ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СЕРВИСА BITPAYES

Настоящий документ определяет политику сервиса Bitpayes (далее – «Сервис», «Оператор», «мы», «наш») в отношении обработки и защиты персональных данных пользователей (далее – «Пользователь», «Субъект персональных данных»). Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными нормативными правовыми актами в области персональных данных, а также международными стандартами в области защиты информации.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Сервис Bitpayes (веб-сайт Bitpayes.com, обменные боты в мессенджерах, доски объявлений и иные ресурсы, администрируемые Сервисом) уделяет первостепенное внимание защите конфиденциальности и персональных данных своих пользователей.

1.2. Использование Сервиса означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональных данных. В случае несогласия с этими условиями Пользователь должен воздержаться от использования Сервиса.

1.3. Настоящая Политика применяется ко всем персональным данным, которые Сервис получает от Пользователя во время использования им сайта, сервисов, программ и продуктов Bitpayes.

1.4. Действующая редакция Политики размещена на Сайте Сервиса и доступна неограниченному кругу лиц постоянно. Сервис вправе вносить изменения в Политику с обязательным уведомлением Пользователей путём размещения новой редакции на Сайте.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

• Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
• Оператор – юридическое лицо (или индивидуальный предприниматель), самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является Администрация Сервиса Bitpayes.
• Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
• Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
• Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
• ФЗ-152 – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
• Пользователь – любое физическое лицо, использующее Сервис и предоставляющее свои персональные данные.

3. СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Сервис собирает и обрабатывает только те персональные данные, которые необходимы для оказания услуг и исполнения обязательств перед Пользователем.

3.2. В зависимости от функционала, используемого Пользователем, Сервис может обрабатывать следующие категории персональных данных:

• Обязательная информация (предоставляется при создании Заявки):
  • адрес электронной почты;
  • номер мобильного телефона;
  • страна проживания / гражданство;
  • реквизиты криптовалютных кошельков (адреса отправителя и получателя);
  • IP-адрес, данные о геолокации, user agent, cookies.
• Данные, получаемые при прохождении процедуры KYC (верификации) с использованием сервиса SumSub:
  • фамилия, имя, отчество (при наличии);
  • дата рождения;
  • данные документа, удостоверяющего личность (серия, номер, дата выдачи, орган, выдавший документ);
  • изображение документа (скан/фото);
  • селфи с документом (биометрические данные);
  • подтверждение адреса проживания (счет за коммунальные услуги, выписка из банка).
• Иная информация, предоставляемая Пользователем по запросу Сервиса в рамках дополнительных проверок (например, подтверждение источника средств).

3.3. Сервис не обрабатывает специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных осуществляется в следующих целях:

• идентификация Пользователя при использовании Сервиса, включая создание и сопровождение Заявок на обмен;
• исполнение обязательств по Пользовательскому соглашению и иным договорам, заключаемым с Пользователем;
• проведение процедур AML/KYC в соответствии с Политикой AML/CFT Сервиса;
• обеспечение безопасности и предотвращение мошеннических действий, отмывания денег, финансирования терроризма;
• техническая поддержка Пользователей, обработка запросов и обращений;
• направление уведомлений, информации о статусе Заявок, рекламных и информационных сообщений (с согласия Пользователя);
• улучшение качества Сервиса, анализ поведения пользователей, проведение статистических исследований;
• исполнение требований законодательства РФ, включая противодействие легализации доходов, полученных преступным путём, и финансированию терроризма;
• взаимодействие с уполномоченными государственными органами в случаях, установленных законом.

5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных Пользователей осуществляется на следующих правовых основаниях:

• Конституция Российской Федерации;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
• согласие Пользователя на обработку персональных данных (оферта, акцептованная Пользователем путём регистрации, создания Заявки или совершения иных активных действий на Сайте);
• договоры, заключаемые между Оператором и Пользователем (Пользовательское соглашение).

6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных осуществляется с использованием средств автоматизации и без использования таких средств.

