1.1. Оператор персональных данных

Оператором персональных данных, публикующим настоящую Политику, является Акционерное общество «ТрансМашГазТокен» (далее — «Общество», «АО «ТМГТ»»): ОГРН 1267700137407, ИНН 9710159627, место нахождения: Российская Федерация, г. Москва. Общество выступает оператором персональных данных в значении Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2. Предмет и сфера действия

Настоящая Политика определяет цели, правовые основания, принципы, способы и сроки обработки персональных данных субъектов ПДн в связи с использованием ими Сайта, Мобильного приложения и иных Сервисов АО «ТМГТ» на pre-launch этапе, а также в связи с участием в pre-onboarding процедурах и тестовой среде (Sandbox).
Настоящая Политика применяется ко всем персональным данным, получаемым Обществом от Пользователей и иных субъектов ПДн. Политика размещается в публичном доступе на официальном Сайте Общества в соответствии с частью 2 статьи 18.1 Федерального закона № 152-ФЗ.

1.3. Применимое законодательство

Настоящая Политика разработана в соответствии с:

• Конституцией Российской Федерации;
• Гражданским кодексом Российской Федерации;
• Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральным законом от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»;
• Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• приказами и иными нормативными актами ФСТЭК России, ФСБ России и Роскомнадзора.

1.4. Pre-launch контекст

На pre-launch этапе обработка ПДн направлена на обеспечение работы Сайта, регистрацию Учётных записей, участие в pre-onboarding, доступ к Sandbox, направление информационных уведомлений и подготовку к Операционному этапу. Pre-onboarding проверки не являются идентификацией клиента по Федеральному закону № 115-ФЗ, которая будет проводиться только после включения Общества в реестры Банка России.

1.5. Термины и определения

Термины, используемые в настоящей Политике, применяются в значениях, установленных Федеральным законом № 152-ФЗ. Термины, используемые в связи с Сервисами, — в значениях, установленных Пользовательским соглашением АО «ТМГТ».

2. Принципы обработки персональных данных

Общество обрабатывает персональные данные на основании следующих принципов, закреплённых статьёй 5 Федерального закона № 152-ФЗ:

• законность и справедливость обработки;
• ограничение обработки достижением конкретных, заранее определённых и законных целей;
• недопустимость объединения баз данных, обработка ПДн в которых осуществляется в целях, несовместимых между собой;
• обработка только тех ПДн, которые соответствуют целям их обработки;
• соответствие содержания и объёма обрабатываемых ПДн заявленным целям; недопустимость избыточности;
• точность и достаточность ПДн; своевременное удаление или уточнение некорректных или избыточных ПДн;
• хранение ПДн в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки и применимое законодательство;
• обеспечение безопасности ПДн при их обработке.

3. Категории субъектов и обрабатываемых данных

3.1. Категории субъектов персональных данных

3.2. Категории обрабатываемых персональных данных

Общество обрабатывает следующие категории персональных данных в объёме, необходимом для достижения целей обработки:

3.2.1. Идентификационные и контактные данные

3.2.2. Данные о должности и организации

3.2.3. Технические данные

3.2.4. Данные аутентификации

3.2.5. Биометрические персональные данные (при pre-onboarding)

В рамках pre-onboarding уполномоченные провайдеры KYC (в том числе МТС ID KYC, Smart Engines, NeuroVision и иные лицензированные провайдеры) могут осуществлять сбор биометрических данных (изображения лица, видеоидентификация) с применением Presentation Attack Detection. Обработка биометрических данных осуществляется на основании письменного согласия субъекта в соответствии со статьёй 11 Федерального закона № 152-ФЗ. Пользователь вправе отказаться от предоставления биометрических данных, что может повлечь невозможность прохождения pre-onboarding.

3.3. Специальные категории ПДн

Общество не осуществляет обработку специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) за исключением случаев, когда это прямо предусмотрено законом и на основании явного согласия субъекта ПДн.

