Politika Konfidencial

ПРАВИЛА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
VESCON DOO BEOGRAD (STARI GRAD)

Правовым основанием для принятия настоящих Правил защиты персональных данных (далее: «Правила») является Закон о защите персональных данных («Службени гласник», № 87/2018; далее: «ЗЗПД»).

«Настоящими Правилами регулируется обязательный порядок обращения с персональными данными физических лиц, которые оператор VESCON DOO BEOGRAD (Stari Grad) собирает и обрабатывает при осуществлении своей деятельности — предоставлении услуг, связанных с цифровыми активами, в соответствии с Законом о цифровых активах („Службени гласник “, № 153/2020; далее: „ЗЦА“) и Законом о предотвращении отмывания денег и финансирования терроризма („Службени гласник “, № 113/2017, 91/2019, 153/2020, 92/2023, 94/2024 и 19/2025; далее: „ЗПОДФТ“)».

В рамках своей деятельности Оператор обрабатывает персональные данные различных категорий физических лиц, включая пользователей, сотрудников и иных лиц, вступающих во взаимодействие с Оператором. Обработка может осуществляться, в том числе, с использованием систем видеонаблюдения в служебных помещениях, а также при посещении и использовании веб-сайта и мобильного приложения Оператора и современных каналов коммуникации, включая социальные сети, как это более подробно описано ниже.

1. Определение понятий

1.1. Для целей настоящих Правил отдельные термины имеют следующее значение:

«Оператор»VESCON DOO BEOGRAD (STARI GRAD), регистрационный номер (MB): 21281565, налоговый идентификационный номер (PIB): 109993864 зарегистрированный по адресу: Carice Milice 2/3/1, 11000 Stari Grad.

«Персональные данные» — любые сведения, относящиеся к физическому лицу, личность которого определена или может быть определена прямо или косвенно, в частности на основании идентификационного признака, такого как имя и идентификационный номер, данные о местоположении, идентификаторы в  электронных коммуникационных сетях, либо одного или нескольких признаков его физической, физиологической, генетической, психической, экономической, культурной и социальной идентичности.  

«Обработка персональных данных» — любое действие или совокупность действий, совершаемых автоматизировано или неавтоматизировано  с персональными данными или их совокупностями, такими  как сбор, запись, классификация, группировка или структурирование, хранение, адаптация или изменение, раскрытие, ознакомление, использование, раскрытие путем передачи либо предоставления, копирование, распространение или иное предоставление доступа, сопоставление, ограничение, удаление или уничтожение (далее — «Обработка»);

«Профилирование» — любая форма автоматизированной обработки персональных данных, используемая для оценки определённых характеристик личности, в частности с целью анализа или прогнозирования трудовой деятельности физического лица, его экономического положения, личных предпочтений, интересов, надёжности, поведения, местоположения или перемещений.

«Биометрические данные» — персональные данные, полученные с помощью специальной технической обработки, связанные с физическими, физиологическими или поведенческими характеристиками физического лица, которые позволяют или подтверждают его уникальную идентификацию, такие как изображение лица или дактилоскопические данные.

1.2. Все остальные термины, которые прямо не определены в настоящем разделе, но упоминаются в Правилах, имеют то же значение, что и в ЗЗПД. В случае расхождения в значении терминов, определённых настоящей Политикой, и ЗЗПД, преимущество имеют определения, данные в ЗЗПД.

2. Принципы обработки персональных данных Оператора

2.1. Оператор обрабатывает данные законно, честно и прозрачно для целей, которые являются конкретно определёнными, явными, обоснованными и законными, способом, который является соответствующим, значимым и ограниченным по отношению к тому, что необходимо для достижения цели обработки.

2.2. Собираемые данные должны быть точными и своевременно обновляемыми; по требованию лица, к которому эти данные относятся, они дополняются и исправляются, а в случаях, предусмотренных обязательными положениями закона — удаляются.

2.3. При сборе, обработке и хранении данных в соответствии с настоящими Правилами должна обеспечиваться надлежащая организационная, кадровая и техническая защита.

