1. Введение

1.1 Цель настоящей Политики конфиденциальности

Компания обязуется защищать конфиденциальность, неприкосновенность частной жизни и безопасность персональных данных, которые доверяются ей клиентами, потенциальными клиентами, сотрудниками, подрядчиками, поставщиками, деловыми партнерами и иными лицами, чьи персональные данные могут обрабатываться в ходе хозяйственной деятельности Компании.

Компания признает, что защита персональных данных является ключевым условием поддержания доверия и уверенности в деловых отношениях. В связи с этим Компания внедряет и поддерживает надлежащие технические, организационные и административные меры, направленные на обеспечение законной, добросовестной и прозрачной обработки персональных данных.

Настоящая Политика конфиденциальности устанавливает рамки, в соответствии с которыми персональные данные собираются, обрабатываются, хранятся, передаются, раскрываются и защищаются Компанией.

Компания обязуется соблюдать все применимое законодательство о защите данных, включая Общий регламент по защите данных (ЕС) 2016/679 ("GDPR"), а также любые применимые национальные законы и нормативные акты о защите данных.

Компания регулярно пересматривает и обновляет свои внутренние политики, процедуры и меры безопасности, чтобы обеспечивать постоянное соответствие изменяющимся юридическим, регуляторным и операционным требованиям.

Настоящую Политику конфиденциальности следует читать совместно с любыми связанными соглашениями, уведомлениями, формами согласия, раскрытиями информации на веб‑сайте, уведомлениями о cookie и иной документацией, относящейся к конфиденциальности, которую Компания может публиковать или предоставлять время от времени.

1.2 Определение персональных данных

Для целей настоящей Политики конфиденциальности "Персональные данные" означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу ("Субъект данных").

Идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано прямо или косвенно по одному или нескольким идентификаторам, включая, помимо прочего:

• имя;
• фамилию;
• дату рождения;
• адрес проживания;
• адрес электронной почты;
• номер телефона;
• идентификационный номер;
• паспортные данные;
• налоговый идентификационный номер;
• онлайн‑идентификаторы;
• IP‑адреса;
• данные о местоположении;
• финансовую информацию;
• информацию об учетной записи;
• биометрические данные;
• сведения о занятости;
• экономические, культурные или социальные характеристики личности.

Персональные данные также могут включать информацию, которая в совокупности с иной доступной информацией позволяет идентифицировать лицо.

1.3 Специальные категории персональных данных

В определенных случаях Компания может обрабатывать специальные категории персональных данных, если это разрешено или требуется применимым законодательством.

Такие данные могут включать:

• биометрическую информацию;
• информацию о состоянии здоровья;
• информацию, необходимую для верификации личности;
• информацию, необходимую для целей соблюдения нормативных требований;
• иные категории данных, защищаемые применимым законодательством.

При обработке таких категорий данных Компания применяет усиленные меры защиты.

1.4 Информация о бизнесе

Информация, относящаяся исключительно к юридическим лицам, как правило, не считается персональными данными.

Однако сведения об индивидуальных представителях, директорах, должностных лицах, акционерах, сотрудниках, уполномоченных подписантах и иных идентифицируемых лицах, связанных с юридическим лицом, могут являться персональными данными и подлежат защите в соответствии с настоящей Политикой конфиденциальности.

Такая информация может включать:

• имена;
• рабочие адреса электронной почты;
• рабочие номера телефонов;
• должности;
• профессиональные контактные данные.

1.5 Цели сбора данных

Компания собирает и обрабатывает персональные данные только в тех случаях, когда это необходимо для законных деловых целей, включая, помимо прочего:

• установление и поддержание деловых отношений;
• предоставление продуктов и услуг;
• исполнение договорных обязательств;
• onboarding клиентов;
• верификацию личности;
• процедуры противодействия отмыванию денег;
• предотвращение мошенничества;
• соблюдение юридических обязательств;
• поддержку клиентов;
• внутреннее администрирование;
• подбор персонала и кадровое администрирование;
• управление рисками;
• информационную безопасность;
• разрешение споров;
• регуляторную отчетность;
• развитие бизнеса и улучшение сервиса.

Компания не собирает персональные данные в объеме, превышающем разумно необходимый для соответствующей цели.

