ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ====================================== ООО «БИТФОРС» 1. Общие положения ------------------ 1.1. Настоящая Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ООО «БИТФОРС» (далее — Оператор). 1.2. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну. 1.3. Настоящая Политика действует в отношении всех персональных данных, которые обрабатываются Оператором с использованием средств автоматизации и без использования таких средств, при условии, что обработка персональных данных без использования средств автоматизации соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. 1.4. Основные понятия --------------------- Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Веб-сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://bitforce-foundation.ru. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Пользователь — любой посетитель веб-сайта https://bitforce-foundation.ru. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и/или результате которых уничтожаются материальные носители персональных данных. 2. Сведения об операторе ------------------------ 2.1. Полное наименование оператора: Общество с ограниченной ответственностью «БИТФОРС» 2.2. Сокращенное наименование: ООО «БИТФОРС» 2.3. ИНН: 9810001062 2.4. ОГРН: 1257800060990 2.5. Реестр ОПД: Посмотреть в реестре Роскомнадзора (https://pd.rkn.gov.ru/operators-registry/operators-list/?act=search&name_full=%D0%91%D0%B8%D1%82%D1%84%D0%BE%D1%80%D1%81&inn=9810001062®n=) 2.6. Юридический адрес: 196246, город Санкт-Петербург, Московское шоссе, дом 25, корпус 1, литера В, помещение 3-н 2.7. Почтовый адрес: 196246, город Санкт-Петербург, Московское шоссе, дом 25, корпус 1, литера В, помещение 3-н 2.8. Контактная информация: • Электронная почта: company@bitforcefoundation.ru • Веб-сайт: https://bitforce-foundation.ru 2.9. Ответственный за организацию обработки персональных данных: назначается приказом генерального директора 2.10. Контакты ответственного лица по вопросам обработки персональных данных: • Электронная почта: company@bitforcefoundation.ru 3. Общие цели обработки персональных данных ------------------------------------------- 3.1. Оператор обрабатывает персональные данных для достижения следующих общих целей: 3.1.1. Основная деятельность: • Предоставление услуг по конвертации иного имущества; • Осуществление операций на криптовалютных рынках; • Предоставление услуг в области блокчейн технологий; • Обеспечение функционирования интернет-платформы и мобильных приложений. 3.1.2. Обеспечение безопасности: • Предотвращение мошенничества и отмывания денежных средств; • Обеспечение безопасности платежных операций; • Выполнение требований по противодействию легализации доходов, полученных преступным путем; • Идентификация и верификация клиентов. 3.1.3. Соблюдение законодательства: • Исполнение требований российского и международного законодательства; • Взаимодействие с контролирующими и правоохранительными органами; • Ведение обязательной отчетности и документооборота; • Соблюдение налогового законодательства. 3.1.4. Развитие бизнеса: • Анализ и улучшение качества предоставляемых услуг; • Разработка новых продуктов и сервисов; • Проведение маркетинговых исследований; • Осуществление клиентской поддержки. 4. Цели сбора персональных данных --------------------------------- 4.1. Регистрация и идентификация пользователей: • Создание учетной записи на веб-сайте; • Верификация личности в соответствии с требованиями законодательства; • Подтверждение права на осуществление операций; • Обеспечение доступа к персональному кабинету. 4.2. Обработка платежей и финансовых операций: • Осуществление операций по конвертации криптовалют; • Проведение расчетов и переводов денежных средств; • Ведение учета и истории транзакций; • Расчет комиссий и сборов. 4.3. Обеспечение безопасности и соблюдение требований: • Проверка на причастность к запрещенной деятельности; • Мониторинг подозрительных операций; • Выполнение процедур по противодействию легализации доходов; • Архивирование данных для правоохранительных органов. 