3. Цель обработки персональных данных

3.1. Оператор использует персональные данные для следующих целей:

*  с целью соблюдения юридических обязанностей в объёме, установленном законом, в отношении сотрудников и иных лиц, чьи данные обрабатываются в соответствии с законом;

*  подготовка, заключение и исполнение договоров (в отношении кандидатов на трудоустройство, пользователей услуг и и иных лиц);

*  с целью физической защиты служебного имущества и помещений, а также обеспечения безопасной среды для сотрудников при соблюдении основных прав и свобод лиц, чьи данные обрабатываются (включая видеонаблюдение, идентификация и иные меры);

*   для осуществления коммуникации с лицом, чьи данные обрабатываются, по его запросу (включая вопросы, запросы и ответы, касающиеся лица, взаимодействующего с Оператором, напрямую, по электронной почте, телефону и иными способами);

*  анализ данных (включая профилирование лиц, использующих веб-сайт Оператора или страницы Оператора в социальных сетях); 

*  с целью совершенствования деятельности и бизнес-процессов Оператора на основе обратной связи от пользователей (в отношении лиц, чьи данные обрабатываются, за исключением сотрудников и кандидатов на трудоустройство);

*  рассылка информации о деятельности Оператора и новых предложениях (newsletter и другие аналогичные промо-материалы для пользователей, подписчиков и иных лиц, которые предоставили информированное согласие на такую обработку).

4. Правовое основание для сбора данных

4.1. Все данные, которые Оператор собирает, имеют правовое основание в законе, на основании информированного согласия субъекта данных или законного делового интереса Оператора. 

4.2. Обработка собранных данных в соответствии с настоящими Правилами в основном необходима для исполнения договора и выполнения юридических обязательств Оператора, а в меньшей степени для реализации законных деловых интересов Оператора, таких как рекламная деятельность и обеспечение безопасности.

4.3. В зависимости от цели обработки данных и категории субъектов данных обработка персональных данных осуществляется на основании:

— информированного согласия субъекта данных (статья 12, пункт 1, подпункт 1 ЗЗПД), с предварительным уведомлением о всех существенных аспектах обработки. Согласие является добровольным, явным, информированным и недвусмысленным и может быть отозвано в любой момент. Отзыв согласия приводит к прекращению любой дальнейшей обработки, при этом обработка данных, выполненная до его отзыва, считается законной

— в целях соблюдения юридических обязанностей Оператора (статья 12, пункт 1, подпункт 3 ЗЗПД). Оператор, как поставщик услуг, связанных с цифровыми активами, обязан соблюдать нормы, регулирующие данный вид деятельности. Персональные данные обрабатываются исключительно в объёме, необходимом для выполнения этих обязанностей, при условии принятия всех необходимых мер, обеспечивающих доступ к данным только уполномоченным лицам и государственным органам.

-для исполнения договора, то есть для совершения действий до заключения договора (статья 12, пункт 1, подпункт 2 ЗЗПД), исключительно в объёме, необходимом для этой цели;

— в целях защиты законного интереса Оператора или законного интереса третьих лиц (статья 12, пункт 1, подпункт 6 ЗЗПД). Персональные данные обрабатываются исключительно в случаях реализации законного интереса, такого как физическая защита служебного имущества и помещений, а также обеспечение безопасной среды для сотрудников, при условии соблюдения основных прав и свобод лиц, чьи данные обрабатываются (видеонаблюдение, идентификация и др.)

5. Собираемые и обрабатываемые данные

5.1. Оператор собирает и обрабатывает персональные данные своих пользователей, сотрудников и других физических лиц в соответствии с ЗЗПД и другими действующими нормативными актами.

5.2. Персональные данные пользователей собираются при регистрации и верификации пользовательского аккаунта, а также при посещении и использовании веб-сайта и мобильного приложения Оператора. В процессе регистрации и верификации пользовательского аккаунта Оператор собирает у пользователя следующие персональные данные, всё в соответствии со статьёй 12, пункт 1, подпункт 3 ЗЗПД:

1.  адрес электронной почты;

2.  имя и фамилия;

3.  дата и место рождения;

4.  номер мобильного телефона;

5. место жительства или пребывания;

6.  уникальный номер гражданина (JMBG);

7.  тип и номер удостоверения личности, наименование органа, выдавшего документ, дата и место его выдачи;

8.  цель и назначение деловых отношений;

9.  IP-адрес.

10. информация о видах деятельности и деловых активностях пользователя;

11.  данные и информация о происхождении имущества;