1.6 Принципы защиты данных

Компания обрабатывает персональные данные в соответствии со следующими принципами:

Законность, добросовестность и прозрачность

Персональные данные должны обрабатываться законно, добросовестно и прозрачно по отношению к Субъекту данных.

Ограничение цели

Персональные данные должны собираться для определенных, явных и законных целей и не должны далее обрабатываться способом, несовместимым с этими целями.

Минимизация данных

Персональные данные должны быть адекватными, релевантными и ограниченными тем, что необходимо в отношении целей, для которых они обрабатываются.

Точность

Компания принимает разумные меры для обеспечения точности персональных данных и, при необходимости, их актуализации.

Неточные персональные данные должны быть исправлены или удалены без неоправданной задержки.

Ограничение срока хранения

Персональные данные должны храниться только столько, сколько необходимо для достижения целей, для которых они были собраны, если более длительный срок хранения не требуется законом.

Целостность и конфиденциальность

Персональные данные должны обрабатываться таким образом, чтобы обеспечивать надлежащий уровень безопасности, включая защиту от несанкционированной или незаконной обработки, а также от случайной утраты, уничтожения или повреждения.

Подотчетность

Компания несет ответственность за соблюдение принципов, изложенных в настоящей Политике конфиденциальности и применимых законах о защите данных, и должна быть способна продемонстрировать такое соблюдение.

1.7 Ответственность Компании

Компания принимает все разумные меры, необходимые для обеспечения соблюдения настоящей Политики конфиденциальности и применимого законодательства о защите данных.

Такие меры могут включать:

• внедрение внутренних политик;
• обучение персонала;
• мониторинг соблюдения требований;
• оценку рисков;
• меры контроля безопасности;
• периодические аудиты;
• назначение ответственных лиц;
• пересмотр и улучшение процедур по защите данных.

Все сотрудники, подрядчики и уполномоченные представители Компании, которые обрабатывают персональные данные, обязаны соблюдать настоящую Политику конфиденциальности и любые связанные внутренние процедуры.

---

2. Правовые основания обработки персональных данных

2.1. Общие принципы

Компания обрабатывает персональные данные только при наличии действительного правового основания в соответствии с применимым законодательством о защите данных.

Компания обеспечивает, чтобы любая обработка основывалась на одном или нескольких законных основаниях, признанных GDPR и иными применимыми законами.

Правовое основание может различаться в зависимости от характера отношений между Компанией и Субъектом данных, целей обработки и применимых правовых требований.

2.2. Исполнение договора

Компания может обрабатывать персональные данные, если такая обработка необходима для исполнения договора, стороной которого является Субъект данных, или для принятия мер по запросу Субъекта данных до заключения договора.

Такая обработка может включать:

• регистрацию аккаунта;
• онбординг клиента;
• проверку личности;
• предоставление услуг;
• исполнение транзакций;
• поддержку клиентов;
• администрирование аккаунта;
• коммуникацию по вопросам договорных обязательств;
• урегулирование споров;
• обработку платежей.

Без такой обработки Компания может быть не в состоянии предоставлять свои продукты или услуги.

2.3. Соблюдение юридических обязательств

Компания может обрабатывать персональные данные, если это необходимо для соблюдения юридических, регуляторных или установленных законом обязательств.

Такие обязательства могут вытекать из:

• законодательства по противодействию отмыванию денег;
• норм по противодействию финансированию терроризма;
• требований по соблюдению санкционных режимов;
• налогового законодательства;
• регулирования финансовых услуг;
• судебных предписаний;
• запросов государственных органов;
• требований регуляторной отчетности.

Компания может хранить и раскрывать персональные данные, если это требуется для соблюдения таких обязательств.

2.4. Законные интересы

Компания может обрабатывать персональные данные, если такая обработка необходима для законных интересов, преследуемых Компанией или третьей стороной, при условии, что такие интересы не превалируют над правами и свободами Субъекта данных.

Законные интересы могут включать:

• предотвращение мошенничества;
• информационную безопасность;
• сетевую безопасность;
• управление рисками;
• администрирование бизнеса;
• управление взаимоотношениями с клиентами;
• внутреннюю отчетность;
• улучшение услуг;
• правовую защиту по претензиям;
• корпоративную реструктуризацию;
• планирование непрерывности бизнеса;
• мониторинг соблюдения требований.

Компания проводит оценку баланса интересов, когда это требуется применимым законом.