4.4. Коммуникация с клиентами: • Предоставление технической поддержки; • Уведомления о состоянии операций и счетов; • Информирование об изменениях в условиях предоставления услуг; • Рассылка маркетинговых материалов (при наличии согласия). 4.5. Аналитика и улучшение сервиса: • Анализ пользовательского поведения для улучшения интерфейса; • Создание аналитических отчетов; • Исследование рынка и потребностей клиентов; • Разработка персонализированных предложений. 4.6. Исполнение договорных обязательств: • Выполнение условий пользовательского соглашения; • Предоставление заказанных услуг; • Рассмотрение жалоб и претензий; • Урегулирование споров. 5. Правовые основания обработки персональных данных --------------------------------------------------- 5.1. Правовыми основаниями обработки персональных данных Оператором являются: 5.1.1. Согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона о персональных данных): • Обработка персональных данных в маркетинговых целях; • Использование файлов cookie и метрик; • Персонализация сервисов и предложений; • Проведение опросов и исследований. 5.1.2. Необходимость исполнения договора (п. 5 ч. 1 ст. 6 Закона о персональных данных): • Регистрация и ведение учетных записей пользователей; • Осуществление финансовых операций и переводов; • Предоставление доступа к платформе и сервисам; • Техническая поддержка и обслуживание клиентов. 5.1.3. Соблюдение правовой обязанности (п. 2 ч. 1 ст. 6 Закона о персональных данных): • Выполнение требований валютного законодательства; • Противодействие легализации доходов, полученных преступным путем; • Соблюдение требований по налоговому учету и отчетности; • Взаимодействие с правоохранительными органами. 5.1.4. Защита жизненно важных интересов (п. 3 ч. 1 ст. 6 Закона о персональных данных): • Предотвращение мошенничества и финансовых преступлений; • Обеспечение безопасности платежных систем; • Защита от кибератак и несанкционированного доступа. 5.1.5. Законные интересы оператора (п. 7 ч. 1 ст. 6 Закона о персональных данных): • Обеспечение информационной безопасности; • Аналитика для улучшения качества услуг; • Защита прав и законных интересов Оператора; • Взыскание задолженности. 5.2. При обработке персональных данных на основании согласия субъекта, такое согласие оформляется в соответствии с требованиями ст. 9 Закона о персональных данных. 5.3. При обработке персональных данных на основании законных интересов Оператор обеспечивает баланс между своими интересами и правами субъектов персональных данных. 6. Объем и категории обрабатываемых персональных данных ------------------------------------------------------- 6.1. Категории субъектов персональных данных: 6.1.1. Пользователи веб-сайта и мобильного приложения: • Зарегистрированные пользователи; • Посетители сайта без регистрации; • Потенциальные клиенты; • Бывшие клиенты. 6.1.2. Клиенты: • Физические лица, пользующиеся услугами Оператора; • Индивидуальные предприниматели; • Представители юридических лиц; • Выгодоприобретатели. 6.1.3. Сотрудники и партнеры: • Сотрудники Оператора; • Кандидаты на трудоустройство; • Представители контрагентов; • Консультанты и советники. 6.2. Категории и состав обрабатываемых персональных данных: 6.2.1. Идентификационные данные: • Фамилия, имя, отчество; • Дата рождения; • Место рождения; • Гражданство; • Пол. 6.2.2. Паспортные данные: • Серия и номер паспорта; • Дата выдачи паспорта; • Код подразделения; • Кем выдан паспорт; • Адрес регистрации; 6.2.3. Контактная информация: • Номера телефонов (мобильный, домашний, рабочий); • Адреса электронной почты; 6.2.4. Финансовая информация: • Номера банковских счетов и карт; • Реквизиты кошельков криптовалют; • История операций и транзакций; • Данные о доходах и источниках средств; • Налоговая информация. 6.2.5. Техническая информация: • IP-адреса устройств; • Данные о браузере и операционной системе; • Файлы cookie и локальное хранилище; • Логи действий на сайте; • Геолокационные данные. 6.2.6. Дополнительные данные: • Фотографии для верификации; • Биометрические данные (при использовании); • Видеозаписи видеоидентификации; • Данные о семейном положении и составе семьи; • Профессиональная информация. 