Политика обработки персональных данных

Оператор обрабатывает персональные данные в строго определённых и заранее заявленных целях: идентификация Клиента в соответствии с ФЗ-115; заключение и исполнение брокерского договора; информирование Клиента о статусе поручений и операций; обеспечение безопасности счёта и противодействие мошенничеству; исполнение требований уполномоченных государственных органов.

Маркетинговая рассылка осуществляется только с отдельного согласия Клиента, выраженного при регистрации либо в настройках кабинета. Согласие может быть отозвано в любой момент без последствий для основных услуг.

Идентификационные данные: фамилия, имя, отчество, дата и место рождения, серия и номер документа, удостоверяющего личность, дата выдачи, код подразделения, гражданство, ИНН, СНИЛС.

Контактные данные: адрес электронной почты, номер мобильного телефона, фактический и регистрационный адрес.

Финансовые данные: реквизиты банковских счетов и карт (без CVV и без полного PAN), история операций по лицевому счёту, налоговая резидентность.

Биометрические данные: фотография для верификации личности (selfie с документом). Обрабатываются только в момент KYC, не передаются третьим лицам сверх минимально необходимого для проверки и хранятся в отдельном защищённом хранилище.

Технические данные: IP-адрес, отпечаток устройства, параметры браузера и операционной системы, временные метки и события безопасности.

Обработка осуществляется на следующих основаниях, предусмотренных частью 1 статьи 6 ФЗ-152: согласие Клиента, выраженное при регистрации; необходимость исполнения договора, стороной которого является Клиент; необходимость исполнения обязанностей, возложенных на Оператора и Брокера-партнёра законодательством (в частности — ФЗ-115).

Согласие на обработку оформляется электронной подписью в момент регистрации и хранится в журнале согласий с фиксацией хеша принятого текста.

Срок хранения персональных данных, обрабатываемых для целей идентификации и противодействия легализации, — не менее 5 лет с даты прекращения отношений с Клиентом, что соответствует требованиям ФЗ-115.

Финансовые операции и журналы аудита хранятся бессрочно в режиме WORM (write-once-read-many) с криптографической цепочкой целостности, что обеспечивает невозможность изменения данных задним числом.

Маркетинговые данные удаляются в течение 30 дней после отзыва согласия Клиентом.

Оператор передаёт персональные данные только тем третьим лицам, без которых невозможно оказание услуг: Брокеру-партнёру (для исполнения поручений), кастоди-провайдеру (для хранения цифровых активов), KYC-провайдеру (для верификации документа и биометрии), платёжным агентам (для проведения ввода-вывода).

Все третьи лица связаны соглашениями о конфиденциальности и обработке данных, соответствующих требованиям ФЗ-152 и ГОСТ Р 57580.

Трансграничная передача данных не осуществляется без отдельного информированного согласия Клиента.

В соответствии со статьями 14–17 ФЗ-152 Клиент вправе: получать подтверждение факта обработки своих данных и сведения о составе и целях обработки; требовать уточнения, блокирования или уничтожения данных, если они неполны, устарели, неточны или незаконно получены; отзывать согласие на обработку.

Срок ответа на обращение — не более 30 календарных дней с даты его получения. Обращение направляется через личный кабинет, по электронной почте или Почтой России на адрес Оператора.

В случае несогласия с действиями Оператора Клиент вправе обжаловать их в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке.

Технические меры: шифрование персональных данных на уровне СУБД (at-rest), TLS 1.3 для трафика, обязательная многофакторная аутентификация для административных операций, append-only журнал с цепочкой хеш-целостности.

Организационные меры: разграничение прав доступа (RBAC), обязательное обучение сотрудников, регулярный внутренний аудит, независимое пентестирование не реже одного раза в год, политика реагирования на инциденты с уведомлением Клиента и Роскомнадзора в установленные сроки.

Соответствие осуществляется применительно к требованиям ГОСТ Р 57580.1-2017 и базовому стандарту ISO/IEC 27001.

Ответственный за организацию обработки персональных данных назначается приказом Оператора. Связаться с ним можно через личный кабинет (раздел «Поддержка») или по электронной почте, указанной на странице «Контакты».

По вопросам, связанным с реализацией прав субъекта ПДн, рекомендуется направлять обращения через личный кабинет — это ускоряет процесс верификации заявителя и сокращает срок ответа.