2.5. Согласие

Если это требуется законом, Компания получает согласие Субъекта данных до обработки персональных данных.

Согласие может быть получено в электронной форме, письменно, устно или иными юридически признанными способами.

Субъект данных может отозвать согласие в любое время.

Отзыв согласия не влияет на законность обработки, осуществленной до такого отзыва.

Компания оставляет за собой право продолжать обработку персональных данных при наличии иного законного основания.

2.6. Защита жизненно важных интересов

Компания может обрабатывать персональные данные, если это необходимо для защиты жизненно важных интересов Субъекта данных или другого физического лица.

Такие ситуации могут возникать в исключительных обстоятельствах, связанных со здоровьем, безопасностью, защитой или чрезвычайными ситуациями.

2.7. Правовые требования

Компания может обрабатывать персональные данные, если это необходимо для:

• предъявления правовых требований;
• осуществления прав;
• защиты в судебных разбирательствах;
• проведения расследований;
• реагирования на споры.

Такая обработка может продолжаться после прекращения деловых отношений.

---

3. Обработка и передача персональных данных

3.1. Категории обрабатываемых персональных данных

В зависимости от характера отношений Компания может обрабатывать следующие категории персональных данных:

Идентификационные данные

• ФИО;
• дата рождения;
• гражданство;
• паспортные данные;
• сведения о документе, удостоверяющем личность;
• налоговые идентификационные номера.

Контактные данные

• адрес проживания;
• адрес для корреспонденции;
• адрес электронной почты;
• номер телефона.

Финансовые данные

• реквизиты банковского счета;
• платежная информация;
• записи о транзакциях;
• остатки по счетам;
• сведения об источнике средств;
• сведения об источнике благосостояния.

Технические данные

• IP-адреса;
• сведения о браузере;
• идентификаторы устройств;
• сведения об операционной системе;
• журналы использования;
• файлы cookie и аналогичные технологии.

Сведения о соответствии нормативным требованиям

• записи KYC;
• записи AML;
• результаты санкционного скрининга;
• результаты оценки рисков;
• записи верификации.

Данные о коммуникациях

• электронные письма;
• записи телефонных разговоров;
• обращения в поддержку;
• сообщения платформы;
• записи переписки.

3.2. Способы сбора

Персональные данные могут собираться:

• непосредственно от Субъекта данных;
• через формы регистрации аккаунта;
• через договорную документацию;
• через взаимодействия со службой поддержки;
• через использование веб-сайта;
• через файлы cookie;
• через сторонних провайдеров верификации;
• через публичные базы данных;
• через регуляторные базы данных;
• через бизнес-партнеров.

3.3. Раскрытие персональных данных

Компания может раскрывать персональные данные, когда это обоснованно необходимо для:

Поставщиков услуг

• платежных процессоров;
• хостинг-провайдеров;
• провайдеров облачных сервисов;
• технологических поставщиков;
• поставщики услуг по обеспечению соответствия нормативных требований;
• провайдеров верификации;
• провайдеров коммуникаций.

Профессиональных консультантов

• аудиторов;
• юристов;
• бухгалтеров;
• консультантов.

Регуляторов и государственных органов

• финансовых регуляторов;
• налоговых органов;
• правоохранительных органов;
• судов;
• государственных органов.

Участников корпоративной группы

Компания может передавать Персональные данные аффилированным компаниям, дочерним предприятиям, материнским компаниям и связанным организациям, если это необходимо для операционных, нормативных или административных целей.

3.4. Международная передача данных

Персональные данные могут передаваться в юрисдикции за пределами страны проживания Субъекта данных.

При осуществлении таких передач Компания внедряет меры защиты, требуемые применимыми законами о защите данных.

Такие меры могут включать:

• решения об адекватности;
• стандартные договорные условия;
• утвержденные механизмы сертификации;
• юридически признанные механизмы передачи.

Субъект данных признает, что отдельные поставщики услуг могут осуществлять деятельность на международном уровне.

3.5. Маркетинговые коммуникации

Компания может использовать персональные данные для предоставления информации о:

• продуктах;
• услугах;
• промоакциях;
• обновлениях;
• обучающих материалах;
• мероприятиях;
• рыночной информации.

Если это требуется законом, такие коммуникации направляются только при наличии соответствующего согласия.

Субъект данных может в любой момент отказаться от получения маркетинговых коммуникаций.