6.3. Источники получения персональных данных: • Непосредственно от субъектов персональных данных; • Из общедоступных источников; • От третьих лиц с согласия субъекта; • Из государственных информационных систем; • От партнеров и контрагентов. 7. Порядок и условия обработки персональных данных -------------------------------------------------- 7.1. Принципы обработки персональных данных: • Обработка персональных данных осуществляется на законной и справедливой основе; • Обработка ограничивается достижением конкретных, заранее определенных и законных целей; • Не допускается обработка персональных данных, несовместимая с целями сбора; • Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям; • Обрабатываемые персональные данные являются точными и актуальными. 7.2. Способы обработки персональных данных: 7.2.1. Автоматизированная обработка: • Сбор данных через веб-формы и мобильные приложения; • Автоматическая обработка платежей и транзакций; • Автоматизированный анализ и мониторинг операций; • Генерация отчетов и статистики. 7.2.2. Неавтоматизированная обработка: • Ручная верификация документов; • Обработка обращений службы поддержки; • Подготовка документов для регулирующих органов; • Архивирование документов на электронных носителях (при необходимости на бумажных носителях). 7.3. Условия обработки персональных данных: 7.3.1. Получение согласия: • Согласие получается в письменной форме или путем совершения конклюдентных действий; • Субъект информируется о целях, способах и сроках обработки; • Предоставляется возможность отозвать согласие; • Ведется учет полученных согласий. 7.3.2. Обработка без согласия: • Осуществляется только в случаях, предусмотренных законодательством; • Документируются правовые основания обработки; • Обеспечивается соответствие объема обработки заявленным целям; • Ведется учет случаев обработки без согласия. 7.4. Сроки обработки персональных данных: • Персональные данные обрабатываются в течение времени, необходимого для достижения целей обработки; • После достижения целей обработки персональные данные подлежат уничтожению или обезличиванию; • Сроки хранения определяются требованиями законодательства и внутренними регламентами; • Ведется учет сроков обработки для каждой категории данных. 7.5. Места обработки персональных данных: • Основные серверы и хранилища данных расположены на территории Российской Федерации; • Резервные копии могут храниться в дата-центрах на территории РФ; • Обработка может осуществляться удаленно с соблюдением требований безопасности; 8. Актуализация, исправление, удаление и уничтожение персональных данных ------------------------------------------------------------ 8.1. Актуализация персональных данных: 8.1.1. Обязанности субъекта: • Предоставление актуальных и достоверных персональных данных; • Незамедлительное уведомление об изменении персональных данных; • Подтверждение изменений документально при необходимости. 8.1.2. Процедуры актуализации: • Регулярная проверка актуальности данных; • Запросы на подтверждение данных; • Автоматическое обновление при получении новой информации; • Верификация изменений через дополнительные каналы связи. 8.2. Исправление персональных данных: 8.2.1. Основания для исправления: • Обнаружение неточностей в персональных данных; • Получение запроса от субъекта персональных данных; • Выявление ошибок при автоматизированной обработке; • Получение уточняющей информации из достоверных источников. 8.2.2. Процедура исправления: • Рассмотрение запроса в течение 30 дней; • Проверка обоснованности требования об исправлении; • Внесение изменений во все информационные системы; • Уведомление субъекта о проведенных исправлениях; • Уведомление третьих лиц, которым передавались неточные данные. 8.3. Удаление персональных данных: 8.3.1. Основания для удаления: • Отзыв согласия субъектом персональных данных; • Достижение целей обработки; • Истечение сроков обработки; • Выявление незаконности обработки; • Требование субъекта при наличии оснований. 8.3.2. Процедура удаления: • Проверка наличия законных оснований для продолжения обработки; • Удаление из всех информационных систем и баз данных; • Удаление резервных копий (кроме архивных); • Уведомление субъекта о выполненном удалении; • Документирование факта удаления. 