональные данные будут обрабатываться только до момента, пока это будет необходимо. Период хранения может быть обоснован договором с клиентом, легитимными интересами компании или применяемыми нормативными актами.
8.2. Компания Taunigma хранит и обрабатывает персональные данные cубъекта данных до момента, пока существует хоть один из следующих условий:
8.2.1. только до момента, пока заключенный с cубъектом данных договор является действительным;
8.2.2. пока в порядке, установленном во внешних нормативных актах, компания или субъект данных может реализовывать свои легитимные интересы (например, заявлять возражения или подавать или поддерживать иск в суде);
8.2.3. пока у компании имеется юридическая обязанность хранения персональных данных;
8.2.4. пока действительно согласие субъекта данных на соответствующую обработку персональных данных, если нет другого правового основания для обработки персональных данных.
8.3. После того, когда в соответствии с пунктом 8.2 истек срок хранения персональных данных, персональные данные субъекта данных удаляются.
9. Специалист по защите персональных данных
9.1. В компании Taunigma назначен специалист по защите персональных данных, который организовывает, контролирует соответствие осуществляемой компанией обработки персональных данных требованиям нормативных актов и настоящей политики.
9.2. Субъект данных вправе получать ответы на общие вопросы, связанные с обработкой персональных данных в компании (вопросы, не требующие представления сведений, не подлежащих разглашению), а также – отозвать свое согласие на обработку персональных данных, обращаясь в компанию по e-почте по адресу: info@taunigma.com, в свою очередь, запрос информации об обработке его персональных данных или жалобу необходимо подавать согласно порядку, установленному в пункте 7.2 политики. Компания обеспечивает коммуникацию на русском, немецком и английском языках.
10. Актуализация политики
10.1. Актуализация политики осуществляется с учетом изменений в обработке персональных данных компании Taunigma и в соответствии с изменениями внешних нормативных актов, но не реже одного раза в год.
10.2. Специалист по защите персональных данных вправе вносить руководству компании предложения по улучшению системы защиты Персональных данных в компании.
10.3. Руководство компании вправе вносить изменения в политику.
10.4. Политика со внесенными изменениями публикуется на сайте компании и вступает в силу с даты ее публикации.