Компания может продолжать направлять немаркетинговые сообщения, связанные с договорными, юридическими или операционными вопросами.

3.6. Файлы cookie и аналогичные технологии

Компания может использовать файлы cookie, технологии отслеживания и аналогичные механизмы для улучшения функциональности, безопасности и пользовательского опыта.

Файлы cookie могут включать:

Обязательные cookie

Необходимы для работы сайта и услуг.

Функциональные cookie

Используются для запоминания предпочтений и настроек.

Аналитические cookie

Используются для анализа трафика сайта, поведения пользователей и эффективности услуг.

Cookie безопасности

Используются для выявления подозрительной активности, защиты аккаунтов и повышения безопасности.

Маркетинговые cookie

Используются для персонализации рекламы и маркетингового контента, когда это допускается законом.

Субъект данных может управлять настройками cookie через настройки браузера или иные доступные механизмы.

Некоторые функции сайта могут работать некорректно, если cookie отключены.

---

4. Права субъектов данных

4.1. Общие права

В соответствии с применимым законодательством субъекты данных могут осуществлять определенные права в отношении своих Персональных данных.

Компания отвечает на запросы в сроки, предусмотренные применимым законодательством.

Компания может запросить подтверждение личности перед тем, как отвечать на любой запрос.

4.2. Право на доступ

Субъект данных может запросить подтверждение того, обрабатываются ли Персональные данные.

Если Персональные данные обрабатываются, субъект данных может запросить доступ к:

• категориям данных;
• целям обработки;
• получателям данных;
• срокам хранения;
• источнику данных;
• применимым правам.

4.3. Право на исправление

Субъект данных может запросить исправление неточных или неполных Персональных данных.

Компания предпринимает разумные меры для обновления неточной информации.

4.4. Право на удаление

Субъект данных может запросить удаление Персональных данных, если:

• данные больше не требуются;
• согласие было отозвано;
• обработка является незаконной;
• применимое законодательство требует удаления.

Право на удаление не применяется, если хранение требуется по закону или необходимо для законных правовых целей.

4.5. Право на ограничение обработки

Субъект данных может запросить ограничение обработки при обстоятельствах, признаваемых применимым законодательством.

В период ограничения обработка может быть ограничена хранением и юридически допустимыми действиями.

4.6. Право на переносимость данных

В применимых случаях субъект данных может запросить копию Персональных данных в структурированном, широко используемом и машиночитаемом формате.

Если технически возможно, данные могут быть переданы непосредственно другому оператору по запросу субъекта данных.

4.7. Право на возражение

Субъект данных может возражать против обработки, осуществляемой на основании законных интересов.

Компания может продолжить обработку при наличии убедительных законных оснований или если обработка необходима для правовых требований.

4.8. Права, связанные с автоматизированным принятием решений

В применимых случаях субъект данных может запросить рассмотрение человеком определенных автоматизированных решений, затрагивающих субъекта данных.

Компания внедряет соответствующие меры защиты, если используется автоматизированное принятие решений.

4.9. Право подать жалобу

Субъект данных может подать жалобу в соответствующий надзорный орган, если субъект данных считает, что Персональные данные обрабатывались с нарушением применимого законодательства о защите данных.

Компания рекомендует сначала связаться с Компанией, чтобы обращение могло быть рассмотрено и, по возможности, оперативно урегулировано.

---

5. Меры по защите данных

5.1. Общие обязательства по обеспечению безопасности

Компания обязуется внедрять и поддерживать надлежащие технические, организационные и административные меры, направленные на защиту Персональных данных от случайного или незаконного уничтожения, утраты, изменения, несанкционированного раскрытия, несанкционированного доступа или любой иной формы незаконной обработки.

Компания признает, что информационная безопасность является непрерывным процессом, и регулярно пересматривает свои меры контроля, политики и процедуры безопасности.

Уровень защиты, внедряемый Компанией, учитывает:

• характер Персональных данных;
• объем обработки;
• контекст обработки;
• цели обработки;
• технологические разработки;
• выявленные риски;
• отраслевые стандарты.

5.2. Технические меры безопасности

Компания может внедрять технические меры защиты, включая:

• технологии шифрования;
• протоколы безопасной связи;
• системы контроля доступа;
• средства сетевой безопасности;
• системы обнаружения вторжений;
• защиту от вредоносного ПО;
• системы защиты конечных устройств;
• мониторинг систем;
• журналирование активности;
• процедуры резервного копирования данных;
• механизмы аварийного восстановления.