4. Цели обработки персональных данных

Общество обрабатывает персональные данные исключительно в следующих целях:

• заключение и исполнение Пользовательского соглашения, предоставление доступа к Сайту, Мобильному приложению и иным Сервисам на pre-launch этапе;
• регистрация и ведение Учётной записи Пользователя, обеспечение аутентификации и сохранности доступа;
• проведение pre-onboarding процедур в целях подготовки к идентификации на Операционном этапе;
• предоставление доступа к Sandbox, включая управление доступом и аудит операций;
• направление Пользователю информационных и сервисных уведомлений, связанных с использованием Сервисов;
• направление маркетинговых коммуникаций — исключительно на основании отдельного согласия Пользователя, с возможностью отзыва согласия в любой момент;
• рассмотрение обращений Пользователей и иных субъектов ПДн;
• обеспечение информационной безопасности Сервисов, предотвращение и расследование инцидентов;
• соблюдение требований применимого законодательства Российской Федерации, включая законодательство о противодействии легализации доходов, налоговое и санкционное законодательство;
• исполнение законных запросов органов государственной власти Российской Федерации;
• защита прав и законных интересов Общества в рамках досудебного урегулирования и судебных споров;
• подготовка к переходу к Операционному этапу и дальнейшему оказанию услуг.

4.1. Маркетинговые коммуникации

Направление Пользователю маркетинговых коммуникаций по каналам электронной связи (электронная почта, SMS-сообщения, push-уведомления, мессенджеры) осуществляется исключительно при наличии предварительного явного согласия Пользователя, выражаемого путём проставления отдельной отметки в интерактивном элементе Личного кабинета либо иным однозначным волеизъявлением, в соответствии со статьёй 18 Федерального закона № 38-ФЗ «О рекламе». Согласие на маркетинговые коммуникации может быть отозвано Пользователем в любой момент через настройки Личного кабинета, по ссылке для отказа в каждом направленном сообщении или путём обращения в Общество по контактам, указанным в разделе «Контакты по вопросам персональных данных» настоящей Политики.
Сервисные и административные уведомления (подтверждения регистрации, уведомления об изменениях в Учётной записи, уведомления об инцидентах безопасности, уведомления о существенных изменениях настоящей Политики и Пользовательского соглашения, уведомления по запросам Пользователя) не являются маркетинговыми коммуникациями и направляются Обществом независимо от согласия на маркетинг, поскольку необходимы для исполнения договора и для соблюдения обязанностей Общества, возложенных законом.
Пользователи, продолжительное время не выражавшие согласия на маркетинговые коммуникации либо отозвавшие ранее данное согласие, не включаются в рассылки и получают только сервисные уведомления. Общество не передаёт адреса электронной почты и номера мобильных телефонов Пользователей третьим лицам для направления маркетинговых коммуникаций от имени таких третьих лиц.

7. Способы и сроки обработки

7.1. Способы обработки

Общество осуществляет обработку персональных данных с использованием средств автоматизации, в информационных системах Общества, а также без использования средств автоматизации (при бумажном документообороте). Обработка включает, но не ограничивается: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

7.2. Локализация

В соответствии с требованиями части 5 статьи 18 Федерального закона № 152-ФЗ (введённой Федеральным законом № 242-ФЗ) первичная запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществляются в базах данных, размещённых на территории Российской Федерации.

7.3. Сроки обработки и хранения

Сроки обработки персональных данных определяются целями обработки, сроком действия договора с субъектом ПДн, а также сроками, установленными применимым законодательством. По истечении сроков персональные данные подлежат уничтожению или обезличиванию, если иное не предусмотрено законом. Основные применимые сроки хранения:

• данные Учётной записи — в течение срока действия Учётной записи и в течение 3 (трёх) лет после её закрытия, если иной срок не установлен законом;
• данные pre-onboarding — до наступления Операционного этапа и перехода к идентификации по 115-ФЗ либо в течение 5 (пяти) лет после окончания pre-onboarding, если процедура не завершилась переходом к идентификации;
• данные, относящиеся к операциям и их обоснованию (на Операционном этапе) — не менее 5 (пяти) лет в соответствии с требованиями 115-ФЗ;
• данные бухгалтерского и налогового учёта — в сроки, установленные Федеральным законом № 402-ФЗ «О бухгалтерском учёте» и Налоговым кодексом Российской Федерации;
• данные обращений и переписки — в течение 3 (трёх) лет с даты окончания переписки;
• логи информационных систем — в сроки, установленные внутренними регламентами Общества и применимыми требованиями регуляторов.

8. Передача персональных данных третьим лицам

8.1. Случаи передачи

Общество передаёт персональные данные третьим лицам только в следующих случаях:

• в рамках поручений обработки персональных данных, заключённых с подрядчиками и поставщиками услуг, необходимых для обеспечения деятельности Общества (провайдеры облачной инфраструктуры, операторы связи, провайдеры KYC и идентификационных сервисов, подрядчики по разработке и технической поддержке, консультанты по вопросам информационной безопасности и права);
• в рамках исполнения законных требований органов государственной власти Российской Федерации (Банк России, Росфинмониторинг, ФНС, ФСБ России, ФСТЭК России, Роскомнадзор, МВД России, Следственный комитет, суды, судебные приставы);
• с согласия субъекта ПДн — иным лицам, указанным в согласии;
• в случаях, прямо предусмотренных применимым законодательством Российской Федерации.

