Дата вступления в силу: 01.11.2021 года.
Настоящая Политика конфиденциальности (далее — Политика) определяет политику в отношении обработки персональных данных, содержит сведения о реализуемых требованиях к защите персональных данных Оператора.
1. Термины и определения
1.1. Субъект данных — физическое лицо, достигшее совершеннолетия, использующее Сайт в сети «Интернет» Flychange для финансовых операций с электронной, цифровой или фиатной валютой.
1.2. Cookies — фрагмент данных в составе HTTPS-запроса, предназначенный для хранения на конечном устройстве Субъекта и применяемый Оператором для идентификации Субъекта.
1.3. Сайт — совокупность программ для электронных вычислительных машин и иной информации в информационно — телекоммуникационной сети «Интернет», предназначенной для отображения в браузере и доступ, к которому осуществляется с использованием доменного имени Оператора. В контексте деятельности Оператора используется сайт Flychange
1.4. Регистрационные данные — определяемый Оператором перечень сведений, указываемых при регистрации на сайте Flychange, и в дальнейшем при их изменении в процессе исполнения договора.
1.5. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
2. Общие положения
2.1. Политика регулирует вопросы обработки персональных данных при осуществлении Оператором хозяйственной деятельности, в том числе, оказании услуг по покупке/продаже для Пользователя и от имени Пользователя электронной и/или цифровой или фиатной валюты.
2.2. Требования к безопасности передаваемых персональных данных между Оператором и Субъектами предусматриваются заключаемым между ними договором (Пользовательским соглашением) в соответствии с действующим законодательством.
2.3. В ситуации, когда персональные данные поступают от Субъекта персональных данных, последний несет ответственность за указание недостоверных персональных данных.
2.4. Настоящая Политика распространяется на персональные данные, полученные как до, так и после ввода в действие настоящей Политики.
2.5. Оператор обязан придерживаться следующих принципов при обработке персональных данных:
2.5.1. обработка персональных данных должна осуществляться на законной и справедливой основе;
2.5.2. обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
2.5.3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
2.5.4. обработке подлежат только персональные данные, которые отвечают целям их обработки;
2.5.5. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
2.5.6. при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
2.5.7. хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.5. Настоящая Политика публикуется в сети интернет на сайте Flychange.
3. Категории субъектов персональных данных
3.1. Оператор осуществляет обработку персональных данных всех Субъектов данных, являющихся Пользователями сайта Flychange.
4. Цели и основания обработки персональных данных
4.1. Персональные данные Субъектов в части использования Сайта обрабатываются для достижения следующих целей:
4.1.1. ознакомления Пользователя с услугами Оператора;
4.1.2. заключения договора между Пользователем и Оператором и с целью его исполнения;
4.1.3. уведомления Пользователей об изменениях в работе Сервиса Оператора,
4.1.4. обеспечения поддержки и обслуживания Пользователей Сервиса;
4.1.5. для мониторинга использования Сервиса
4.2. Персональные данные Субъектов обрабатываются в связи с выполнением услуг по покупке/продаже для Пользователя и от имени Пользователя электронной и/или цифровой или фиатной валюты.
4.3. Персональные данные могут быть использованы с иными целями, если это является обязательным в соответствии с положениями действующего законодательства.
4.4. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5. Состав информации о субъектах персональных данных
5.1. Оператор вправе обрабатывать следующие категории персональных данных Субъектов: имя, возраст, паспортные данные, номер банковской карты, номер счета электронной платежной системы, адрес криптовалютного кошелька, e-mail, телефонный номер, адрес (дом, улица, населенный пункт, страна), cookies.
5.2. Срок хранения персональных данных определяется договором либо сущностью иного основания обработки.
5.3. Срок обработки персональных данных Субъектов — до момента окончания оказания услуг по покупке/продаже для Пользователя и от имени Пользователя электронной и/или цифровой или фиатной валюты.
5.4. Срок обработки персональных данных Субъектов после оказания услуг, указанных в п.5.3 — в течение 3 лет.
5.5. Хранение материальных носителей персональных данных осуществляется раздельно для каждой категории субъектов персональных данных.
6. Хранение и обработка персональных данных
6.1. Оператор может осуществлять обработку персональных данных в информационных системах персональных данных, обеспечивая их надлежащую защиту.
7. Права Субъекта
Субъект персональных данных имеет право:
7.1. Обращаться за внесением изменений в предоставленные персональные данные или же за их удалением.
7.2. Направлять Оператору обращения, касающиеся обработки его персональных данных, в пределах компетенции Оператора.
7.3. Реализовать иные права, предусмотренные действующим законодательством.
7.4. Обращаться за внесением изменений в предоставленные персональные данные или же за их удалением. Направлять Оператору обращения, касающиеся обработки его персональных данных в пределах компетенции Оператора. Реализовывать иные права, предусмотренные действующим законодательством.
8. Сведения о реализуемых требованиях к защите персональных данных
8.1. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры и обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, которыми являются в частности (но не ограничиваясь):
8.2. Назначение ответственного за обработку персональных данных.
8.3. Ограничение состава работников, имеющих доступ к персональным данным.
8.4. Программная идентификация Субъектов, сотрудников Оператора и учет их действий.
8.5. Осуществление антивирусного контроля и иных мер от вредоносного программно-математического воздействия.
