3. СПЕЦИАЛЬНЫЕ КАТЕГОРИИ И БИОМЕТРИЧЕСКИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
3.1. Специальные категории персональных данных
Общество не обрабатывает специальные категории персональных данных, за исключением случаев, прямо предусмотренных законодательством Российской Федерации.
К специальным категориям персональных данных относятся сведения, касающиеся:

• расовой или национальной принадлежности;
• политических взглядов;
• религиозных или философских убеждений;
• состояния здоровья;
• интимной жизни.

Обработка указанных категорий персональных данных запрещена, за исключением следующих ситуаций:

1. Субъект персональных данных дал письменное согласие на обработку соответствующих данных.
2. Обработка осуществляется в соответствии с трудовым законодательством РФ и необходима для выполнения обязанностей работодателя.
3. Персональные данные являются общедоступными, то есть опубликованы субъектом или с его согласия.
4. Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или третьих лиц, и получение согласия невозможно.
5. Обработка осуществляется в медицинских целях, для установления диагноза, предоставления медицинских и медико-социальных услуг, при условии соблюдения законодательства в области охраны здоровья.
6. Обработка осуществляется для установления или осуществления прав субъекта персональных данных или третьих лиц, а также в связи с реализацией правосудия.
7. Обработка предусмотрена федеральными законами в целях обеспечения:

• безопасности Российской Федерации,
• правопорядка,
• противодействия коррупции и экстремизму,
• проведения оперативно-розыскных мероприятий,
• исполнения уголовно-исполнительного законодательства.

Обработка специальных категорий персональных данных в каждом из вышеперечисленных случаев возможна только при условии принятия мер по их защите, соответствующих уровню угроз, включая организационные, технические и правовые меры, предусмотренные Постановлением Правительства РФ № 1119.
3.2. Биометрические персональные данные
Общество не осуществляет обработку биометрических персональных данных, за исключением случаев, установленных действующим законодательством.
К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, в том числе:

• фотографические изображения;
• отпечатки пальцев (дактилоскопическая информация);
• шаблоны радужной оболочки глаза;
• голосовые данные;
• геометрия лица;
• иные аналогичные параметры, в том числе полученные с использованием технических средств.

Обработка биометрических персональных данных возможна исключительно при одновременном выполнении следующих условий:

1. Наличие письменного согласия субъекта персональных данных, оформленного в соответствии с требованиями законодательства РФ.
2. Прямое указание в федеральном законе, допускающее такую обработку (например, в сфере безопасности, миграции, госслужбы, здравоохранения, при идентификации через ЕСИА и др.).
3. Принятие всех предусмотренных законом мер по обеспечению безопасности таких данных, включая:

• определение уровня защищенности ИСПДн;
• применение сертифицированных СЗИ;
• контроль доступа к техническим средствам;
• ведение журналов доступа и операций.

3.3. Прекращение обработки и уничтожение специальных и биометрических персональных данных
Обработка специальных и биометрических персональных данных незамедлительно прекращается, если:

• достигнуты цели обработки;
• устранены обстоятельства, обусловившие необходимость такой обработки;
• субъект персональных данных отозвал своё согласие.

В случае прекращения обработки персональные данные подлежат уничтожению или обезличиванию в сроки, установленные внутренними документами Общества и в соответствии с положениями законодательства Российской Федерации.
Акт об уничтожении персональных данных составляется комиссией, утверждённой приказом Генерального директора.


4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Общие условия обработки персональных данных
Обработка персональных данных в Обществе осуществляется при соблюдении следующих условий:

• наличие законного основания, установленного статьёй 6 Федерального закона № 152-ФЗ;
• достижение конкретных, заранее определённых и законных целей обработки;
• соответствие целей обработки правам и законным интересам субъекта персональных данных;
• наличие организационных и технических мер, обеспечивающих защиту персональных данных;
• наличие режима конфиденциальности персональных данных.

Обработка осуществляется как с использованием средств автоматизации (в информационных системах), так и без их использования (на бумажных носителях).
4.2. Правовые основания обработки персональных данных
Обработка персональных данных Обществом допускается при наличии одного или нескольких следующих оснований:

1. Заключение и исполнение договора, стороной которого является субъект персональных данных (например, договор микрозайма, трудовой договор).
2. Согласие субъекта персональных данных, оформленное письменно или в электронной форме с усиленной квалифицированной подписью.
3. Необходимость соблюдения обязательств, предусмотренных законодательством, включая:

• трудовое, налоговое, пенсионное, антикоррупционное законодательство;
• требования в сфере ПОД/ФТ (115-ФЗ);
• федеральные и ведомственные нормативные акты.

