Политика конфиденциальности

1. ВВЕДЕНИЕ

1.1. Цель

Настоящая Политика конфиденциальности описывает, каким образом 1654.exchange («Компания», «мы», «нас» или «наш») собирает, обрабатывает и защищает персональные данные. Она разработана для обеспечения соответствия:

• Общему регламенту о защите данных (ЕС) 2016/679 (GDPR)
• Регламенту (ЕС) 2023/1114 о рынках криптоактивов (MiCA)
• Директиве (ЕС) 2015/849 (AMLD6) о противодействии отмыванию денег
• Применимому национальному и международному законодательству о защите данных

Настоящая Политика распространяется на всех пользователей, клиентов, партнёров и посетителей («Субъекты данных»), взаимодействующих с нашими услугами, веб-сайтом и продуктами.

1.2. Сфера применения

Настоящая Политика конфиденциальности регулирует сбор, использование, хранение и защиту персональных данных в рамках:

1. Нашего веб-сайта, онлайн-платформы и мобильных приложений
2. Любых взаимодействий, транзакций или коммуникаций с пользователями
3. Обработки данных в целях соблюдения регуляторных требований (AML, KYC, проверка санкционных списков и мониторинг транзакций)

Она распространяется на все услуги, предоставляемые 1654.exchange, включая обмен криптовалют, операции с цифровыми активами и сопутствующие финансовые услуги.

1.3. Контролёр данных

1654.exchange является Контролёром данных, ответственным за определение целей и средств обработки персональных данных в соответствии с настоящей Политикой.

По любым вопросам, касающимся защиты данных, пользователи могут обратиться к нашему Сотруднику по защите данных (DPO):

Email: compliance@1654.exchange

1.4. Правовые основания обработки

Мы обрабатываем персональные данные на следующих правовых основаниях в соответствии с GDPR:

1. Исполнение договора (статья 6(1)(b) GDPR) — когда обработка необходима для исполнения договора.
2. Соблюдение правовых обязательств (статья 6(1)(c) GDPR, статья 66 MiCA, AMLD6) — для KYC, AML и регуляторной отчётности.
3. Законные интересы (статья 6(1)(f) GDPR) — предотвращение мошенничества, мониторинг безопасности и улучшение сервиса.
4. Согласие пользователя (статья 6(1)(a) GDPR) — маркетинг, персонализированные услуги и опциональное профилирование.

Мы не обрабатываем чувствительные персональные данные (статья 9 GDPR), если это не требуется по закону.

1.5. Ключевые определения

• Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.
• Обработка — любая операция с персональными данными (сбор, хранение, использование, передача, удаление).
• Субъект данных — любое физическое лицо, чьи персональные данные обрабатываются компанией 1654.exchange.
• Контролёр данных — организация, определяющая цели и средства обработки (1654.exchange).
• Обработчик — любая третья сторона, обрабатывающая данные по поручению Контролёра.
• Профилирование — автоматизированная обработка, используемая для анализа личных предпочтений или поведения.
• Надзорный орган — компетентный орган по защите данных, ответственный за надзор в применимой юрисдикции.

2. ПЕРСОНАЛЬНЫЕ ДАННЫЕ, КОТОРЫЕ МЫ СОБИРАЕМ

2.1. Виды собираемых данных

1654.exchange собирает и обрабатывает следующие категории персональных данных:

2.1.1. Идентификационные данные

• Полное имя
• Дата рождения
• Гражданство и национальность
• Государственный документ, удостоверяющий личность (паспорт, национальное удостоверение, водительское удостоверение)

2.1.2. Контактная информация

• Адрес проживания
• Адрес электронной почты
• Номер телефона

2.1.3. Финансовые данные и данные о транзакциях

• Данные KYC и AML: источник средств, подтверждение адреса, налоговое резидентство.
• Операции с криптоактивами: адреса кошельков, история транзакций, записи о покупке/продаже.
• Платёжная информация: реквизиты банковского счёта, платёжные квитанции.

2.1.4. Данные безопасности и оценки рисков

• Проверка AML и санкционных списков: статус PEP, мониторинг чёрных списков.
• Выявление мошенничества: мониторинг транзакций, IP-адреса, цифровые отпечатки устройств.

2.1.5. Поведенческие и технические данные

• Аналитика использования веб-сайта (файлы coоkie, IP-адреса, данные браузера).
• Файлы журналов, временные метки и активность сессий.

