1. Общие положения
    • Настоящая Политика определяет политику оператора в отношении обработки персональных данных и содержит сведения о реализуемых требованиях к защите персональных данных, и доступна для ознакомления неограниченному кругу лиц в сети Интернет.
    • Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
    • Требования настоящей Политики обязательны для ознакомления и исполнения всеми работниками оператора, осуществляющими обработку персональных данных.
    • Нажатие кнопки подтверждения согласия в окне с текстом Политики конфиденциальности или установка флажка в соответствующем чек-боксе, означает ваше безоговорочное согласие с условиями и правилами настоящей Политики.

  1. Основные понятия

персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), позволяющая идентифицировать личность, финансовые, платежные и учетные данные, телефонная книга, данные о местоположении устройства и списке других приложений на устройстве, данные микрофона и камеры, а также другая конфиденциальная информация об устройстве или его использовании;

персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;

оператор — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных обрабатываемых данных, действия (операции), совершаемые с персональными данными;

обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

мобильное приложение – предназначенная для установки и использования на мобильном устройстве (планшет, мобильный телефон, смартфон, коммуникатор, иное устройство, позволяющее использовать Мобильное приложение по его функциональному назначению) программа для ЭВМ, позволяющая пользователю получить доступ к сайту и совершить через сайт, предусмотренные офертой действия;

личный кабинет – индивидуальный раздел пользователя на сайте или в мобильном приложении, защищенный параметрами авторизации, доступ к которому осуществляется путем ввода идентифицирующих данных (логин и пароль). Личный кабинет регистрируется на адрес электронной почты пользователя после прохождения регистрации пользователя на сайте или в мобильном приложении;

логин и пароль – наборы латинских букв и цифр, необходимые для доступа в личный кабинет6 которые в сочетании служат идентифицирующими данными пользователя. Действия, совершенные в личном кабинете с использованием логина и пароля пользователя, признаются действиями пользователя;

пользователь – дееспособное физическое лицо, достигшее 18 лет, использующее информационные системы владельца сайта и мобильного приложения;

сайт – совокупность средств и информации, текстов, графических элементов, дизайна, изображений, фото- и видеоматериалов, иных результатов интеллектуальной деятельности, а также программ для ЭВМ, предназначенных для публикации в сети Интернет и отображаемой в определенной текстовой, графической или звуковой формах, объединенных под уникальным электронным адресом Alfa-Trades.com

  1. Обработка персональных данных на сайте Alfa-Trades.com
    • Перечень данных, обрабатываемых на сайте, включает:

электронная почта;

история обменов;

ключ API;

идентификатор учетной записи;

номер банковской карты;

история операций кэшбека;

данные о мерчант аккаунте;

сведения о прохождении верификации;

переписка со службой технической поддержки.

  • Данные сведения обрабатываются в целях создания учетной записи, совершения обменных операций и предоставления иных программных функций, информировании о работе сервиса, предоставления кэшбека и предоставления технической поддержки. Данные цели реализуются на основании Соглашения о предоставлении услуг safelychange (https://safelychange.com/#/ru/termsOfUse).
  • Верификация пользователей осуществляется в целях предоставления дополнительных функций личного кабинета. Для прохождения верификации пользователь самостоятельно обращается в сервисы третьих лиц и предоставляет им необходимые сведения, к которым Оператор не имеет доступа. Оператор по волеизъявлению пользователя получает только сведения о факте прохождения верификации.
  • На сайте Alfa-Trades не осуществляется обработка биометрических персональных данных и не осуществляется трансграничная передача персональных данных в страны, не обеспечивающие адекватную защиту персональных данных.
  • Оператор не обрабатывает сведения о местонахождении, адресе проживания или гражданстве пользователей. Хранение данных осуществляется на территории РФ.

  1. Идентификаторы сайта и мобильного приложения

4.1. Сбор данных оператором с использованием сети Интернет, осуществляется двумя основными способами: предоставление данных и автоматически собираемая информация.

4.2. Предоставление персональных данных осуществляется путем заполнения соответствующих форм на сайте и в мобильном приложении, посредством направления электронных писем на корпоративный адрес оператора.