1. Реализация прав и законных интересов Общества, в случаях, когда это не нарушает права и свободы субъекта.
2. Обработка персональных данных, подлежащих опубликованию или обязательному раскрытию, в соответствии с федеральным законом.

4.3. Конфиденциальность персональных данных
Все персональные данные, обрабатываемые Обществом, являются конфиденциальной информацией.
Общество обязуется:

• не раскрывать персональные данные третьим лицам без согласия субъекта или наличия иного правового основания;
• применять организационные и технические меры для предотвращения несанкционированного доступа к персональным данным;
• вести учёт лиц, получающих доступ к персональным данным, и контроль за такими действиями.

Сотрудники, имеющие доступ к персональным данным, подписывают обязательство о неразглашении сведений, составляющих персональные данные.
4.4. Поручение обработки персональных данных третьим лицам
В случае, если Общество поручает обработку персональных данных третьим лицам (обработчикам), с такими лицами заключается договор, который включает следующие обязательные условия:

• соблюдение конфиденциальности персональных данных;
• принятие мер по защите персональных данных, предусмотренных законодательством РФ;
• обработка персональных данных только в рамках поручения Общества;
• прекращение обработки и уничтожение персональных данных по окончании договора или при достижении целей.

Контроль за деятельностью обработчиков осуществляется уполномоченными лицами Общества.
4.5. Хранение и уничтожение персональных данных
Общество обеспечивает хранение персональных данных в следующих условиях:

• в форме, позволяющей определить субъекта персональных данных;
• не дольше, чем этого требуют цели обработки;
• с соблюдением требований законодательства и внутреннего регламента Общества.

Сроки хранения персональных данных
Персональные данные хранятся в форме, позволяющей определить субъект, не дольше, чем этого требуют цели обработки либо иные законные основания.

• Паспортные данные — до прекращения договорных отношений + 5 лет;
• Анкеты клиентов — 5 лет после последнего обращения;
• Переписка и служебные запросы — 3 года;
• Данные работников — 75 лет (личные дела) согласно архивному законодательству;
• Иные данные — в соответствии с нормативными сроками, установленными законодательством РФ и локальными актами Общества.

Уничтожение персональных данных осуществляется:

• по достижении целей обработки;
• при отзыве согласия (если нет иного правового основания для хранения);
• по истечении установленных сроков хранения;
• в случае выявления фактов неправомерной обработки.

Процедура уничтожения включает:

• издание приказа;
• назначение комиссии;
• составление акта об уничтожении персональных данных;
• отражение информации в журнале уничтожения.

4.6. Обработка персональных данных в целях продвижения товаров и услуг
Обработка персональных данных субъектов в целях продвижения товаров, работ и услуг допускается только при наличии предварительного письменного согласия субъекта персональных данных.
Субъект в любое время имеет право отозвать согласие на такую обработку, направив уведомление в адрес Общества.
При получении отзыва согласия такая обработка незамедлительно прекращается.
4.7. Трансграничная передача персональных данных
Общество вправе осуществлять трансграничную передачу персональных данных в иностранные государства, обеспечивающие адекватную защиту прав субъектов персональных данных, согласно перечню, утверждённому уполномоченным органом по защите прав субъектов ПДн.
Передача возможна также при соблюдении одного из следующих условий:

• наличие письменного согласия субъекта;
• исполнение договора с участием субъекта персональных данных;
• защита жизни и здоровья субъекта или иных лиц;
• предусмотренность обязательной передачи международным договором РФ.

Передача осуществляется при наличии договорных обязательств с иностранным получателем, включающих меры защиты персональных данных и обязательства по прекращению их обработки по требованию Общества.
4.8. Прекращение обработки по отзыву согласия
В случае отзыва субъектом персональных данных согласия на обработку, если отсутствуют иные законные основания для её продолжения, Общество прекращает обработку и уничтожает персональные данные в установленный срок. Исключения допускаются только в случаях, предусмотренных законодательством Российской Федерации.
5. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Общие положения
Общество принимает все необходимые правовые, организационные и технические меры для предотвращения несанкционированного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении персональных данных.
Система обеспечения безопасности персональных данных в Обществе включает:

• локальные нормативные акты;
• внутренние регламенты и приказы;
• распределение ответственности;
• организацию контроля;
• технические и программные средства защиты информации;
• обучение и аттестацию работников.