8.4. Уничтожение персональных данных: 8.4.1. Случаи уничтожения: • Истечение сроков хранения; • Ликвидация организации; • Прекращение обработки по решению суда; • Техническая необходимость (замена оборудования). 8.4.2. Способы уничтожения: • Физическое уничтожение носителей информации; • Криптографическое уничтожение (удаление ключей шифрования); • Перезапись информации на носителях; • Размагничивание магнитных носителей; • Использование специализированного программного обеспечения. 8.4.3. Документирование уничтожения: • Составление актов уничтожения; • Ведение журналов уничтожения; • Фиксация времени, способа и ответственных лиц; • Хранение документов об уничтожении в течение установленного срока. 9. Ответы на запросы субъектов персональных данных -------------------------------------------------- 9.1. Права субъектов персональных данных: 9.1.1. Право на информацию (ст. 14 Закона о персональных данных): • Подтверждение факта обработки персональных данных; • Правовые основания и цели обработки; • Применяемые способы обработки; • Наименование и местонахождение оператора; • Лица, имеющие доступ к персональным данным; • Обрабатываемые персональные данные; • Источник получения персональных данных; • Сроки обработки персональных данных; • Порядок осуществления прав субъекта; 9.1.2. Право на доступ: • Получение копий обрабатываемых персональных данных; • Ознакомление с историей обработки; • Получение информации о передаче данных третьим лицам; • Доступ к автоматизированным решениям. 9.1.3. Право на исправление: • Требование исправления неточных данных; • Дополнение неполных данных; • Актуализация устаревших данных. 9.1.4. Право на удаление ("право на забвение"): • Требование удаления персональных данных; • Отзыв согласия на обработку; • Возражение против обработки. 9.1.5. Право на ограничение обработки: • Блокирование обработки на время проверки точности; • Ограничение способов обработки; • Приостановление передачи третьим лицам. 9.2. Процедура рассмотрения запросов: 9.2.1. Подача запроса: • Запрос может быть подан лично, по почте или электронно; • Запрос должен содержать сведения, указанные в ч. 3 ст. 14 Закона; • При подаче запроса в электронной форме требуется подтверждение личности; • Запрос может быть подан через представителя при наличии доверенности. 9.2.2. Сроки рассмотрения: • Срок рассмотрения запроса составляет 30 дней с момента получения; • Срок может быть продлен на 30 дней при большом объеме информации; • О продлении срока субъект уведомляется в течение 30 дней; • Безотлагательно — в случаях, указанных в законе. 9.2.3. Содержание ответа: • Подтверждение получения запроса; • Запрашиваемая информация в доступной форме; • Разъяснение порядка обжалования; • Мотивированный отказ (при наличии оснований). 9.2.4. Способы предоставления ответа: • В письменной форме по почте; • В электронной форме (при согласии субъекта); • Через личный кабинет на сайте; • При личном обращении в офис Оператора. 9.3. Основания для отказа в удовлетворении запроса: • Обработка необходима для защиты жизни, здоровья субъекта; • Обработка необходима для выполнения функций государства; • Персональные данные получены в рамках оперативно-розыскной деятельности; • Обработка необходима для защиты прав и законных интересов третьих лиц; • Исполнение судебного акта или иного акта государственного органа. 9.4. Плата за предоставление информации: • Первый запрос в течение года обрабатывается бесплатно; • За повторные запросы может взиматься плата в размере расходов; • Размер платы определяется в соответствии с законодательством; • Субъект уведомляется о размере платы до предоставления информации. 10. Обеспечение безопасности персональных данных ------------------------------------------------ 10.1. Правовые меры: • Назначение ответственного за организацию обработки персональных данных; • Принятие локальных актов по вопросам обработки персональных данных; • Ознакомление работников с требованиями законодательства и локальными актами; • Применение мер ответственности за нарушение требований законодательства. 