4.3. Автоматически собираемая информация, которую собирает и обрабатывает оператор: информация об интересах пользователей на сайте на основе введенных поисковых запросов о реализуемых и предлагаемых услугах, обобщение и анализ информации, о том какие разделы сайта пользуются наибольшим  интересом; поисковые запросы пользователей сайта с целью обобщения и создания клиентской статистики об использовании разделов сайта.

4.4. Оператор автоматически получает некоторые виды информации при помощи технологий и сервисов, таких как веб-протоколы, coоkie, веб-отметки, а также при помощи мобильного приложения и инструментов третьей стороны.

4.5. coоkie – это часть данных, автоматически располагающаяся на жестком диске компьютера при каждом посещении веб-сайта. Таким образом, coоkie – это уникальный идентификатор браузера для веб-сайта. coоkie дают возможность хранить информацию на сервере и помогают легче ориентироваться в веб-пространстве, а также позволяют осуществлять анализ сайта и оценку результатов. Большинство веб-браузеров разрешают использование coоkie, однако можно изменить настройки для отказа от работы с coоkie или отслеживания пути их рассылки. При этом некоторые ресурсы могут работать некорректно, если работа coоkie в браузере будет запрещена.

4.6. Веб-отметки. На определенных веб-страницах или электронных письмах оператор может использовать распространенную в Интернете технологию «веб-отметки» (также известную как «тэги» или «точная GIF-технология»). Веб-отметки помогают анализировать эффективность веб-сайтов, например, с помощью измерения числа посетителей сайта или количества «кликов», сделанных на ключевых позициях страницы сайта.

4.7. При этом веб-отметки, coоkie и другие мониторинговые технологии не дают возможность автоматически получать персональные данные. Если пользователь сайта или мобильного приложения по своему усмотрению предоставляет свои данные, например, при заполнении формы обратной связи или при отправке электронного письма, то только тогда запускаются процессы автоматического сбора подробной информации для удобства пользования веб-сайтами и/или для совершенствования взаимодействия с пользователями.

  1. Права и обязанности операторов и субъектов персональных данных
    • Оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
    • Если в соответствии с законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа.
    • Если персональные данные получены не от субъекта персональных данных, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
  • наименование и адрес оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • перечень персональных данных;
  • предполагаемые пользователи персональных данных;
  • установленные ФЗ «О персональных данных» права субъекта персональных данных;
  • источник получения персональных данных.
    • Оператор не обязан предоставлять сведения, указанные в п. 3.3, в следующих случаях:
  • субъект персональных данных уведомлен об обработке его персональных данных иным оператором;
  • персональные данные получены на основании закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением соответствующих запретов и условий;
  • оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
  • предоставление данных сведений нарушает права и законные интересы третьих лиц.
    • Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта, а также:
  • устанавливающие обработку персональных данных несовершеннолетних (если иное не предусмотрено законодательством РФ);
  • допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
    • Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем (прямого маркетинга) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Оператор обязан доказать, что такое согласие было получено. Оператор обязан немедленно прекратить обработку персональных данных в указанных целях по требованию субъекта.
    • Оператор не вправе принимать решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных, без получения письменного согласия, если иное не установлено законом.
    • Оператор обязан разъяснить субъекту порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов. Оператор обязан рассмотреть возражение субъекта в течение тридцати дней со дня его получения, и уведомить субъекта о результатах рассмотрения.
    • Субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
    • Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

  1. Актуализация, исправление, удаление и уничтожение персональных данных
    • Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
    • В случае подтверждения факта неточности персональных данных, оператор осуществляет их актуализацию.
    • В случае подтверждения факта неправомерности обработки персональных данных, оператор прекращает их обработку.
    • Персональные данные уничтожаются при достижении целей обработки персональных данных, а также в случае отзыва согласия субъектом персональных данных, если:
  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • оператор не вправе осуществлять обработку на иных законных основаниях.
    • В течение семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.
    • В течение семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.
    • Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