2.2. Способы сбора данных

Мы собираем персональные данные:

• Непосредственно от пользователей (регистрация аккаунта, KYC-верификация).
• Посредством автоматического отслеживания (файлы coоkie, журналы транзакций).
• От третьих сторон (регуляторные органы, финансовые учреждения, базы данных по предотвращению мошенничества).

3. ЦЕЛИ ОБРАБОТКИ

3.1. Правовые и регуляторные цели

• Соответствие требованиям AML/KYC (AMLD6, статьи 66–68 MiCA)
• Предотвращение мошенничества и финансовых преступлений
• Регуляторная отчётность и аудиты

3.2. Предоставление услуг и управление аккаунтом

• Верификация личности при регистрации
• Обработка транзакций с криптовалютой
• Поддержка клиентов и разрешение споров

3.3. Безопасность и управление рисками

• Предотвращение несанкционированного доступа
• Мониторинг необычных транзакционных паттернов
• Реагирование на инциденты и кибербезопасность

3.4. Маркетинг и персонализация

• Рассылка рекламных материалов (с согласия пользователя)
• Оптимизация пользовательского опыта на основе аналитики

4. ПОЛИТИКА ХРАНЕНИЯ ДАННЫХ

4.1. Сроки хранения

Мы храним данные в соответствии с правовыми и операционными требованиями:

• Данные KYC и AML — 5–10 лет — AMLD6, статья 68 MiCA
• Криптотранзакции — 5–7 лет — соблюдение регуляторных требований
• Маркетинговые данные — до отзыва согласия — статья 7 GDPR
• Журналы веб-сайта — 12–24 месяца — мониторинг безопасности

По истечении сроков хранения данные надёжно удаляются или обезличиваются.

5. МЕРЫ БЕЗОПАСНОСТИ ДАННЫХ

5.1. Технические и организационные меры

1654.exchange обеспечивает конфиденциальность, целостность и доступность данных посредством:

• Шифрование — шифрование передачи данных по протоколу TLS 1.3.
• Контроль доступа — многофакторная аутентификация при входе в аккаунт.
• Выявление мошенничества — мониторинг транзакционных рисков на основе ИИ.
• Реагирование на инциденты — круглосуточный мониторинг безопасности и уведомления об утечках.

6. ПРАВА СУБЪЕКТОВ ДАННЫХ И ПОРЯДОК ОБРАЩЕНИЙ

1654.exchange обеспечивает всем Субъектам данных возможность реализации их прав в соответствии с Общим регламентом о защите данных (GDPR), MiCA и иными применимыми нормативными актами.

6.1. Перечень прав

В соответствии с GDPR (статьи 12–23), MiCA (статьи 66–68) и иными применимыми законами Субъекты данных обладают следующими правами:

6.1.1. Право на доступ (статья 15 GDPR)

Субъекты данных вправе получить подтверждение того, обрабатываются ли их персональные данные, и запросить копию своих данных, включая:

• Цели обработки
• Категории обрабатываемых данных
• Получателей данных
• Сроки хранения данных

Порядок обращения: направьте запрос на compliance@1654.exchange с подтверждением личности.

6.1.2. Право на исправление (статья 16 GDPR)

При наличии неточных или неполных персональных данных Субъекты данных могут запросить их исправление.

Порядок обращения: предоставьте подтверждающие документы для внесения изменений (например, новый документ, удостоверяющий личность, или подтверждение адреса).

6.1.3. Право на удаление («Право быть забытым») (статья 17 GDPR)

Пользователи могут запросить удаление данных, если:

• Данные больше не нужны для первоначальных целей обработки.
• Обработка основывалась на согласии, и пользователь отзывает его.
• Обработка является незаконной.

Исключения: мы можем сохранять данные во исполнение правовых обязательств по MiCA и AMLD6 (например, записи KYC/AML должны храниться не менее 5–10 лет).

6.1.4. Право на ограничение обработки (статья 18 GDPR)

Обработка данных может быть ограничена, если:

• Точность данных оспаривается.
• Обработка незаконна, но Субъект данных возражает против удаления.
• Данные необходимы для предъявления правовых требований.

6.1.5. Право на переносимость данных (статья 20 GDPR)

Пользователи могут запросить свои персональные данные в структурированном, машиночитаемом формате для передачи другому поставщику услуг.