8.2. Требования к получателям

При передаче персональных данных подрядчикам и поставщикам услуг Общество заключает с ними поручения на обработку персональных данных в соответствии с частью 3 статьи 6 Федерального закона № 152-ФЗ, содержащие обязательства по обеспечению конфиденциальности и безопасности персональных данных и по их обработке в соответствии с целями, установленными Обществом. Общество предварительно проверяет подрядчиков на наличие необходимых организационных и технических мер защиты персональных данных.

8.3. Трансграничная передача

Трансграничная передача персональных данных осуществляется Обществом только в соответствии с требованиями статьи 12 Федерального закона № 152-ФЗ. На pre-launch этапе Общество не планирует трансграничную передачу персональных данных, за исключением случаев, прямо предусмотренных законодательством Российской Федерации. В случае возникновения необходимости трансграничной передачи Общество направит в Роскомнадзор уведомление по требуемой форме и обеспечит получение явного согласия субъекта ПДн, если оно требуется.

8.4. Порядок исполнения запросов государственных органов

При получении запросов органов государственной власти о предоставлении персональных данных Пользователей Общество:

• проверяет наличие у запрашивающего органа законных полномочий на получение соответствующих сведений;
• проверяет соответствие запроса по форме и содержанию требованиям применимого законодательства (в том числе Уголовно-процессуального кодекса Российской Федерации, Налогового кодекса Российской Федерации, Федерального закона № 115-ФЗ, Федерального закона № 144-ФЗ «Об оперативно-розыскной деятельности»);
• предоставляет только те сведения, которые указаны в запросе и необходимы для достижения его целей, воздерживаясь от передачи избыточных данных;
• отказывает в исполнении запросов, не соответствующих требованиям применимого законодательства, с направлением заявителю мотивированного отказа;
• документирует каждый полученный запрос и действия, совершённые в ответ на него, с соблюдением установленных сроков хранения.

Общество в пределах, допустимых применимым законодательством, стремится уведомлять субъекта ПДн о факте получения запроса. Уведомление не производится в случаях, когда такое уведомление прямо запрещено законом (в частности, при получении запросов, связанных с оперативно-розыскной деятельностью, налоговой тайной в период проверки, банковской тайной в случаях, предусмотренных статьёй 26 Федерального закона № 395-1 «О банках и банковской деятельности»).

10. Права субъектов ПДн и порядок их реализации

10.1. Права субъектов

В соответствии с Федеральным законом № 152-ФЗ субъект персональных данных имеет право:

• получать информацию, касающуюся обработки его персональных данных, в том числе сведения о правовых основаниях обработки, целях, способах, сроках обработки, лицах, которым могут быть переданы ПДн;
• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отзывать своё согласие на обработку персональных данных (в том числе согласие на получение маркетинговых коммуникаций и на обработку биометрических данных);
• возражать против обработки персональных данных в целях продвижения товаров, работ, услуг на рынке;
• обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд;
• использовать иные права, предусмотренные Федеральным законом № 152-ФЗ и применимым законодательством.

10.2. Порядок обращения

Для реализации прав субъект ПДн направляет запрос в АО «ТМГТ» любым из следующих способов:

• на адрес электронной почты, указанный на Сайте в разделе «Контакты» для обращений по персональным данным;
• через форму обратной связи в Личном кабинете;
• почтовым отправлением на адрес места нахождения Общества.

Запрос должен содержать: фамилию, имя, отчество (при наличии), реквизиты документа, удостоверяющего личность, сведения, подтверждающие участие субъекта в отношениях с Обществом, либо сведения, иным образом подтверждающие факт обработки персональных данных, подпись субъекта или его представителя. Общество рассматривает запрос в течение 10 (десяти) рабочих дней с даты его получения и направляет мотивированный ответ. Срок рассмотрения может быть продлён в случаях, предусмотренных законом.

10.3. Ответственное лицо

Ответственное лицо за организацию обработки персональных данных в АО «ТМГТ» определяется приказом Генерального директора. Контактные данные ответственного лица публикуются на Сайте в разделе «Контакты».

01

02

03

04

05

06

07

08