Компания регулярно оценивает и при необходимости обновляет такие меры.

5.3. Организационные меры безопасности

Компания может внедрять организационные меры, включая:

• внутренние политики и процедуры;
• обязательства сотрудников по конфиденциальности;
• меры управления доступом;
• программы обучения сотрудников;
• внутренний мониторинг соблюдения нормативных требований;
• периодические проверки безопасности;
• процедуры комплексной проверки поставщиков;
• процедуры реагирования на инциденты.

Доступ к Персональным данным ограничивается персоналом, которому такой доступ необходим для законных целей ведения деятельности.

5.4. Контроль доступа

Компания предпринимает разумные меры для обеспечения того, чтобы доступ к Персональным данным предоставлялся только уполномоченным лицам.

Права доступа могут назначаться в зависимости от:

• должностных обязанностей;
• операционных потребностей;
• нормативных требований;
• требований безопасности.

Права доступа могут изменяться, ограничиваться или отзыватьcя при необходимости.

5.5. Тестирование и мониторинг безопасности

Компания может проводить периодические проверки своей системы информационной безопасности.

Такие проверки могут включать:

• оценки безопасности;
• оценки уязвимостей;
• тесты на проникновение;
• проверки прав доступа;
• мониторинг инфраструктуры;
• аудиторские мероприятия.

Частота и объем таких мероприятий определяются Компанией.

5.6. Управление утечками данных

Компания поддерживает процедуры для выявления, расследования и реагирования на инциденты безопасности, связанные с Персональными данными.

Если это требуется применимым законодательством, Компания уведомляет соответствующие надзорные органы и затронутых субъектов данных в установленные законом сроки.

Компания определяет необходимые меры реагирования с учетом:

• характера инцидента;
• категорий затронутых данных;
• потенциального воздействия на субъектов данных;
• требований применимого законодательства.

5.7. Ответственность субъектов данных

Субъектам данных рекомендуется предпринимать разумные меры для защиты своей информации, включая:

• соблюдение безопасности паролей;
• защиту учетных данных доступа;
• недопущение раскрытия конфиденциальной информации неуполномоченным лицам;
• сообщение о предполагаемых инцидентах безопасности.

Компания не несет ответственности за нарушения безопасности, возникшие в результате действий или бездействия, находящихся вне разумного контроля Компании.

---

6. Ведение записей об обработке и подотчетность

6.1. Записи об обработке

Компания может вести записи, относящиеся к деятельности по обработке Персональных данных, в соответствии с применимыми требованиями законодательства.

Такие записи могут включать:

• категории обрабатываемых Персональных данных;
• цели обработки;
• категории получателей;
• сроки хранения данных;
• меры безопасности;
• международные передачи;
• правовые основания обработки.

6.2. Принцип подотчетности

Компания несет ответственность за подтверждение соблюдения применимого законодательства о защите данных.

В целях выполнения обязательств по подотчетности Компания может вести:

• внутренние политики;
• записи о проведении обучения;
• результаты проверок соблюдения требований;
• отчеты об аудитах;
• документацию по безопасности;
• оценки рисков;
• записи об обработке.

6.3. Внутренние проверки

Компания может периодически пересматривать деятельность по обработке для обеспечения соблюдения:

• применимого законодательства;
• внутренних политик;
• договорных обязательств;
• регуляторных требований.

Объем и периодичность таких проверок определяются Компанией.

6.4. Проверка третьих лиц (due diligence)

Если третьи лица обрабатывают Персональные данные от имени Компании, Компания может проводить разумные процедуры due diligence перед привлечением таких поставщиков.

Такие процедуры могут включать оценку:

• мер (контролей) безопасности;
• возможностей по соблюдению требований;
• операционных возможностей;
• договорных гарантий.

Компания может периодически пересматривать третьих лиц, где это уместно.

6.5. Обязанности сотрудников

Сотрудники, подрядчики и уполномоченные представители, осуществляющие обработку Персональных данных, обязаны соблюдать:

• настоящую Политику конфиденциальности;
• применимое законодательство;
• внутренние процедуры;
• обязательства по конфиденциальности.

Нарушение может повлечь дисциплинарные меры или иные меры, допускаемые законом.

