Акционерное общество «Тинькофф Банк», далее по тексту — Банк, благодарит Вас за проявленный интерес к предоставляемым продуктам и Сервисам Банка, далее по тексту — Сервисы Банка. Защита Вашей персональной информации очень важна для нас, поэтому мы с особым вниманием относимся к защите данных, которые собираются и обрабатываются при использовании Сервисов Банка.

Сервисы Банка включают в себя мобильные приложения Банка, Интернет-Банк, а также иные сервисы, размещенные на сайте tinkoff.ru, позволяющие Пользователям осуществлять взаимодействие с Банком в рамках заключенных договора банковского обслуживания и/или договора электронных денежных средств и/или иных договоров, а также без заключения таковых, а равно взаимодействие с партнерами Банка в рамках заключенных между Пользователями и такими партнерами договорами, включая обмен информацией и совершение отдельных операций через Интернет или специальное приложение мобильного устройства (смартфона, планшета и т. п.), а также систему электронных платежей, позволяющую пользователям мобильных устройств производить оплату услуг, осуществлять денежные переводы между физическими лицами через социальные сети и совершать покупки в Интернете.

Получение доступа к использованию Сервисов Банка означает безоговорочное согласие Пользователей с положениями настоящей Политики конфиденциальности.

Банком обеспечивается безопасность персональной информации, получаемой от Пользователей Сервисов Банка. Настоящая Политика конфиденциальности разработана с целью указания перечня данных, которые могут быть запрошены у Пользователей Сервисов Банка, а также способов обработки Банком и иными лицами таких данных. В настоящей Политике конфиденциальности также указаны цели, для которых может запрашиваться или разглашаться персональная информация Пользователей. Отдельными соглашениями с Пользователями могут быть предусмотрены иные цели, в которых может запрашиваться или разглашаться персональная информация Пользователей.

В настоящей Политике конфиденциальности также указаны основные меры предосторожности, которые должны предприниматься Пользователями для того, что бы их персональная информация оставалась конфиденциальной.

Настоящее Положение применяется — к информации, которая была получена Банком в результате использования Сервисов Банка Пользователями.

1. Получаемая и используемая информация Пользователей, а также цели ее использования

Информация Пользователей собирается Банком в целях осуществления технического управления Сервисами Банка, а также для проведения анализа и улучшения работы Сервисов Банка; для предоставления Пользователям информации об оказываемых Банком услугах и предлагаемых Банком продуктах, а также аналитических и статистических данных, касающихся использования ими Сервисов Банка; в маркетинговых целях; в иных других целях, указанных в настоящей Политике конфиденциальности или условиях использования отдельных Сервисов Банка.

В настоящей Политике конфиденциальности под информацией Пользователя понимается: персональная информация, которую Пользователь самостоятельно предоставляет Банку при создании учетной записи, регистрации и т. п., а также в процессе использования Сервисов Банка (ФИО, пол, адрес электронной почты, номер телефона и пр.);

автоматически передаваемые данные в процессе использования Сервисов Банка, в том числе, но не ограничиваясь: IP-адрес, сведения о мобильном устройстве, с которого осуществляется доступ и т. д.

а также информация, загружаемая Пользователем с использованием Сервисов Банка, в том числе в виде файлов и изображений.

При использовании Сервисов Банка может быть запрошена и получена следующая информация:

Информация о Пользователе. При создании учетной записи и/или регистрации Банком запрашивается информация о пользователе, например, ФИО, пол, дата рождения, адрес проживания, адрес электронной почты, номер телефона, а также реквизиты банковской карты или иного электронного средства платежа. Банком также может быть запрошена дополнительная информация. При отдельном данном согласии Пользователя Банком может быть получена информация о контактных данных Пользователя (телефонная и/ или адресная книга, контакты в мобильном устройстве).

Информация о мобильном устройстве. Банком собираются данные о мобильных устройствах Пользователей, такие как модель мобильного устройства, версия операционной системы, уникальные идентификаторы устройства, а также данные о мобильной сети и номер мобильного телефона. Кроме того, идентификатор устройства и номер мобильного телефона могут быть привязаны к учетной записи Пользователя.

Информация о местоположении. Сервисы Банка, поддерживающие функцию географического местоположения мобильного устройства Пользователя, позволяют Банку получать информацию о месте фактического местоположения Пользователя, включая данные GPS, отправляемые мобильным устройством.

Информация о совершаемых операциях. При совершении операций оплаты товаров и услуг, денежных переводов и прочего, Банком собираются данные о месте, времени и сумме совершенных операций, тип способа оплаты, данные о продавце и/ или поставщике услуг, описания причины совершения операции, если таковые имеются, а также иную информацию, связанную с совершением указанных выше операций.