12. Заявление о том, является ли пользователь должностным лицом, членом ближайшей семьи должностного лица или его близким соратником; имя и фамилия, дата и место рождения, место жительства или пребывания, а также уникальный номер гражданина (JMBG) должностного лица, с которым устанавливаются деловые отношения или совершается операция, а также тип и номер удостоверения личности, наименование органа, выдавшего документ, дата и место его выдачи; информация о том, является ли физическое лицо должностным лицом, выполнявшим или выполняющим в последние четыре года высокую государственную должность в стране, другой стране или международной организации; данные о членстве в семье должностного лица или о статусе близкого соратника; информация о периоде исполнения должности; данные о типе государственной должности, которую должностное лицо выполняло или выполняет в последние четыре года; сведения о семейных отношениях, если лицо является членом ближайшей семьи должностного лица; сведения о характере делового сотрудничества, если лицо является близким соратником должностного лица.

13.имя, фамилия, дата и место рождения, а также место жительства или пребывания фактического владельца пользователя;

14. видеозапись пользователя и сопровождающих его лиц, содержащая биометрические данные — изображение лица — при посещении пользователем офиса Оператора;

15.аудиозапись голоса пользователя при обращении в службу поддержки по телефону, содержащая биометрические данные — голос лица;

16.  биометрические данные пользователя с удостоверения личности: фотография, а также отпечаток пальца и/или подпись — при получении копии удостоверения личности в соответствии с Законом о предотвращении отмывания денег и финансирования терроризма (ЗПОДФТ) и сопутствующими подзаконными актами;

17.с явного согласия пользователя, которое фиксируется на запись, биометрические данные — изображение и голос лица — обрабатываются с целью уникальной идентификации пользователя, в частности при видеоидентификации с использованием аудио- и видеозаписи;

18.  адрес(а) цифровых активов.

5.3. От сотрудников, а также других трудоустроенных лиц собираются и обрабатываются персональные данные, предусмотренные действующими нормативными актами в области трудового права, включая, в частности, Закон о труде, Закон об учёте в сфере труда и Закон о обязательном социальном страховании, а также, при необходимости, нормативными актами, регулирующими деятельность поставщиков услуг, связанных с цифровыми активами. Такая обработка осуществляется для выполнения юридических обязанностей Оператора в соответствии со статьёй 12, пункт 1, подпунктом 3 ЗЗПД.

5.4. От кандидатов на трудоустройство собираются и обрабатываются персональные данные, содержащиеся в резюме (CV), включая имя и фамилию, фотографию, а также контактные данные (номер телефона и адрес электронной почты). Такая обработка осуществляется на основании информированного согласия лица, чьи данные обрабатываются, в соответствии со статьёй 12, пункт 1, подпунктом 1 ЗЗПД, либо по запросу этого лица для совершения действий до заключения трудового договора, в соответствии со статьёй 12, пункт 1, подпунктом 2 ЗЗПД.

5.5. От лиц, которые взаимодействуют или вступают в контакт с Оператором, собираются и обрабатываются персональные данные, такие как имя и фамилия, адрес электронной почты, а также другие данные, которые лица, чьи данные обрабатываются, добровольно предоставляют Оператору. Правовым основанием для такой обработки персональных данных является информированное согласие лица, чьи данные обрабатываются, в соответствии со статьёй 12, пункт 1, подпункт 1 ЗЗПД.

5.6. Файлы cookie, собираемые через веб-сайт и мобильное приложение Оператора, подробно регулируются Политикой использования файлов cookie. Обработка данных с помощью файлов cookie осуществляется на основании согласия пользователя, которое получается ясным, прозрачным, недвусмысленным и добровольным образом.

6. Лица, имеющие доступ к данным

6.1. В Положении о систематизации и внутренней организации рабочих мест у Оператора регулируется внутренняя организация работы, объём полномочий и ответственность сотрудников на определённых должностях. Доступ к персональным данным пользователей и других физических лиц имеют исключительно сотрудники Оператора, которые в соответствии со своими трудовыми обязанностями уполномочены и обучены для обработки персональных данных, и только в объёме, необходимом для достижения целей обработки. В этом смысле доступ к персональным данным могут иметь сотрудники, работающие в следующих организационных подразделениях Оператора:
(i) Сектор развития бизнеса;
(ii) Юридический сектор;
(iii) Сектор маркетинга и по связям с общественностью;
(iv) Трейдинговый сектор;
(v) Сектор по предотвращению отмывания денег и финансирования терроризма;
(vi) Сектор ИКС;
(vii) Сектор поддержки пользователей;
(viii) Бухгалтерско-учётный сектор.