---

7. Хранение и сроки хранения данных

7.1. Общие принципы хранения

Компания хранит Персональные данные только в течение срока, необходимого для достижения целей, для которых они были собраны, если более длительный срок хранения не требуется или не допускается законом.

Сроки хранения могут различаться в зависимости от:

• категории данных;
• целей обработки;
• регуляторных требований;
• юридических обязательств;
• деловых потребностей.

7.2. Хранение информации о Клиенте

Компания может хранить информацию, относящуюся к:

• регистрации аккаунта;
• верификации личности;
• истории транзакций;
• коммуникациям;
• жалобам;
• проверкам соблюдения требований;
• договорным отношениям.

Такая информация может храниться после прекращения деловых отношений, когда это необходимо.

7.3. Требования по хранению в рамках AML и регуляторных требований

Если это требуется применимым законодательством и нормативными актами, Компания может хранить:

• документы KYC;
• документы AML;
• записи о транзакциях;
• результаты санкционного скрининга;
• записи об источнике средств;
• записи об источнике благосостояния;
• записи расследований по соблюдению требований.

Такое хранение может продолжаться в течение сроков, предусмотренных применимым законодательством.

7.4. Хранение в связи с судебными разбирательствами и спорами

Компания может хранить Персональные данные, когда это необходимо для:

• судебных разбирательств;
• регуляторных разбирательств;
• урегулирования споров;
• расследований;
• реализации и защиты законных прав.

Такое хранение может продолжаться до полного урегулирования соответствующего вопроса.

7.5. Безопасное удаление

Когда Персональные данные больше не требуются и отсутствует правовое основание для их дальнейшего хранения, Компания принимает разумные меры для безопасного удаления, обезличивания или иного уничтожения таких данных.

Способ удаления зависит от:

• характера данных;
• используемых систем хранения;
• требований законодательства;
• технической осуществимости.

---

8. Оценка рисков и управление защитой данных

8.1. Риск-ориентированный подход

Компания применяет риск-ориентированный подход к защите Персональных данных.

Компания выявляет, оценивает и управляет рисками, связанными с обработкой Персональных данных.

Оценка рисков может учитывать:

• вероятность причинения вреда;
• степень (тяжесть) последствий;
• категории Персональных данных;
• объём обрабатываемых данных;
• технологические факторы;
• операционные факторы.

8.2. Оценка воздействия на защиту данных

Если это требуется применимым законодательством, Компания может проводить оценку воздействия на защиту данных (Data Protection Impact Assessment, "DPIA") до начала операций по обработке, которые с высокой вероятностью приводят к повышенным рискам для субъектов данных.

В рамках DPIA может оцениваться:

• необходимость обработки;
• соразмерность обработки;
• риски для физических лиц;
• меры по снижению рисков.

8.3. Управление соблюдением требований

Компания может создавать структуры управления, предназначенные для обеспечения соблюдения обязательств в области защиты данных.

Такие структуры могут включать:

• назначенный персонал по соблюдению требований;
• функции управления конфиденциальностью;
• процедуры внутреннего контроля;
• процедуры эскалации;
• механизмы отчётности.

8.4. Управление инцидентами

Компания может поддерживать процедуры для выявления и реагирования на:

• инциденты информационной безопасности;
• инциденты конфиденциальности;
• операционные инциденты;
• инциденты несоблюдения требований.

Такие процедуры могут включать расследование, меры по снижению последствий, документирование и корректирующие действия.

8.5. Постоянное совершенствование

Компания признаёт, что риски в области конфиденциальности и информационной безопасности со временем меняются.

Соответственно, Компания может периодически пересматривать и совершенствовать:

• меры контроля безопасности;
• процедуры конфиденциальности;
• рамки (модели) управления;
• программы обучения;
• системы мониторинга.

Компания оставляет за собой право изменять меры контроля в области конфиденциальности, если это необходимо для учёта меняющихся рисков, технологий, правовых требований и потребностей бизнеса.

---

9. Профилирование и автоматизированное принятие решений

9.1. Общие принципы профилирования

Компания может использовать методы профилирования и автоматизированные методы обработки, если это допускается применимым законодательством и необходимо для законных деловых целей, соблюдения требований, операционных, безопасностных или регуляторных целей.

Для целей настоящей Политики конфиденциальности профилирование означает любую форму автоматизированной обработки Персональных данных, используемую для оценки, анализа или прогнозирования определённых аспектов, относящихся к физическому лицу.