Информация об установленных приложениях. Банком собираются метаданные приложений, установленных на мобильном устройстве Пользователя, такие как название приложения, идентификатор приложения и контрольная сумма. Указанные данные используются Банком для выявления вредоносных программ и вирусов с целью обеспечения безопасности данных Пользователя при использовании мобильного приложения, а также в целях расширения функционала Сервисов Банка, в том числе в рамках взаимодействия с партнерами Банка.

При отдельном согласии Пользователя, Банком собираются метаданные медиа-файлов, хранящихся на мобильном устройстве Пользователя, такие как дата и время создания, версию и технические характеристики программы, в которой был создан файл, местоположение и т. п. Указанные данные используются Банком для целей аналитики и статистики, использования Сервисов Банка; формирования персонализированных предложений для Пользователя.

При использовании информации Пользователей Банк руководствуется настоящей Политикой конфиденциальности, Положением о защите персональных данных клиентов Банка при их обработке

2. Предоставление информации Пользователей третьим лицам

Банк вправе предоставлять информацию Пользователей своим аффилированным лицам, а также партнерам и иным компаниям, связанным с Банком в целях, указанных выше. При этом аффилированные лица Банка, а также связанные с ним компании обязаны придерживаться настоящей Политики конфиденциальности.

Банк вправе предоставлять Пользователям информацию о других Пользователях с целью предоставления дополнительного функционала Сервисов Банка. Указанная информация ограничена данными, необходимыми для достижения цели ее предоставления и не содержит персональные данные и банковскую тайну Пользователя.

Банком не предоставляется информация Пользователей компаниям и частным лицам, не связанным с Банком, за исключением перечисленных ниже случаев.

— Пользователь дал на это свое согласие. Для предоставления Банком информации Пользователей компаниям и частным лицам, не связанным с Банком, в том числе другим Пользователям, запрашивается дополнительное согласие Пользователя. Пользователь в любое время может отозвать данное согласие.

— По требованию действующего законодательства. Банком предоставляется информация Пользователей в том случае, если получение, использование и раскрытие такой информации необходимо с целью:

• выполнения и соблюдения действующего законодательства, судебных решений или исполнение законных требований государственных органов;

• выявления, пресечения или иного воспрепятствования мошенничеству, а также устранения технических сбоев или проблем безопасности;

• защиты прав, собственности или безопасности Банка, Пользователей Сервисов Банка в рамках, допускаемых действующим законодательством.

Банком могут предоставляться обобщенные обезличенные данные Пользователей Сервисов Банка партнерам (например, с целью проведения статистических и иных исследований).

При передаче информации Пользователей за границу, Банк обеспечивает соблюдение действующего законодательства и настоящего Положения в отношении информации Пользователей путем заключения договоров, в которых будет гарантировано, что получатели информации придерживаются соответствующего уровня защиты.

3. Меры безопасности, используемые для сохранения конфиденциальности информации

Банком предпринимаются все возможные меры для обеспечения безопасности и защиты информации Пользователей от несанкционированных попыток доступа, изменения, раскрытия или уничтожения, а также иных видов ненадлежащего использования. В частности, Банком постоянно совершенствуются способы сбора, хранения и обработки данных, включая физические меры безопасности, для противодействия несанкционированному доступу к системам Банка с целью хищения имущества, фишинга и иных видов мошенничества. Банком также ограничивается доступ сотрудникам, подрядчикам и агентам к информации Пользователей, предусматривая строгие договорные обязательства в сфере конфиденциальности, за нарушение которых предусмотрены жесткие меры ответственности и штрафные санкции.

Безопасность использования Сервисов Банка также зависит от соблюдения Пользователем рекомендаций, с которыми можно ознакомиться на официальном сайте Банка. Пользователь должен хранить данные учетной записи, такие как логин и пароль, втайне от третьих лиц. Пользователь обязуется незамедлительно сообщать Банку о любом случае подозрения несанкционированного использования его учетной записи.

Соблюдение Пользователем рекомендаций Банка позволит обеспечить максимальную сохранность предоставленной Банку информации, в том числе реквизитов банковской карты Пользователя (или иного электронного средства платежа), и других данных, а также снизит возможные риски при совершении операций с использованием реквизитов банковской карты (или иного электронного средства платежа) при безналичной оплате товаров и услуг, в том числе через Интернет.

Банк обеспечивает защиту информации на всех этапах ее «жизненного цикла», включающего сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных и не допускает нарушение конфиденциальности полученной информации.

Банк хранит все полученные от пользователей данные, перечень которых установлен законодательством Российской Федерации.

Для обеспечения безопасного хранения данных в информационных системах в соответствии с требованиями законодательства Банк использует следующие методы (включая, но не ограничиваясь): разграничение доступа пользователей к информационным ресурсам, программным средствам обработки (передачи) и защиты информации; шифрование данных; использование защищенных каналов связи; использование средств защиты информации и пр.