5.2. Назначение ответственных лиц и регламентация доступа
5.2.1. Ответственные лица
Генеральный директор Общества:

• утверждает структуру ИСПДн;
• назначает лицо, ответственное за организацию обработки персональных данных;
• утверждает перечень сотрудников, имеющих доступ к персональным данным;
• утверждает модель угроз и политику безопасности.

5.2.2. Персональный доступ
К обработке персональных данных допускаются только сотрудники, для которых такая обработка необходима в рамках их должностных обязанностей.
Сотрудники:

• проходят инструктаж;
• подписывают обязательство о неразглашении персональных данных;
• привлекаются к ответственности в случае нарушения.

5.3. Организационные меры по обеспечению безопасности
Общество реализует следующие организационные меры:

• классификация информационных систем персональных данных в соответствии с Постановлением № 1119;
• ведение реестра ИСПДн;
• разработка модели угроз безопасности персональных данных;
• определение уровня защищенности ИСПДн;
• ограничение доступа к помещениям, где расположены серверы и носители информации;
• регистрация и учет лиц, имеющих доступ к ПДн;
• хранение бумажных носителей в запираемых шкафах или сейфах;
• маркировка документов и носителей, содержащих персональные данные;
• ведение журналов учета доступа, выдачи, уничтожения.

5.4. Технические меры по обеспечению безопасности
Для ИСПДн, в зависимости от категории угроз, применяются следующие меры:

• использование межсетевых экранов, антивирусной защиты, СКУД;
• настройка ролевого и дифференцированного доступа к информационным системам;
• контроль целостности и резервное копирование;
• регистрация и аудит действий пользователей (в том числе событий входа/выхода, копирования, удаления и т. д.);
• защита каналов передачи данных (шифрование, VPN, SSL/TLS);
• применение сертифицированных средств защиты информации, внесенных в реестр ФСТЭК России;
• проведение аттестации рабочих мест по требованиям информационной безопасности (при необходимости).

5.5. Помещения и физическая защита

• Размещение серверного оборудования осуществляется в выделенных помещениях, оборудованных системой контроля и управления доступом.
• Вход в помещение разрешен только сотрудникам, включенным в утвержденный перечень.
• Документы, содержащие ПДн, хранятся в сейфах или шкафах, к которым ограничен доступ.
• Организована охрана помещений, видеонаблюдение, сигнализация.

5.6. Контроль, аудит и реагирование на инциденты

• Проводятся регулярные проверки соответствия обработки персональных данных требованиям законодательства и локальных актов.
• Все инциденты, связанные с нарушением безопасности ПДн (утечка, сбой, потеря доступа), подлежат регистрации, внутреннему расследованию и документированию.
• Разрабатываются меры по устранению последствий и предотвращению повторных нарушений.
• При необходимости уведомляется уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) в установленные сроки.
• Проводится обучение сотрудников требованиям информационной безопасности не реже одного раза в год.

6. ПОЛИТИКА В ОТНОШЕНИИ COOKIE-ФАЙЛОВ И АВТОМАТИЧЕСКОГО СБОРА ТЕХНИЧЕСКИХ ДАННЫХ
6.1. Использование файлов cookie
Файлы cookie используются Обществом при посещении клиентами официального сайта (https://lp.lnzalog.ru) и мобильного приложения с целью:

• обеспечения корректного функционирования сайта и интерфейсов;
• упрощения взаимодействия с пользователем (авторизация, сохранение настроек);
• аналитики пользовательской активности;
• предоставления персонализированного контента;
• маркетинга и продвижения продуктов;
• повышения безопасности.

Cookie представляют собой фрагменты данных, сохраняемые на устройстве пользователя при посещении сайта. Они могут быть временными (сессионными) или постоянными.
6.2. Виды собираемых данных
При посещении сайта Общества, мобильных приложений или сервисов, Общество может собирать следующую техническую информацию в автоматическом режиме:

• IP-адрес устройства;
• тип и версия браузера, язык интерфейса;
• операционная система и характеристики устройства;
• дата и время входа на сайт;
• информация о переходах и страницах;
• источники перехода (реферальные ссылки, поисковые запросы);
• время нахождения на сайте;
• геолокация (если разрешено устройством);
• идентификаторы cookie, session ID, токены;
• сведения об используемом устройстве: модель, тип, разрешение экрана.