6.2. Сотрудники вышеуказанных секторов обрабатывают персональные данные исключительно в соответствии с внутренними актами Оператора, принципом необходимости доступа (need-to-know), а также с применением соответствующих технических и организационных мер защиты данных.

6.3. Внешне привлечённые юридические и/или физические лица:
(i) контрактные партнёры Оператора,
(ii) лица, предоставляющие услуги физической охраны,
(iii) лица, разрабатывающие программное обеспечение для обработки персональных данных (BLINK.ING DOO BEOGRAD, PIB: 110297552; MB: 21332755),
(iv) лица, обслуживающие информационные системы Оператора,
(v) специализированные хостинговые юридические лица, обеспечивающие видимость интернет-презентации в сети, могут иметь ограниченный доступ к персональным данным, но только в объёме, необходимом для оказания соответствующих услуг. В соответствующих договорах о деловом сотрудничестве с этими лицами Оператор обязан ознакомить их с их обязанностями в соответствии с ЗЗПД и настоящими Правилами.

6.4. Некоторые из вышеуказанных лиц, имеющих доступ к персональным данным, относятся к категории обработчиков. Оператор заключил договоры со всеми обработчиками персональных данных с целью соблюдения ЗЗПД. При этом, оператор остаётся ответственным за все действия по обработке данных, порученные обработчикам.

6.5. Большинство действий по обработке данных выполняют обработчики, осуществляющие свою деятельность на территории Республики Сербия. Однако некоторые действия по обработке данных могут выполняться также обработчиками, зарегистрированными и действующими в странах ЕС или третьих странах.

6.6. Передача данных в такие страны осуществляется:

  • На основании решения о надлежащем уровне защиты для стран ЕС/ЕЭЗ в соответствии со статьёй 64 ЗЗПД. Трансграничная передача в эти страны осуществляется свободно (без предварительного согласия Комиссара) в соответствии с пунктом 2 статьи 64 ЗЗПД;
  • На основании адекватных гарантий в соответствии с пунктом 2 статьи 65, подпункт 2 ЗЗПД, то есть на основании соглашений (Договоры о передаче персональных данных), включающих стандартные положения о защите данных, утверждённые Комиссаром.

6.7. Персональные данные могут передаваться государственным органам, банкам и другим финансовым учреждениям, если это необходимо для выполнения законных обязанностей Оператора, при условии, что использование персональных данных ограничено минимально необходимым объёмом для выполнения конкретных законодательных требований.

7. Согласие

7.1. Согласие пользователя на сбор и обработку персональных данных предоставляется либо в виде письменного заявления, сопровождаемого разъяснением прав и обязанностей пользователя в ясной, доступной и легко понимаемой форме, с использованием простого и понятного языка. Оператор особенно обязан чётко информировать пользователя о том, что отказ от предоставления определённых данных приведёт к невозможности предоставления услуги.

7.2. Пользователь имеет право отозвать своё согласие в любой момент, при этом отзыв согласия не влияет на законность обработки персональных данных, выполненной на основании данного согласия до момента его отзыва.

7.3. До предоставления согласия лицо, чьи данные обрабатываются, должно быть информировано о своём праве на отзыв согласия, а также о последствиях такого отзыва. Отзыв согласия должен быть осуществим таким же простым способом, каким оно предоставляется.

7.4. Правила, касающиеся отзыва согласия, не применяются к данным, которые Оператор обязан собирать, обрабатывать и хранить в течение сроков и в порядке, установленных специальными императивными нормами законодательства. 

8. Хранение данных

8.1. В соответствии со статьёй 84 Закона о цифровых активах (ЗЦА) Оператор обязан вести в электронном виде и хранить не менее десяти лет данные обо всех операциях с цифровыми активами, совершённых им за собственный счёт или от имени и за счёт пользователя цифровых активов. Если операции совершены от имени и за счёт пользователя, такая запись должна содержать все данные, относящиеся к идентификации данного пользователя, а также данные, предусмотренные законодательством, регулирующим предотвращение отмывания денег и финансирование терроризма.  

8.2. Данные, собранные на веб-сайте и в мобильном приложении Оператора с использованием файлов cookie, хранятся в течение срока, установленного действующей на момент сбора Политикой использования файлов cookie. 