Сроки хранения данных в Банке определяются в соответствии с требованиями законодательства Российской Федерации, нормативными документами федеральных органов исполнительной власти и Банка России, документами, фиксирующими договорные отношения Банка с субъектами персональных данных, и согласиями субъектов на обработку персональных данных.

Также для обеспечения эффективного выполнения своей политики в области защиты конфиденциальной информации Банком в целях минимизации правовых и репутационных рисков на ежегодной основе, а также при приеме на работу, проводится обучение сотрудников по вопросам безопасности данных. После проведения ежегодного обучения проводится обязательное тестирование полученных знаний.

Кроме того, в целях осведомленности и расширения знаний сотрудников в области защиты конфиденциальной информации, в том числе защиты персональных данных, Банком осуществляются периодические рассылки и дайджесты.

4. Условия передачи информации

Пользователь дает согласие Банку на обработку его данных, предоставленных при регистрации в Мобильном приложении Банка и/или Интернет Банке, любыми способами, в том числе третьими лицами, в том числе воспроизведение, электронное копирование, обезличивание, блокирование, уничтожение, а также вышеуказанную обработку иных моих персональных данных, полученных в результате их обработки, с целью предоставления доступа к функционалу Мобильного приложения Банка и/или Интернет Банка, а также для

• заключения с Банком универсального договора;

• выпуска, обслуживания банковских карт; 

• создания информационных систем персональных данных Банка; 

• страхования жизни/ здоровья/ имущества и иного страхования, осуществляемого при содействии Банка или в пользу Банка и/или в связи с заключением договора;

•, а также в любых других целях, прямо или косвенно связанных с выпуском и обслуживанием банковских карт и предложением иных продуктов Банка, и направления Пользователю информации о новых продуктах и услугах Банка и/или его контрагентов.

Сбор любых данных пользователей осуществляется Банком при наличии согласия пользователя за исключением случаев, когда обработка данных в соответствии с действующим законодательством возможна без согласия пользователей.

Все полученные от пользователей данные обрабатываются Банком без участия третьих лиц. Раскрытие третьим лицам и распространение данных осуществляется Банком с согласия пользователя в объеме и в случаях, соответствующих целям обработки данных или без согласия пользователя в случаях, предусмотренных законодательством.

Настоящим пользователь дает согласие контрагентам Банка на обработку всех персональных данных, имеющихся в распоряжении/доступе Банка и/ или контрагентов Банка, в том числе с целью информирования Пользователя об услугах контрагентов, а также на обработку сведений об абонентах и оказываемым им услугам связи (в случае если контрагентом Банка является оператор связи) с целью проведения оценки вероятности платежеспособности Пользователя в будущем для принятия решения о выпуске кредитной карты.

Указанное согласие дано на срок 15 лет, а в случае его отзыва обработка персональных данных Пользователя должна быть прекращена Банком и/или третьими лицами и данные уничтожены при условии расторжения Договора и полного погашения задолженности по Договору в срок не позднее 1 (одного) года с даты прекращения действия Договора.

Пользователь дает согласие на предоставление Банком всей имеющейся о Пользователе информации в объеме, в порядке и на условиях, определенных Федеральным законом «О кредитных историях» № 218-ФЗ от 30 декабря 2004 года, во все бюро кредитных историй, включенные в государственный реестр бюро кредитных историй, а также на получение кредитного отчета из вышеозначенных бюро для заключения Договора и в течение срока действия Договора.

Пользователь дает согласие на получение Пользователем рекламы, рассылки, в том числе по сети подвижной радиотелефонной связи, от Банка, его контрагентов и аффилированных лиц.

5. Правила размещения Отзывов

В настоящем разделе Политике конфиденциальности под Отзывом понимается комментарий (включая тексты, фото, видео), размещаемые/публикуемые Пользователем посредством Сервисов Банка, о продуктах/услугах Банка и/или контрагентов Банка, в т. ч. аффилированных лиц Банка. 

Размещая Отзыв (ы) и\или добавляя фото\видео в Отзыв, Пользователь гарантирует, что: 

• Обладает всеми необходимыми на это правами; • Отзыв (ы) не содержит запрещенных заимствований, что права на все объекты (в том числе исключительные права на объекты интеллектуальной собственности, права на использование изображения гражданина и т. п.), использованные в соответствующем Отзыве, принадлежат Пользователю или Пользователем были получены необходимый в соответствии с законодательством РФ разрешение обладателя прав на данный объект.

Пользователь предоставляет Банку, его аффилированным лицам, а также контрагентам, партнерам и иным компаниям, связанным с Банком в целях, указанных в настоящей Политике конфиденциальности, право использовать содержание Отзыва (ов) как с указанием имени/ псевдонима/никнейма Пользователя, так и анонимно (без указания имени).