6.3. Правовое основание и юридическая квалификация обработки cookie
Согласно статье 6 и 18.1 Федерального закона № 152-ФЗ:

• данные, собираемые при помощи cookie, считаются персональными, если позволяют прямо или косвенно идентифицировать пользователя;
• в этом случае требуется согласие субъекта персональных данных либо наличие иного законного основания обработки.

Для аналитических и рекламных cookie, необходимым условием обработки является информирование субъекта и получение его согласия (в форме всплывающего уведомления/баннера при первом входе на сайт).
6.4. Информирование субъектов и реализация согласия
При первом посещении сайта пользователь получает уведомление о том, что:

• сайт использует cookie;
• некоторые cookie необходимы для функционирования сервиса;
• иные cookie используются для аналитики и маркетинга;
• пользователь может изменить настройки или отказаться.

Общество реализует механизм управления cookie посредством баннера согласия или политики использования cookie на сайте.
Пользователь может в любое время отозвать своё согласие, настроив браузер или очистив cookie на устройстве.
6.5. Хранение и срок действия cookie
Срок хранения cookie зависит от их типа:

• сессионные cookie удаляются автоматически при закрытии браузера;
• постоянные cookie хранятся на устройстве до установленного срока (обычно от 1 дня до 12 месяцев), либо до момента удаления пользователем.

Информация, собранная через cookie, хранится в соответствии с требованиями законодательства и внутренними политиками Общества.
6.6. Участие сторонних сервисов (третих лиц)
Общество может использовать внешние веб-аналитические и маркетинговые сервисы (например, Яндекс.Метрика, Google Analytics, VK Pixel), при этом:

• к ним могут передаваться cookie и обезличенные данные;
• такие сервисы действуют в соответствии со своими политиками конфиденциальности;
• Общество заключает соглашения об обработке данных, если это требуется;
• в случае трансграничной передачи данных принимаются меры по соблюдению законодательства.

6.7. Отключение и управление cookie
Пользователь может самостоятельно настроить браузер для:

• блокировки всех или некоторых cookie;
• уведомления о попытке установки cookie;
• автоматического удаления cookie при закрытии браузера;
• управления исключениями (доверенные сайты).

Общество предупреждает, что отключение cookie может привести к некорректной работе сайта или невозможности авторизации.
7. ОТВЕТСТВЕННОСТЬ СТОРОН ЗА НАРУШЕНИЕ УСЛОВИЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Ответственность Общества
Общество, являясь оператором персональных данных, несёт ответственность за:

• соблюдение законодательства Российской Федерации о персональных данных;
• принятие и реализацию всех необходимых организационных и технических мер по обеспечению безопасности персональных данных;
• своевременное уведомление уполномоченного органа (Роскомнадзор) о нарушениях в случае утечки, неправомерной передачи или иных инцидентов;
• предоставление субъектам персональных данных достоверной информации об обработке их данных в порядке, установленном ст. 14–16 Федерального закона № 152-ФЗ.

Нарушение требований законодательства влечёт за собой:

• административную ответственность в соответствии со статьей 13.11 КоАП РФ (штраф до 500 тыс. рублей и выше за повторные нарушения);
• гражданско-правовую ответственность перед субъектом персональных данных за причинённый моральный вред;
• в ряде случаев — уголовную ответственность по статье 137 УК РФ (нарушение неприкосновенности частной жизни).

Общество может быть привлечено к ответственности также за:

• несвоевременное уведомление Роскомнадзора об инциденте;
• незаконную передачу данных третьим лицам;
• отсутствие согласия при обязательности его получения;
• использование программных средств без сертификации или в нарушении требований Постановления № 1119.

7.2. Ответственность работников Общества
Работники Общества, получившие доступ к персональным данным в связи с исполнением трудовых обязанностей, несут персональную ответственность за соблюдение режима конфиденциальности.
Каждый сотрудник:

• проходит обязательный инструктаж и обучение;
• подписывает обязательство о неразглашении;
• уведомляется о мерах ответственности в случае нарушения.

В случае нарушения работником положений настоящей Политики, законодательства РФ или условий договоров и соглашений, к нему могут быть применены следующие меры:

• дисциплинарная ответственность (замечание, выговор, увольнение по п. 6 ч. 1 ст. 81 ТК РФ);
• материальная ответственность в случае причинения ущерба;
• административная ответственность по ст. 13.11 КоАП РФ;
• уголовная ответственность в случаях, предусмотренных ст. 137 УК РФ.