Пример: передача истории финансовых транзакций на другую криптобиржу.

6.1.6. Право на возражение (статья 21 GDPR)

Пользователи могут возразить против обработки, основанной на законных интересах, включая:

• Маркетинговую деятельность (предусмотрена возможность отказа).
• Профилирование для оценки рисков (проверка AML в соответствии с MiCA может быть исключена из права на возражение).

6.1.7. Право на отзыв согласия (статья 7 GDPR)

Если обработка основана на согласии, пользователи могут отозвать его в любое время, не затрагивая законность предшествующей обработки.

6.1.8. Право на подачу жалобы (статья 77 GDPR)

Если Субъект данных считает, что 1654.exchange нарушает законодательство о защите данных, он вправе подать жалобу в компетентный надзорный орган по защите данных в применимой юрисдикции.

6.2. Порядок подачи запросов и сроки ответа

• Запросы должны подаваться в письменной форме на адрес compliance@1654.exchange.
• 1654.exchange отвечает в течение одного месяца (срок может быть продлён на два месяца для сложных случаев).
• До обработки запроса требуется подтверждение личности.

7. ПЕРЕДАЧА ДАННЫХ И СТОРОННИЕ ОБРАБОТЧИКИ

7.1. Передача данных третьим сторонам

Мы передаём персональные данные только при необходимости в правовых и операционных целях.

Уполномоченные получатели:

• Регуляторные органы (подразделения финансовой разведки, ESMA, органы соответствия AMLD6).
• Платёжные и банковские партнёры (для обработки транзакций).
• Провайдеры блокчейн-аналитики (для предотвращения мошенничества и AML-мониторинга).
• Провайдеры кибербезопасности и ИТ (услуги защиты данных).

Данные НЕ продаются и не передаются в коммерческих целях.

7.2. Международная передача данных

Данные могут передаваться за пределы Европейского экономического пространства (ЕЭП) в случаях, когда:

• Страна-получатель обеспечивает надлежащий уровень защиты (статья 45 GDPR).
• Мы применяем Стандартные договорные положения (SCC) или Обязательные корпоративные правила (BCR) (статья 46 GDPR).

Пример: хранение данных у облачных провайдеров в США (AWS, Google Cloud) с соблюдением SCC.

7.3. Меры безопасности и подотчётности

До привлечения сторонних Обработчиков мы обеспечиваем:

• Договорные соглашения с условиями соответствия GDPR.
• Регулярные аудиты для проверки соответствия стандартам MiCA и AMLD6.
• Шифрование данных при передаче и хранении.

8. АВТОМАТИЗИРОВАННОЕ ПРИНЯТИЕ РЕШЕНИЙ И ПРОФИЛИРОВАНИЕ

8.1. Цели автоматизированного принятия решений

1654.exchange использует автоматизированную обработку для:

• Выявления мошенничества и оценки рисков (статья 66 MiCA).
• Мониторинга транзакций на предмет подозрительной активности.
• Проверки санкционных списков и AML-скрининга (соответствие AMLD6).
• Профилирования рисков клиентов на основе транзакционного поведения.

Полностью автоматизированные решения, влекущие правовые последствия для пользователей, не принимаются без участия человека.

8.2. Права пользователей и порядок обжалования

Пользователи вправе:

• Запросить вмешательство человека при автоматизированном принятии решений.
• Оспорить результаты профилирования, если они считают решение ошибочным.
• Запросить разъяснения по результатам автоматизированной оценки.

Контакт: compliance@1654.exchange

9. ПОЛИТИКА РЕАГИРОВАНИЯ НА УТЕЧКИ ДАННЫХ

9.1. Выявление инцидентов и локализация

В случае утечки данных 1654.exchange осуществит:

• Выявление и локализацию утечки в течение 24 часов.
• Оценку уровня риска для затронутых лиц.
• Уведомление соответствующих органов (при необходимости в соответствии со статьёй 33 GDPR и MiCA).

9.2. Уведомление пользователей и устранение последствий

В случае если утечка создаёт высокий риск для данных пользователей:

• Затронутые пользователи будут уведомлены в течение 72 часов.
• Рекомендуемые защитные меры (смена пароля, защита аккаунта).
• Шаги по устранению инцидента и результаты расследования.

10. КОНТАКТНАЯ ИНФОРМАЦИЯ

Сотрудник по защите данных (DPO):

Email: compliance@1654.exchange