Размещая Отзыв, Пользователь подтверждает, что несет личную самостоятельную ответственность за любую информацию, которую он публикует, загружает или иным образом доводит до всеобщего сведения в Отзыве (ах). Пользователь подтверждает, что не вправе загружать, передавать или публиковать информацию в Отзыве (ах), если он не обладает соответствующими правами на совершение таких действий, приобретенными или переданными в соответствии с законодательством РФ.

6. Изменение Политики конфиденциальности. Применимое законодательство

Банк вправе в любое время обновлять и вносить изменения в положения настоящей Политики конфиденциальности. Новая редакция Политики конфиденциальности вступает в силу с момента ее размещения, если иное не предусмотрено положениями новой редакции Политики конфиденциальности. Банк рекомендует Пользователям Сервисов Банка регулярно обращаться к настоящей Политике конфиденциальности с целью ознакомления с наиболее актуальной редакцией.

We at Tinkoff Bank (hereinafter —   the Bank) would like to thank you for your interest in the Bank’s products   and Services. The protection of your personal information is very important   to us and we are committed to the protection of data that are collected and   processed as you use the Bank’s Services.

The Bank’s Services include mobile   applications, Internet banking, as well as other services posted on the   website tinkoff.ru, that enable Users to communicate with the Bank under   executed banking service contracts and/or e-money contracts and/or other   contracts or without any such executed contract, including information   exchange and individual transactions on the Internet or by using a special   mobile device (smartphone, tablet PC, etc.) application and/or an e-payment   system that enables mobile device users to pay for services, transfer money   between individuals over social networks and shop on the Internet.

By accessing the Bank’s Services a User consents without reservations   to provisions of this Privacy Policy.

The Bank shall protect the   security of personal information received from Bank Service Users. This   Privacy Policy has been designed to specify details that may be requested   from Bank Service Users and ways in which such details may be processed by   the Bank or other parties. This Privacy Policy also specifies purposes for   which Users' personal information may be requested or disclosed.

This Privacy Policy further   specifies basic precautions that Users must follows to keep their personal   information confidential.

This Regulation shall apply   exclusively to information received by the Bank as a result of use of the   Bank’s Services by Users.

1. User information received and used and purposes of such use

The Bank collects User information   exclusively for purposes of technical management of the Bank’s Services and   for review and improvement of the Bank’s Services and for analytical and   statistical data related to their use of the Bank’s Services; for purposes of   informing Users on the Bank’s services and products; for marketing purposes;   and for other purposes referred to in this Privacy Policy.

In this Privacy Policy User   information means personal information that a User passes to the Bank on his   or her own when creating an account, registering, etc. and while using a   Service (full name, sex, e-mail address, telephone number, etc.);

data transmitted automatically   during use of the Bank’s Services including but not limited to IP address,   details of the mobile device used for access purposes, etc.

and information uploaded by the User   using the Bank’s Services, including files and images.

The following information may be   requested and received during use of the Bank’s Services:

User information. When a user   creates an account and/or registers, the Bank requests the user’s information   such as his or her full name, sex, birth date, residence address, e-mail   address, telephone number and details of the bank card or another electronic   payment instrument. The Bank may also request additional information. Subject   to a User’s separate consent, the Bank may receive a User’s contact details   (telephone and/or address book, mobile device contacts).

Mobile device information. The   Bank collects details of Users' mobile devices such as the mobile device   model, operating system version, device unique identifiers, mobile network   details and the mobile telephone number. In addition, the device identifier   and the mobile telephone number may be linked to the User’s account.

Location information. The Bank’s   Services that support the User mobile device geographical location function   enable the Bank to receive details of a User’s actual location including GPS   data sent by a mobile device.

Transaction information. When   goods and/or services are paid for, when money is transferred, etc., the Bank   collects transaction location, time and amount details, payment method   details, seller and/or service provider details, details of the reason for   the transaction (if any) and other information in relation to such   transactions.

Information about installed   applications.

The Bank collects metadata of the   applications installed on the User’s mobile device, such as the application   name, application ID and checksum. These data are used by the Bank to detect   malware and viruses in order to ensure the security of the User’s data when   using the mobile application as well as to expand the functionality of the   Bank’s Services, including as part of interaction with the Bank’s partners.

With the User’s separate consent,   the Bank collects metadata of media files stored on the User’s mobile device,   such as the date and time of creation, version and technical characteristics   of the program in which the file was created, location, etc. These data are used   by the Bank for analytical and statistical purposes, use of the Bank’s   Services; formation of personalized offers for the User

The Bank shall use and process   User information in accordance with this Privacy Policy, the Bank’s Customer Personal   Data Protection Regulations and laws of the Russian Federation.

2. Passing User information to third   parties

The Bank shall be entitled to pass   User information to the Bank’s affiliated persons and such other companies as   may be associated with the Bank for the aforesaid purposes. The Bank’s   affiliated persons and associated companies shall adhere to this Privacy   Policy.