7.3. Ответственность третьих лиц (обработчиков)
Если Общество поручает обработку персональных данных третьим лицам (на основании договора), такие лица несут ответственность в пределах обязательств, зафиксированных в соглашении или поручении.
Обработчики обязаны:

• соблюдать установленные правила обработки и защиты ПДн;
• не использовать данные в личных целях;
• уведомлять Общество о выявленных инцидентах;
• уничтожить данные по окончании обработки.

При выявлении нарушений со стороны обработчиков, Общество вправе:

• расторгнуть договор досрочно;
• потребовать компенсации ущерба;
• уведомить контролирующие органы о выявленных нарушениях.

7.4. Ответственность субъектов персональных данных
Субъекты персональных данных несут ответственность за достоверность предоставленных ими сведений, если:

• предоставление ложных данных привело к негативным последствиям (например, невозможность исполнения договора);
• субъект намеренно скрыл информацию, обязательную к раскрытию в рамках договора.

Общество не несёт ответственности за убытки, возникшие вследствие предоставления субъектом недостоверных или неполных персональных данных.
7.5. Реагирование на инциденты
В случае выявления нарушений или инцидентов, связанных с обработкой персональных данных (утечка, несанкционированный доступ, уничтожение):

• информация фиксируется в журнале инцидентов;
• проводится внутреннее расследование комиссией, назначенной приказом;
• разрабатывается план устранения последствий и предотвращения повторного нарушения;
• при необходимости осуществляется уведомление Роскомнадзора в течение 72 часов.

Все документы по фактам нарушений подлежат хранению не менее 3 лет.
8. ПОРЯДОК ВНЕСЕНИЯ ИЗМЕНЕНИЙ В ПОЛИТИКУ И КОНТАКТНАЯ ИНФОРМАЦИЯ
8.1. Общее положение о пересмотре Политики
Настоящая Политика является локальным нормативным актом ООО МКК «ТайгерФинанс» и подлежит обязательному пересмотру в следующих случаях:

• при внесении изменений в законодательство Российской Федерации, касающееся обработки и защиты персональных данных;
• при изменении целей, состава обрабатываемых персональных данных, ИСПДн, способов и правовых оснований обработки;
• при наличии предписаний от Роскомнадзора или иного уполномоченного органа;
• при внедрении новых информационных систем или программных средств, влияющих на обработку персональных данных;
• не реже одного раза в 3 года — в целях актуализации даже при отсутствии внешних изменений.

Решение о пересмотре и утверждении новой редакции настоящей Политики принимает Генеральный директор Общества.
8.2. Порядок утверждения изменений

1. Подготовку новой редакции Политики осуществляет ответственное лицо, назначенное приказом Генерального директора.
2. Новая редакция проходит юридическую и техническую экспертизу на соответствие законодательству и требованиям безопасности.
3. Утверждение осуществляется приказом Генерального директора ООО МКК «ТайгерФинанс».
4. Новая редакция вступает в силу с даты, указанной в приказе, если иное не предусмотрено его содержанием.
5. Предыдущие редакции настоящей Политики подлежат архивному хранению в Обществе не менее 5 лет с момента утверждения новой редакции, в соответствии с внутренними регламентами документооборота и нормативными требованиями.

8.3. Доступность и размещение Политики

1. Актуальная версия настоящей Политики размещается в открытом доступе на официальном сайте Общества в сети Интернет по адресу: https://lp.lnzalog.ru 
2. По запросу субъекта персональных данных Общество обязано предоставить:

• бумажную копию Политики, заверенную подписью и печатью;
• электронную копию, направленную по e-mail;
• разъяснение положений настоящей Политики в части, касающейся обработки его персональных данных.

Общество не вправе отказывать субъекту в предоставлении информации, предусмотренной законодательством, за исключением случаев, прямо предусмотренных статьёй 14 Федерального закона № 152-ФЗ.
8.4. Контактная информация для связи по вопросам обработки персональных данных
Наименование оператора: Общество с ограниченной ответственностью микрокредитная компания «ТайгерФинанс»
Юридический адрес: 214011, Смоленская область, г. Смоленск, ул. Автозаводская, д. 11А, кв. 1
Почтовый адрес: Совпадает с юридическим адресом
Телефон: +7 (800) 777-58-37
Адрес электронной почты: 67ln@mail.ru

• Контактное лицо по вопросам персональных данных: Назначается приказом Генерального директора. Актуальные данные предоставляются по запросу.