  1. Порядок работы с запросами субъектов персональных данных и уполномоченных органов
    • Субъект персональных данных имеет право на получение следующих сведений по запросу:
  • подтверждение факта обработки персональных данных оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые оператором способы обработки персональных данных;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • информацию о способах исполнения оператором обязанностей, установленных ст.18.1 ФЗ «О персональных данных»;
  • иные сведения, предусмотренные федеральными законами.
    • Оператор вправе не предоставлять сведения по запросу субъекта, если в соответствии с федеральными законами:
  • обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
  • обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренныхуголовно-процессуальным законодательством РФ случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
  • обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  • доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
  • обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
    • Сведения, предоставляемые по запросу субъекта, должны быть предоставлены в доступной форме. В предоставляемых сведениях не должны содержаться персональные данные третьих лиц, если не имеется законных оснований для раскрытия таких персональных данных.
    • Сведения предоставляются в течение 10 рабочих дней с даты получения запроса. Данный срок может быть продлен не более, чем на пять рабочих дней, в случае направления оператором в адрес данных мотивированного уведомления с указанием причин продления срока.
    • Запрос должен содержать:
  • номер основного документа, удостоверяющего личность субъекта или его представителя;
  • сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
  • подпись субъекта персональных данных или его представителя.
    • Запрос может быть направлен в форме электронного документа и подписанэлектронной подписью. Запрос направляется в свободной форме на электронную почту или адрес оператора. Рекомендованных форм запросов оператором не предусмотрено. Если запрос направляется представителем субъекта, к запросу должен прилагаться документ, подтверждающий полномочия представителя.
    • Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
    • Cубъект персональных данных вправе обратиться к оператору повторно не ранее чем через тридцать дней после первоначального обращения. Если сведения были предоставлены субъекту не в полном объёме, субъект вправе обратиться к оператору повторно до истечения указанного срока.
    • Оператор вправе мотивированно отказать субъекту в выполнении повторного запроса. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
    • Оператор безвозмездно обязан предоставить субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, в порядке, аналогичным порядку предоставления сведений по запросу субъекта. В случае отказа оператор должен предоставить мотивированный ответ со ссылкой на норму закона, являющуюся основанием для отказа. Ответ об отказе предоставляется в течение 10 рабочих дней с даты получения запроса. Данный срок может быть продлен не более, чем на пять рабочих дней, в случае направления оператором в адрес данных мотивированного уведомления с указанием причин продления срока.
    • Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

  1. Реализуемые требования к защите персональных данных
    • Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами:
  • назначение ответственного за организацию обработки персональных данных;
  • издание политики обработки персональных данных и локальных актов в сфере обработки персональных данных, определяющих для каждой цели обработки персональных данных (1) категории и перечень обрабатываемых персональных данных, (2) категории субъектов, персональные данные которых обрабатываются, (3) способы обработки персональных данных, (4) сроки обработки и хранения персональных данных, (5) порядок уничтожения персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение, выявление и устранение последствий нарушений законодательства РФ, устранение последствий таких нарушений;
  • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  • осуществление внутреннего контроля соответствия обработки персональных данных закону и локальным актам оператора;
  • оценка вредав соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»;
  • ознакомление (или соответствующее обучение) работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе cтребованиями к защите персональных данных, политикой обработки и иными локальными актами по вопросам персональных данных, локальными актами по вопросам обработки персональных данных;
  • обработка персональных данных пользователей осуществляется безопасным способом с применением современных методов шифрования.
    • Оператор реализует правовые, организационные и технические меры по обеспечению безопасности персональных данных, исходя из уровней защищенности и актуальных угроз безопасности персональных данных:
  • определение угроз безопасности персональных данных при их обработке в информационных системах;
  • применение организационных и технических мер по обеспечению безопасности персональных данных исходя из уровней защищенностиперсональных данных;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (при необходимости);
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
  • учет машинных носителей персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятием мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак и инцидентов в информационных системах;
  • восстановление персональных данных после несанкционированного доступа к ним;
  • установление правил доступа к персональным данным, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;
  • контроль за мерами по обеспечению безопасности персональных данных и уровнями защищенности информационных систем;
  • взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, в порядке, установленном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.

  1. Заключительные положения

9.1. Настоящая Политика является локальным нормативным актом оператора и является общедоступной.

9.2. Настоящая Политика может быть пересмотрена в любом из следующих случаев:

  • при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
  • в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия настоящей Политики;
  • по решению руководства оператора;
  • при изменении целей и сроков обработки персональных данных;
  • при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);
  • при применении новых технологий обработки и защиты персональных данных, в т. ч. передачи, хранения;
  • иных случаях, требующих пересмотра настоящей политики.

9.3. Настоящая Политика вступает в силу с момента её размещения на сайте по адресу Alfa-Trades.com