The Bank shall be entitled to   provide Users with information about other Users in order to provide   additional functionality of the Bank’s Services. The specified information is   limited to the data necessary to achieve the purpose of its provision and   does not contain the User’s personal data and banking secrets.

The Bank shall not pass User   information to companies and/or private persons that are not associated with   the Bank except:

— With the User’s consent. A   User’s additional consent is requested for the Bank to pass User information   to companies and/or private persons that are not associated with the Bank.

— as required by current   laws. The Bank provides User information if such information is required to   be received, used and disclosed for purposes of:

• implementation of and   compliance with current laws, court rulings or lawful requirements of public   bodies;

• detecting, stopping and   otherwise preventing fraud and remedy of technical faults or security issues;

• protection of rights,   property and security of the Bank and Bank Service Users to the extent   permitted by current laws.

The Bank may provide generalized   and depersonalized details of Bank Service Users to partners such as   publishers, advertisers, etc. (e.g. for statistical and other research   purposes).

When passing User information   abroad, the Bank shall procure that current laws and this Regulation are   complied with in respect of User information by executing contracts to   guarantee that information recipients maintain an appropriate level of   protection.

3. Security measures used to keep information confidential

The Bank shall take every possible   measures to ensure that User information is secure and protected from   unauthorized access, modification, disclosure or destruction and other   improper use. In particular, the Bank shall on an ongoing basis improve ways   in which data is collected, stored and processed, including physical security   measures, to prevent unauthorized access to the Bank’s systems for property   theft, phishing and/ or other fraudulent purposes. The Bank shall also limit   access to User information by employees, contractors and agents by providing   strict contractual confidentiality obligations with harsh sanctions and penalties   for breaches.

Secure use of the Bank’s Services   also depends on User compliance with recommendations available on the Bank’s   official website. A User must keep account details such as the login and the   password secret from third parties. A User shall promptly inform the Bank of   any suspected unauthorized use of his or her account.

User compliance with the Bank’s   recommendations will help to ensure maximum protection of information passed   to the Bank including details of the User’s bank card (or other electronic   payment instrument) and other details and will reduce possible risks in   performing transactions by using details of the bank card (or another   electronic payment instrument) when paying cashless for goods and services   including payments on the Internet.

The Bank shall protect the   information throughout its entire life cycle, including the collection,   recording, systematization, accumulation, storage, adjustment (updating,   modification), retrieval, use, transfer (dissemination, provision, access),   depersonalization, blocking, deletion, destruction of personal data, and   prevent any disclosure of the information received thereby.

The Bank shall store all data   received from the users as per the list established by the laws of the   Russian Federation.

To ensure safe storage of data in   the information systems in compliance with the legal requirements, the Bank   shall use the following methods (without limitation):

controlling users’ access to   information resources, information processing (transfer) and protection   software facilities; encrypting data; using secure data links; using   information protection facilities, etc.

The data retention periods for the   Bank shall be determined in accordance with the legal requirements of the   Russian Federation, regulatory acts of federal executive authorities and Bank   of Russia, documents governing the Bank’s contractual relations with personal   data owners, and owners’ consents to personal data processing.

In addition, to facilitate   effective implementation of its confidential information protection policy,   the Bank shall administer data security training to its employees on an   annual basis and immediately upon recruitment in order to mitigate legal and   reputational risks. Upon completion of annual training, employees shall be   subject to mandatory knowledge testing.

Moreover, in order to build and   raise employees’ awareness of confidential information protection matters,   including personal data protection, the Bank shall send newsletters and   digests on a regular basis.

4. Information transfer terms

The User gives his/her consent to   the Bank on processing his/ her data specified as when registering in the   Bank’s Mobile Application and/or Internet Bank, by any means, including

by third parties, including but   not limited to reproduction, electronic copying, depersonalization, blocking,   destruction, as well as the above mentioned processing of his/her other   personal data obtained as a result of their processing, in order to:   providing access to the functionality of the Bank’s Mobile Application and/or   Internet Bank, as well as for

• Conclude a universal   agreement with the Bank;

• Issue and service bank   cards;

• Create information systems   of personal data of the Bank;

• Insure his/her   life/health/property and perform other insurance carried out with the Bank   assistance or in favour of the Bank and/or in connection with the conclusion   of the agreement;

• As well as for any other   purposes directly or indirectly related to issuing and servicing bank cards   and an offer for other products of the Bank, and providing the User with the   information about new products and services of the Bank and/or its   counterparties.

The Bank shall collect any users’ data   subject to the user’s consent except as the current laws allow for data   processing without users’ consent.

The Bank shall process all data   received from the users without involving any third parties. The Bank shall   disclose data to third parties and disseminate any data subject to the user’s   consent to the extent and in the instances that serve the purposes of data   processing or without the user’s consent when provided for by the laws.