Такой анализ может относиться к:

• поведению клиентов;
• активности по счёту;
• транзакционным паттернам;
• предпочтениям в отношении сервиса;
• индикаторам риска;
• индикаторам мошенничества;
• показатели соблюдения требований;
• индикаторам безопасности.

Компания внедряет соответствующие меры защиты при осуществлении деятельности по профилированию.

9.2. Цели профилирования

Профилирование может использоваться, включая, но не ограничиваясь, для следующих целей:

Оценка рисков

Для оценки финансовых, операционных, нормативных или связанных с безопасностью рисков, связанных с деловыми отношениями.

Предотвращение мошенничества

Для выявления потенциально подозрительной, мошеннической или несанкционированной активности.

Контроли по противодействию отмыванию денег

Для содействия в выявлении необычных транзакционных паттернов, санкционных рисков, подозрительного поведения и индикаторов финансовых преступлений.

Управление взаимоотношениями с клиентами

Для лучшего понимания потребностей, предпочтений и требований клиентов к сервису.

Улучшение сервиса

Для улучшения продуктов, услуг, функциональности сайта и клиентского опыта.

Маркетинговая деятельность

Для предоставления релевантной информации о продуктах, услугах и обучающих материалах, если это допускается законом.

9.3. Автоматизированные системы мониторинга

Компания может использовать автоматизированные системы, предназначенные для:

• выявления необычной активности по счёту;
• выявления угроз безопасности;
• выявления потенциального мошенничества;
• выявления рисков несоблюдения нормативных требований;
• мониторинга транзакционного поведения;
• оценки операционных рисков.

Такие системы могут работать непрерывно и могут формировать уведомления, требующие дальнейшей проверки.

9.4. Проверка человеком

При необходимости автоматизированные оценки могут дополняться проверкой человеком.

Компания может пересматривать решения, принятые автоматизированными средствами, если:

• это требуется по закону;
• это необходимо для целей соблюдения требований;
• это необходимо для урегулирования споров;
• это уместно с учётом обстоятельств.

Компания поддерживает процедуры, предназначенные для обеспечения надлежащего контроля за автоматизированными процессами.

9.5. Права в отношении автоматизированного принятия решений

Если применимое законодательство предоставляет права, связанные с автоматизированным принятием решений, субъекты данных могут реализовывать такие права в соответствии с применимым законодательством.

Компания может запрашивать дополнительную информацию, необходимую для оценки и ответа на такие запросы.

9.6. Проверка на предмет мошенничества и соблюдения нормативных требований

Компания оставляет за собой право использовать автоматизированные системы для:

• санкционного скрининга;
• AML-скрининга;
• мониторинга транзакций;
• проверки личности;
• выявления мошенничества;
• мониторинга безопасности.

Компания может объединять информацию, полученную из нескольких источников, для таких целей.

---

10. Международные требования и трансграничное соблюдение норм

10.1. Соблюдение международных стандартов защиты данных

Компания стремится соблюдать применимые международные требования к защите данных, относящиеся к ее деятельности.

Компания обрабатывает Персональные данные в соответствии с:

• Общим регламентом по защите данных (GDPR);
• применимыми национальными законами о конфиденциальности;
• требованиями соблюдения нормативных актов в финансовом секторе;
• обязательствами по информационной безопасности;
• иными применимыми правовыми требованиями.

Если одновременно применимы несколько правовых режимов, Компания принимает разумные меры для соблюдения наиболее высокого применимого стандарта, когда это требуется законом.

10.2. Международная деятельность

Компания может вести деятельность в нескольких юрисдикциях.

В результате Персональные данные могут обрабатываться:

• аффилированными лицами;
• поставщиками услуг;
• поставщики услуг по обеспечению нормативного соответствия;
• технологическими провайдерами;
• провайдерами операционной поддержки,

расположенными в разных юрисдикциях.

Компания внедряет разумные меры защиты, направленные на защиту Персональных данных независимо от места обработки.

10.3. Трансграничная передача данных

Если Персональные данные передаются за пределы юрисдикции их сбора, Компания принимает разумные меры для обеспечения соответствия таких передач применимым требованиям по защите данных.

Такие меры могут включать:

• стандартные договорные положения;
• решения об адекватности;
• договорные гарантии;
• организационные гарантии;
• технические гарантии.