10.2. Организационные меры: • Определение перечня лиц, допущенных к обработке персональных данных; • Установление правил доступа к персональным данным; • Применение средств защиты, прошедших процедуру оценки соответствия; • Оценка вреда, который может быть причинен субъектам персональных данных; • Учет машинных носителей персональных данных; • Обнаружение фактов несанкционированного доступа; • Восстановление персональных данных. 10.3. Технические меры: • Предотвращение несанкционированного доступа к персональным данным; • Своевременное обнаружение фактов несанкционированного доступа; • Предотвращение воздействия на технические средства обработки; • Возможность незамедлительного восстановления персональных данных; • Постоянный контроль за обеспечением уровня защищенности. 10.4. Конкретные технические решения: • Использование сертифицированных средств защиты информации; • Шифрование персональных данных при передаче и хранении; • Применение межсетевых экранов и систем обнаружения вторжений; • Резервное копирование и обеспечение отказоустойчивости; • Аудит и мониторинг доступа к информационным системам; • Антивирусная защита и обновление программного обеспечения. 10.5. Контроль доступа: • Идентификация и аутентификация пользователей; • Разграничение доступа по ролям и полномочиям; • Протоколирование действий пользователей; • Регулярный пересмотр прав доступа; • Блокирование учетных записей при увольнении сотрудников. 11. Сведения о реализуемых требованиях к защите персональных данных ------------------------------------------------------------ 11.1. Уровни защищенности: Оператор определяет уровни защищенности персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 и обеспечивает соответствующие им требования безопасности. 11.2. 1-й уровень защищенности (общедоступные персональные данные): • Базовые средства защиты от несанкционированного доступа; • Парольная защита доступа к информационным системам; • Антивирусная защита рабочих станций и серверов. 11.3. 2-й уровень защищенности (иные персональные данные, кроме специальных и биометрических): • Идентификация и аутентификация субъектов доступа; • Управление доступом субъектов доступа к ресурсам; • Ограничение программной среды; • Защита машинных носителей информации; • Регистрация событий безопасности; • Антивирусная защита; • Обнаружение вторжений; • Контроль целостности информационной системы и информации. 11.4. 3-й уровень защищенности (специальные категории персональных данных): Дополнительно к требованиям 2-го уровня: • Обеспечение целостности информационной системы и информации; • Обеспечение доступности информационной системы и информации; • Защита технических средств; • Защита информационной системы, ее средств, систем связи и передачи данных. 11.5. 4-й уровень защищенности (биометрические персональные данные): Дополнительно к требованиям 3-го уровня: • Предотвращение внедрения в информационную систему программных закладок; • Анализ защищенности информационной системы. 12. Заключительные положения ---------------------------- 12.1. Внесение изменений в Политику: • Политика может изменяться в связи с изменениями в законодательстве; • Существенные изменения доводятся до сведения субъектов персональных данных; • Действующая версия Политики размещается на официальном сайте; • Дата последнего обновления указывается в Политике. 12.2. Жалобы и обращения: • Субъекты персональных данных могут обратиться к Оператору по вопросам обработки; • Жалобы рассматриваются в установленном законом порядке; • При неурегулировании разногласий возможно обращение в Роскомнадзор или суд. 12.3. Применимое право: • Политика регулируется законодательством Российской Федерации; • Споры рассматриваются в российских судах; • При противоречии переводов приоритет имеет русскоязычная версия. 12.4. Контактная информация для обращений: • Почтовый адрес: 196246, г. Санкт-Петербург, Московское ш., д. 25, к. 1, лит. В, пом. 3-н • Электронная почта: company@bitforcefoundation.ru 12.5. Вступление в силу: • Настоящая Политика вступает в силу с момента ее утверждения и размещения на официальном сайте Оператора.