The user hereby consents  gives his/her consent to the Bank’s   counterparties on processing all personal data available to the Bank and/ or   the Bank’s counterparties, among other things in order to inform the User   about the services of the counterparties, as well as to process the   information about subscribers and the communication services rendered to them   (if the Bank’s counterparty is a communication provider) in order to assess   the probability of the User’s solvency in the future for making a decision on   the issue of a credit card.

The specified consent has been   given for a period of 15 years, and in the event of its recall, the   processing of the User’s personal data should be stopped by the Bank and/or   third parties and the data should be destroyed subject to termination of the   Agreement and full repayment of the debt under the Agreement no later than   one (1) year from the date of the Agreement termination.

The User gives his/her consent to   the Bank on submitting all available information about the User in the scope,   in a manner and under the terms established by the Federal Law «On Credit   Records» No. 218-FZ dated December 30, 2004, to all credit records bureaus   included in the state registry of credit records bureaus, as well as to   receive a credit report from the above bureaus for the Agreement conclusion   and within the Agreement validity period.

The User gives his/her consent on   receiving advertisement, mailout, including via the mobile radiotelephone   communication network, from the Bank, its counterparties and affiliates.

5. Rules for posting   Reviews

In this section of the Privacy Policy, the Review means a comment   (including texts, photos, videos) posted/published by the User through the   Bank`s Services, about the products/services of the Bank and/or   counterparties of the Bank, including affiliates of the Bank.

By posting a Review (s) and/or adding a photo/video to the Review,   the User guarantees that:

— has all the necessary rights to do so;

— The Review (s) does not contain prohibited borrowings, that the   rights to all objects (including exclusive rights to intellectual property   objects, rights to use the image of a citizen, etc.) used in the   corresponding Review belong to the User or the User has obtained the   necessary permission from the owner of the rights to this object in   accordance with the legislation of the Russian Federation.

The User grants the Bank, its affiliates, as well as   counterparties, partners and other companies associated with the Bank for the   purposes specified in this Privacy Policy, the right to use the content of   the Review (s) both with the indication of the User’s name / alias / nickname,   and anonymously (without specifying the name).

By posting a Review, the User confirms that he is personally   responsible for any information that he publishes, uploads or otherwise   brings to the public in the Review (s). The User confirms that he does not   have the right to upload, transmit or publish information in the Review (s) if   he does not have the appropriate rights to perform such actions acquired or   transferred in accordance with the legislation of the Russian Federation

6. Changes to this Privacy Policy.   Applicable law

The Bank shall be entitled to update and   change provisions of this Privacy Policy at any time. Any new version of the   Privacy Policy shall be effective from its placing unless otherwise provided   in such new version of the Privacy Policy. The Bank recommends that Bank   Service Users consult this Privacy Policy on a regular basis to keep up with   the latest version.We at Tinkoff Bank (hereinafter —   the Bank) would like to thank you for your interest in the Bank’s products   and Services. The protection of your personal information is very important   to us and we are committed to the protection of data that are collected and   processed as you use the Bank’s Services.

The Bank’s Services include mobile   applications, Internet banking, as well as other services posted on the   website tinkoff.ru, that enable Users to communicate with the Bank under   executed banking service contracts and/or e-money contracts and/or other   contracts or without any such executed contract, including information   exchange and individual transactions on the Internet or by using a special   mobile device (smartphone, tablet PC, etc.) application and/or an e-payment   system that enables mobile device users to pay for services, transfer money   between individuals over social networks and shop on the Internet.

By accessing the Bank’s Services a User consents without reservations   to provisions of this Privacy Policy.

The Bank shall protect the   security of personal information received from Bank Service Users. This   Privacy Policy has been designed to specify details that may be requested   from Bank Service Users and ways in which such details may be processed by   the Bank or other parties. This Privacy Policy also specifies purposes for   which Users' personal information may be requested or disclosed.

This Privacy Policy further   specifies basic precautions that Users must follows to keep their personal   information confidential.

This Regulation shall apply   exclusively to information received by the Bank as a result of use of the   Bank’s Services by Users.

1. User information received and used and purposes of such use

The Bank collects User information   exclusively for purposes of technical management of the Bank’s Services and   for review and improvement of the Bank’s Services and for analytical and   statistical data related to their use of the Bank’s Services; for purposes of   informing Users on the Bank’s services and products; for marketing purposes;   and for other purposes referred to in this Privacy Policy.

In this Privacy Policy User   information means personal information that a User passes to the Bank on his   or her own when creating an account, registering, etc. and while using a   Service (full name, sex, e-mail address, telephone number, etc.);

data transmitted automatically   during use of the Bank’s Services including but not limited to IP address,   details of the mobile device used for access purposes, etc.

and information uploaded by the User   using the Bank’s Services, including files and images.