Компания оставляет за собой право использовать любой законный механизм передачи, признаваемый применимым законодательством.

10.4. Сотрудничество с регуляторами

Компания может сотрудничать с:

• надзорными органами;
• финансовыми регуляторами;
• органами по защите данных;
• государственными органами;
• правоохранительными органами;
• судами и трибуналами.

Такое сотрудничество может требовать раскрытия, передачи или рассмотрения Персональных данных, если это разрешено или требуется законом.

10.5. Коллизии права

Если одновременно применимы разные правовые требования, Компания принимает разумные меры для соблюдения применимых правовых обязательств.

Если соблюдение одного правового требования может вступать в противоречие с другим, Компания определяет надлежащий порядок действий на основании юридической консультации, регуляторных разъяснений и применимого права.

10.6. Обновления регуляторных требований

Компания оставляет за собой право изменять настоящую Политику конфиденциальности, чтобы отразить:

• изменения законодательства;
• регуляторные изменения;
• судебные решения;
• отраслевые стандарты;
• технологические изменения;
• операционные потребности.

Любая обновленная версия вступает в силу в соответствии с порядком публикации, установленным Компанией.

---

11. Контактная информация и запросы субъектов данных

11.1. Связь с Компанией

Вопросы, запросы, жалобы или обеспокоенности, относящиеся к настоящей Политике конфиденциальности или обработке Персональных данных, могут быть направлены Компании с использованием контактной информации, указанной ниже.

Субъектам данных рекомендуется сначала обратиться в Компанию до подачи жалоб в надзорные органы, чтобы вопросы могли быть рассмотрены и решены наиболее эффективно.

11.2. Контакт по вопросам защиты данных

Запросы, относящиеся к конфиденциальности, защите данных и обработке Персональных данных, могут быть направлены по адресу:

Email: [email protected]

Компания может время от времени обновлять контактную информацию.

Актуальная контактная информация публикуется через официальные каналы коммуникации Компании.

11.3. Подача запросов

Запросы могут касаться:

• доступа к Персональным данным;
• исправления Персональных данных;
• удаления Персональных данных;
• ограничения обработки;
• переносимости данных;
• отзыва согласия;
• возражений против обработки;
• вопросов конфиденциальности;
• жалоб.

Компания может запросить подтверждение личности перед обработкой любого запроса.

11.4. Проверка личности

Для защиты Персональных данных и предотвращения несанкционированного раскрытия Компания может потребовать от субъектов данных предоставить информацию, необходимую для проверки личности, прежде чем отвечать на любой запрос.

Компания оставляет за собой право отказать в рассмотрении запросов, если личность не может быть надлежащим образом подтверждена.

11.5. Сроки ответа

Компания прилагает разумные усилия, чтобы отвечать на запросы в сроки, требуемые применимым законодательством.

Если это допускается законом, сроки ответа могут быть продлены, если:

• запросы являются сложными;
• запросы носят повторяющийся характер;
• требуется дополнительная информация;
• имеются исключительные обстоятельства.

Компания уведомляет субъекта данных, если требуется продление срока.

11.6. Жалобы

Если субъект данных считает, что Персональные данные обрабатывались с нарушением применимого законодательства, субъект данных может подать жалобу в Компанию.

Компания рассматривает жалобы в соответствии со своими внутренними процедурами.

Подача жалобы не затрагивает право субъекта данных обратиться в компетентный надзорный орган.

11.7. Изменения настоящей Политики конфиденциальности

Компания оставляет за собой право в любое время вносить изменения, модифицировать или заменять настоящую Политику конфиденциальности.

Обновленные версии могут публиковаться через:

• веб-сайт Компании;
• Личный кабинет;
• электронные коммуникации;
• иные каналы коммуникации, используемые Компанией.

Субъект данных несет ответственность за ознакомление с актуальной версией настоящей Политики конфиденциальности.

Продолжение использования услуг Компании после публикации обновленной Политики конфиденциальности означает подтверждение ознакомления с обновленной версией в объеме, допускаемом применимым законодательством.

11.8. Дата вступления в силу

Настоящая Политика конфиденциальности вступает в силу с момента публикации Компанией и действует до ее изменения, замены или отмены.

Настоящая Политика конфиденциальности заменяет все предыдущие версии, относящиеся к обработке Персональных данных Компанией.