8.6. Применение средств резервного копирования и восстановления информации.
8.7. Обновление программного обеспечения при наличии исправлений безопасности от производителей.
8.8. Осуществление шифрования при передаче персональных данных в сети Интернет.
8.9. Принятие мер, связанных с допуском только надлежащих лиц в местах установки технических средств.
8.10. Применение технических средств охраны помещений, в которых расположены технические средства информационных систем персональных данных, и мест хранения материальных носителей персональных данных.
8.11. Оператор обеспечивает безопасность персональных данных, в частности путем их использования:
8.11.1. с учетом возможного причинения вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных;
8.11.2. применения технических мер в соответствии с угрозами безопасности персональных данных при их обработке в информационных системах персональных данных;
8.11.3. с применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований законодательства о защите персональных данных;
8.11.4. с применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
8.11.5. с оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до начала работы в информационной системе персональных данных;
8.11.6. с учетом машинных носителей персональных данных, в случае их использования;
8.11.7. с применением процедур, связанных с обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
8.11.8. с возможностью восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8.11.9. с установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с ними;
8.11.10. с контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
9. Работа с парольной защитой
9.1. Персональные пароли должны генерироваться специальными программными средствами административной службы либо создаваться непосредственно Субъектами, использующими сайт при регистрации.
9.2. Длина пароля должна быть не менее 8 символов.
9.3. В составе пароля должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы.
9.4. Пароль не должен включать в себя:
− легко вычисляемые сочетания символов;
− клавиатурные последовательности символов и знаков;
− общепринятые сокращения;
− аббревиатуры;
номера телефонов, автомобилей;
− прочие сочетания букв и знаков, ассоциируемые с Субъектом;
− при смене пароля новое сочетание символов должно отличаться от предыдущего не менее чем на 2 символа.
9.5. Допускается использование единого пароля для получения доступа Субъектом к различным информационным ресурсам.
9.6. Полная внеплановая смена паролей всех Субъектов должна производиться в случае прекращения полномочий администраторов.
9.7. Полная внеплановая смена паролей должна производиться в случае компрометации личного пароля одного из администраторов.
9.8. В случае компрометации личного пароля Субъекта надлежит немедленно ограничить доступ к информации с данной учетной записи, до момента вступления в силу новой учетной записи Субъекта или пароля.
9.9. При работе с парольной защитой Субъектам запрещается:
− разглашать кому-либо персональный пароль и прочие идентифицирующие сведения;
− предоставлять доступ от своей учетной записи к информации посторонним лицам;
− записывать пароли на бумаге, файле, электронных и прочих носителях информации, в том числе и на предметах.
9.10. Хранение Субъектом своего пароля на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе.
9.11. При вводе пароля Субъект обязан исключить возможность его перехвата сторонними лицами и техническими средствами.
9.12. Под компрометацией следует понимать:
− физическая утеря носителя с информацией;
− передача идентификационной информации по открытым каналам связи;
− проникновение постороннего лица в помещение физического хранения носителя парольной информации или алгоритма или подозрение на него (срабатывание сигнализации, повреждение устройств контроля НСД (слепков печатей), повреждение замков и т. п.);
− визуальный осмотр носителя идентификационной информации посторонним лицом;
− перехват пароля при распределении идентификаторов;
− сознательная передача информации постороннему лицу.
9.13. Действия при компрометации пароля:
− скомпрометированный пароль сразу же выводится из действия, взамен его вводятся запасной или новый пароль;
− о компрометации немедленно оповещаются все участники обмена информацией. Пароль вносится в специальные списки, содержащие скомпрометированные пароли и учетные записи.
10. Конфиденциальность
10.1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без соблюдения принципа, основанного на согласии субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством.
11. Уничтожение (обезличивание) персональных данных
11.1. Уничтожение (обезличивание) персональных данных Субъекта производится в следующих случаях:
11.1.1. по достижении целей их обработки или в случае утраты необходимости в их достижении в срок, не превышающий тридцати дней с момента достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных (его представителем, нанимателем);
11.1.2. в случае выявления неправомерной обработки персональных данных или правомерного отзыва персональных данных в срок, не превышающий десяти рабочих дней с момента выявления такого случая;
11.1.3. в случае истечения срока хранения персональных данных, определяемого в соответствии с законодательством и организационно-распорядительными документами Оператора;
11.1.4. в случае предписания уполномоченного органа по защите прав субъектов персональных данных, органов прокуратуры или решения суда.
12. Передача третьим лицам
12.1 Оператор может передавать персональные данные иным лицам, провайдерам хостинга, сервисам аналитики, другим лицам с целью исполнения договора, заключаемого с третьими лицами.
12.2. Оператор гарантирует заключение адекватного поручения на обработку персональных данных в случае привлечения третьих лиц в соответствии с договорными полномочиями Оператора.
12.3. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям и в случаях прямо предусмотренных действующим законодательством.
13. Заключительные положения
13.1. Срок обработки персональных данных, обрабатываемых Оператором, может определяться организационно-распорядительными документами Оператора.
13.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных актов по обработке и защите персональных данных, а также по решению Оператора.
13.3. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.
13.4. Вопросы, не урегулированные настоящей Политикой, регламентируются действующим законодательством.
13.5. Оператор может издавать иные локальные акты, уточняющие отдельные принципы обработки персональных данных.