The following information may be   requested and received during use of the Bank’s Services:

User information. When a user   creates an account and/or registers, the Bank requests the user’s information   such as his or her full name, sex, birth date, residence address, e-mail   address, telephone number and details of the bank card or another electronic   payment instrument. The Bank may also request additional information. Subject   to a User’s separate consent, the Bank may receive a User’s contact details   (telephone and/or address book, mobile device contacts).

Mobile device information. The   Bank collects details of Users' mobile devices such as the mobile device   model, operating system version, device unique identifiers, mobile network   details and the mobile telephone number. In addition, the device identifier   and the mobile telephone number may be linked to the User’s account.

Location information. The Bank’s   Services that support the User mobile device geographical location function   enable the Bank to receive details of a User’s actual location including GPS   data sent by a mobile device.

Transaction information. When   goods and/or services are paid for, when money is transferred, etc., the Bank   collects transaction location, time and amount details, payment method   details, seller and/or service provider details, details of the reason for   the transaction (if any) and other information in relation to such   transactions.

Information about installed   applications.

The Bank collects metadata of the   applications installed on the User’s mobile device, such as the application   name, application ID and checksum. These data are used by the Bank to detect   malware and viruses in order to ensure the security of the User’s data when   using the mobile application as well as to expand the functionality of the   Bank’s Services, including as part of interaction with the Bank’s partners.

With the User’s separate consent,   the Bank collects metadata of media files stored on the User’s mobile device,   such as the date and time of creation, version and technical characteristics   of the program in which the file was created, location, etc. These data are used   by the Bank for analytical and statistical purposes, use of the Bank’s   Services; formation of personalized offers for the User

The Bank shall use and process   User information in accordance with this Privacy Policy, the Bank’s Customer Personal   Data Protection Regulations and laws of the Russian Federation.

2. Passing User information to third   parties

The Bank shall be entitled to pass   User information to the Bank’s affiliated persons and such other companies as   may be associated with the Bank for the aforesaid purposes. The Bank’s   affiliated persons and associated companies shall adhere to this Privacy   Policy.

The Bank shall be entitled to   provide Users with information about other Users in order to provide   additional functionality of the Bank’s Services. The specified information is   limited to the data necessary to achieve the purpose of its provision and   does not contain the User’s personal data and banking secrets.

The Bank shall not pass User   information to companies and/or private persons that are not associated with   the Bank except:

— With the User’s consent. A   User’s additional consent is requested for the Bank to pass User information   to companies and/or private persons that are not associated with the Bank.

— as required by current   laws. The Bank provides User information if such information is required to   be received, used and disclosed for purposes of:

• implementation of and   compliance with current laws, court rulings or lawful requirements of public   bodies;

• detecting, stopping and   otherwise preventing fraud and remedy of technical faults or security issues;

• protection of rights,   property and security of the Bank and Bank Service Users to the extent   permitted by current laws.

The Bank may provide generalized   and depersonalized details of Bank Service Users to partners such as   publishers, advertisers, etc. (e.g. for statistical and other research   purposes).

When passing User information   abroad, the Bank shall procure that current laws and this Regulation are   complied with in respect of User information by executing contracts to   guarantee that information recipients maintain an appropriate level of   protection.

3. Security measures used to keep information confidential

The Bank shall take every possible   measures to ensure that User information is secure and protected from   unauthorized access, modification, disclosure or destruction and other   improper use. In particular, the Bank shall on an ongoing basis improve ways   in which data is collected, stored and processed, including physical security   measures, to prevent unauthorized access to the Bank’s systems for property   theft, phishing and/ or other fraudulent purposes. The Bank shall also limit   access to User information by employees, contractors and agents by providing   strict contractual confidentiality obligations with harsh sanctions and penalties   for breaches.

Secure use of the Bank’s Services   also depends on User compliance with recommendations available on the Bank’s   official website. A User must keep account details such as the login and the   password secret from third parties. A User shall promptly inform the Bank of   any suspected unauthorized use of his or her account.

User compliance with the Bank’s   recommendations will help to ensure maximum protection of information passed   to the Bank including details of the User’s bank card (or other electronic   payment instrument) and other details and will reduce possible risks in   performing transactions by using details of the bank card (or another   electronic payment instrument) when paying cashless for goods and services   including payments on the Internet.

The Bank shall protect the   information throughout its entire life cycle, including the collection,   recording, systematization, accumulation, storage, adjustment (updating,   modification), retrieval, use, transfer (dissemination, provision, access),   depersonalization, blocking, deletion, destruction of personal data, and   prevent any disclosure of the information received thereby.

The Bank shall store all data   received from the users as per the list established by the laws of the   Russian Federation.

To ensure safe storage of data in   the information systems in compliance with the legal requirements, the Bank   shall use the following methods (without limitation):

controlling users’ access to   information resources, information processing (transfer) and protection   software facilities; encrypting data; using secure data links; using   information protection facilities, etc.