6.2. Локализация баз данных. В соответствии с требованиями ФЗ-152, сбор, запись, систематизация, накопление и хранение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории Российской Федерации. Сервис использует серверы хостинг-провайдера Reg.RU, которые расположены на территории РФ и соответствуют требованиям законодательства о персональных данных. Таким образом, обеспечивается хранение основной информации (контактные данные, IP-адреса, данные о транзакциях) на территории РФ.

6.3. Использование сторонних сервисов (поручение обработки). Для выполнения отдельных функций (верификация документов, AML-анализ) Сервис привлекает сторонних поставщиков услуг:

• SumSub (верификация KYC) – обрабатывает документы, удостоверяющие личность, биометрические данные. Передача данных SumSub осуществляется с согласия Пользователя и влечёт трансграничную передачу на территорию иностранного государства. SumSub обеспечивает необходимый уровень защиты персональных данных в соответствии с международными стандартами (GDPR).
• GetBlock.net (AML-анализ) – анализирует криптовалютные адреса; не обрабатывает персональные данные, но может получать информацию о транзакциях.

6.4. Хранение данных, обрабатываемых через SumSub. Сервис не хранит на своих серверах копии документов, биометрические данные и иную чувствительную информацию, передаваемую в рамках KYC. Все такие данные обрабатываются и хранятся исключительно платформой SumSub в её защищённой инфраструктуре в соответствии с политикой конфиденциальности SumSub. Сервис получает от SumSub только результат проверки (подтверждение/отказ) и идентификатор верификации.

6.5. Сроки хранения персональных данных.

• Базовая информация (контактные данные, IP-адреса, данные о транзакциях), хранящаяся на серверах Reg.RU, хранится в течение всего периода использования Сервиса Пользователем. После прекращения использования Сервиса данные хранятся в течение 3 (трёх) лет с даты последней реализованной Заявки Пользователя. По истечении указанного срока данные удаляются или обезличиваются, если иное не требуется для исполнения требований законодательства.
• Данные, переданные SumSub, хранятся в соответствии с политикой SumSub. Пользователь может обратиться в службу поддержки для реализации своих прав в отношении таких данных (с учётом ограничений, связанных с AML-обязательствами).

6.6. Обработка файлов cookie и технических данных. Сайт Сервиса использует файлы cookie и аналогичные технологии для сбора технической информации (IP-адрес, тип браузера, время доступа, реферер и т.п.). Эти данные необходимы для корректной работы сайта, анализа посещаемости и улучшения качества услуг. Пользователь может настроить браузер на отказ от cookie, но это может повлиять на доступность некоторых функций.

6.7. Передача персональных данных третьим лицам. Сервис не передаёт персональные данные третьим лицам, за исключением следующих случаев:

• Пользователь выразил согласие на такую передачу;
• передача необходима для исполнения договора с Пользователем (например, при использовании сторонних процессингов);
• передача предусмотрена законодательством РФ (в том числе по запросу судов, правоохранительных органов, Роскомнадзора и иных уполномоченных ведомств).

6.8. Сервис не осуществляет автоматизированную обработку персональных данных, влекущую принятие решений, порождающих юридические последствия для Пользователя, на основании исключительно автоматизированной обработки, за исключением случаев, предусмотренных законодательством.

7. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. В связи с использованием сервисов SumSub (верификация) и GetBlock.net (AML-анализ), персональные данные Пользователей могут передаваться на территорию иностранных государств.

7.2. Трансграничная передача персональных данных осуществляется только при наличии согласия Пользователя и с соблюдением требований ФЗ-152. Сервис удостоверяется, что иностранным государством, на территорию которого осуществляется передача, обеспечивается адекватная защита прав субъектов персональных данных (в частности, страны ЕС, где действует GDPR). В случае передачи в страны, не обеспечивающие адекватной защиты, Сервис заключает с иностранным контрагентом договоры, содержащие соответствующие гарантии.

7.3. Совершая действия, направленные на использование Сервиса (регистрация, создание Заявки, прохождение верификации), Пользователь выражает своё согласие на трансграничную передачу персональных данных указанным выше способом.

8. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Пользователь имеет право:

• получать информацию, касающуюся обработки его персональных данных, включая сведения о целях, способах, сроках обработки, об участвующих третьих лицах;
• требовать уточнения, блокирования или уничтожения своих персональных данных в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать согласие на обработку персональных данных в любой момент, направив соответствующий запрос в службу поддержки;
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.

8.2. Для реализации своих прав Пользователь должен направить запрос на электронный адрес [support@bitpayes.com]. Запрос должен содержать сведения, позволяющие идентифицировать личность Пользователя (ФИО, контактные данные, информацию, подтверждающую участие в отношениях с Оператором). Сервис обязуется рассмотреть запрос и направить ответ в течение 30 дней с момента его получения.

8.3. Отзыв согласия на обработку персональных данных может повлечь невозможность дальнейшего использования Сервиса, так как для выполнения обменных операций и соблюдения AML-требований необходима обработка определённых данных. В таком случае средства, не связанные с подозрительной деятельностью, возвращаются Пользователю в порядке, установленном Пользовательским соглашением.

9. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Сервис принимает все необходимые организационные и технические меры для защиты персональных данных Пользователей от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

9.2. К таким мерам относятся:

• назначение лица, ответственного за организацию обработки персональных данных;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 ФЗ-152;
• использование защищённых протоколов передачи данных (HTTPS, SSL/TLS) при передаче информации между пользователем и сервером;
• регулярное обновление программного обеспечения и антивирусных средств;
• контроль доступа к информационным системам, содержащим персональные данные;
• шифрование и псевдонимизация данных при хранении;
• периодическая оценка эффективности принимаемых мер.

9.3. Доступ к персональным данным имеют только уполномоченные сотрудники Сервиса, которые обязаны соблюдать конфиденциальность. Передача данных третьим лицам без согласия Пользователя допускается только в случаях, прямо предусмотренных законом.

9.4. Сервис использует хостинг-провайдера Reg.RU, который обеспечивает физическую безопасность серверов, резервное копирование и защиту от DDoS-атак. Компания Reg.RU имеет необходимые лицензии и сертификаты, подтверждающие соответствие требованиям безопасности.

10. ВЗАИМОДЕЙСТВИЕ С ГОСУДАРСТВЕННЫМИ ОРГАНАМИ

10.1. Сервис обязан предоставлять персональные данные Пользователей уполномоченным государственным органам (включая правоохранительные органы, Роскомнадзор, ФСБ, МВД, Росфинмониторинг и др.) исключительно в случаях и порядке, предусмотренных законодательством Российской Федерации.

10.2. Передача персональных данных осуществляется только на основании мотивированного запроса, оформленного в соответствии с требованиями закона, либо по решению суда.

10.3. В случае поступления запроса от государственного органа Сервис вправе уведомить об этом Пользователя, если такое уведомление не запрещено законом.

10.4. Сервис не предоставляет персональные данные по запросам частных лиц, коммерческих организаций или иных неуполномоченных субъектов без согласия Пользователя или соответствующего судебного акта.

11. УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ (ДЛЯ РОСКОМНАДЗОРА)

11.1. В соответствии с ч. 1 ст. 22 ФЗ-152, Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своём намерении осуществлять обработку персональных данных. Соответствующее уведомление направлено и зарегистрировано в установленном порядке.

12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

12.1. Настоящая Политика вступает в силу с момента её опубликования на Сайте и действует бессрочно до замены новой редакцией.

12.2. Сервис вправе вносить изменения в Политику. Новая редакция Политики вступает в силу с момента её размещения на Сайте, если иное не предусмотрено самой редакцией.

12.3. Все споры, возникающие из отношений, регулируемых настоящей Политикой, разрешаются в порядке, предусмотренном Пользовательским соглашением и законодательством РФ.

12.4. По всем вопросам, связанным с обработкой персональных данных, Пользователи могут обращаться в службу поддержки по электронной почте [support@bitpayes.com] или через форму обратной связи на Сайте.