The data retention periods for the   Bank shall be determined in accordance with the legal requirements of the   Russian Federation, regulatory acts of federal executive authorities and Bank   of Russia, documents governing the Bank’s contractual relations with personal   data owners, and owners’ consents to personal data processing.

In addition, to facilitate   effective implementation of its confidential information protection policy,   the Bank shall administer data security training to its employees on an   annual basis and immediately upon recruitment in order to mitigate legal and   reputational risks. Upon completion of annual training, employees shall be   subject to mandatory knowledge testing.

Moreover, in order to build and   raise employees’ awareness of confidential information protection matters,   including personal data protection, the Bank shall send newsletters and   digests on a regular basis.

4. Information transfer terms

The User gives his/her consent to   the Bank on processing his/ her data specified as when registering in the   Bank’s Mobile Application and/or Internet Bank, by any means, including

by third parties, including but   not limited to reproduction, electronic copying, depersonalization, blocking,   destruction, as well as the above mentioned processing of his/her other   personal data obtained as a result of their processing, in order to:   providing access to the functionality of the Bank’s Mobile Application and/or   Internet Bank, as well as for

• Conclude a universal   agreement with the Bank;

• Issue and service bank   cards;

• Create information systems   of personal data of the Bank;

• Insure his/her   life/health/property and perform other insurance carried out with the Bank   assistance or in favour of the Bank and/or in connection with the conclusion   of the agreement;

• As well as for any other   purposes directly or indirectly related to issuing and servicing bank cards   and an offer for other products of the Bank, and providing the User with the   information about new products and services of the Bank and/or its   counterparties.

The Bank shall collect any users’ data   subject to the user’s consent except as the current laws allow for data   processing without users’ consent.

The Bank shall process all data   received from the users without involving any third parties. The Bank shall   disclose data to third parties and disseminate any data subject to the user’s   consent to the extent and in the instances that serve the purposes of data   processing or without the user’s consent when provided for by the laws.

The user hereby consents  gives his/her consent to the Bank’s   counterparties on processing all personal data available to the Bank and/ or   the Bank’s counterparties, among other things in order to inform the User   about the services of the counterparties, as well as to process the   information about subscribers and the communication services rendered to them   (if the Bank’s counterparty is a communication provider) in order to assess   the probability of the User’s solvency in the future for making a decision on   the issue of a credit card.

The specified consent has been   given for a period of 15 years, and in the event of its recall, the   processing of the User’s personal data should be stopped by the Bank and/or   third parties and the data should be destroyed subject to termination of the   Agreement and full repayment of the debt under the Agreement no later than   one (1) year from the date of the Agreement termination.

The User gives his/her consent to   the Bank on submitting all available information about the User in the scope,   in a manner and under the terms established by the Federal Law «On Credit   Records» No. 218-FZ dated December 30, 2004, to all credit records bureaus   included in the state registry of credit records bureaus, as well as to   receive a credit report from the above bureaus for the Agreement conclusion   and within the Agreement validity period.

The User gives his/her consent on   receiving advertisement, mailout, including via the mobile radiotelephone   communication network, from the Bank, its counterparties and affiliates.

5. Rules for posting   Reviews

In this section of the Privacy Policy, the Review means a comment   (including texts, photos, videos) posted/published by the User through the   Bank`s Services, about the products/services of the Bank and/or   counterparties of the Bank, including affiliates of the Bank.

By posting a Review (s) and/or adding a photo/video to the Review,   the User guarantees that:

— has all the necessary rights to do so;

— The Review (s) does not contain prohibited borrowings, that the   rights to all objects (including exclusive rights to intellectual property   objects, rights to use the image of a citizen, etc.) used in the   corresponding Review belong to the User or the User has obtained the   necessary permission from the owner of the rights to this object in   accordance with the legislation of the Russian Federation.

The User grants the Bank, its affiliates, as well as   counterparties, partners and other companies associated with the Bank for the   purposes specified in this Privacy Policy, the right to use the content of   the Review (s) both with the indication of the User’s name / alias / nickname,   and anonymously (without specifying the name).

By posting a Review, the User confirms that he is personally   responsible for any information that he publishes, uploads or otherwise   brings to the public in the Review (s). The User confirms that he does not   have the right to upload, transmit or publish information in the Review (s) if   he does not have the appropriate rights to perform such actions acquired or   transferred in accordance with the legislation of the Russian Federation

6. Changes to this Privacy Policy.   Applicable law

The Bank shall be entitled to update and   change provisions of this Privacy Policy at any time. Any new version of the   Privacy Policy shall be effective from its placing unless otherwise provided   in such new version of the Privacy Policy. The Bank recommends that Bank   Service Users consult this Privacy Policy on a regular basis to keep up with   the latest version.