9. Компетентные органы и юридические лица, которым предоставляются данные

9.1. Оператор, как обладатель лицензии на предоставление услуг, связанных с цифровыми активами, помимо соблюдения ЗЦА, является также субъектом ЗПОДФТ, а также всех подзаконных актов, принятых на их основании. Применение указанных нормативных актов предполагает постоянный регуляторный надзор со стороны Управления по предотвращению отмывания денег, Комиссии по ценным бумагам и Народного банка Сербии, включая периодический обмен данными о пользователях, собранными в соответствии с законом и настоящими Правилами.

9.2. Дополнительно, Оператор обязан исполнять запросы компетентных органов (в том числе органы управления, прокуратура и суд) и предоставлять данные, запрашиваемые в соответствии с законом, с целью выявления лиц, совершивших уголовные преступления.

9.3. При оказании своих услуг Оператор сотрудничает с коммерческими банками, в которых от имени и за счёт пользователя размещает средства на сводных и целевых счетах, необходимых для реализации отдельных услуг, и предоставляет таким банкам данные в соответствии с требованиями законодательства и обязательствами, принятыми по договорам с банками.

9.4. Для исключения всяких сомнений несмотря на то, что в офисе Оператора осуществляется непрерывное видеонаблюдение с целью сбора биометрических данных пользователей и сотрудников, данное наблюдение организовано компанией Manicom CcTv DOO Beograd. Однако эта компания не имеет доступа к персональным данным и технической возможности получить их, поскольку все камеры подключены к хранилищу («storage») и защищены паролями, установленными сотрудниками Оператора. 

10. Лицо, ответственное за защиту персональных данных

10.1. В целях соблюдения стандартов защиты персональных данных, установленных в рамках ЗЗПД, Оператор назначил ответственного за защиту персональных данных. Это лицо является контактным для всех вопросов, касающихся защиты персональных данных, а также реализации прав, предусмотренных ЗЗПД. Лица могут обращаться к ответственному лицу через один из следующих каналов связи:

—  направлением электронного письма на адрес: [email protected],

—  направлением письменного обращения по адресу местонахождения Оператора: Carice Milice 2/3/1, 11102 Stari grad, с пометкой «для Лица, ответственного за защиту персональных данных», 

—  личной подачей письма по адресу местонахождения Оператора: Carice Milice 2/3/1, 11102 Белград (Stari grad), с пометкой «для Лица, ответственного за защиту персональных данных»

10.2. Оператор обязан своевременно и надлежащим образом привлекать лицо, ответственное за защиту персональных данных, ко всем вопросам, связанным с защитой персональных данных, а также обеспечивать ему необходимые ресурсы для выполнения этих обязанностей, включая доступ к персональным данным и действиям по их обработке, а также обеспечение профессионального обучения и повышения квалификации.

10.3. Оператор обязан обеспечить независимость лица, ответственного за защиту персональных данных, при выполнении им своих обязанностей.

10.4. Руководитель или обработчик не могут привлекать к дисциплинарной ответственности лицо, ответственное за защиту персональных данных, а также расторгать с ним трудовой договор или иной договор по причине выполнения им обязанностей, предусмотренных настоящими Правилами.

10.5. Пользователи могут обращаться к лицу, ответственному за защиту персональных данных, по всем вопросам, связанным с обработкой их персональных данных, а также по вопросам реализации своих прав, предусмотренных настоящим законом. 

10.6. Лицо, ответственное за защиту персональных данных, обязано сохранять конфиденциальность данных, с которыми оно ознакомилось при выполнении своих обязанностей.

10.7. Лицо, ответственное за защиту персональных данных, обязано как минимум:

  1. информировать и давать рекомендации Оператору, а также сотрудникам, выполняющим действия по обработке, относительно их законных обязанностей по защите персональных данных;
  2. контролировать соблюдение положений настоящего закона, иных законов и внутренних нормативных актов Оператора или обработчика, касающихся защиты персональных данных; повышать осведомлённость и проводить обучение сотрудников, участвующих в обработке, а также осуществлять соответствующий контроль
  3. давать рекомендации, по запросу, по оценке воздействия обработки на защиту персональных данных и следить за соблюдением этих рекомендаций.
  4. сотрудничать с Комиссаром по защите данных, выступать контактным лицом для взаимодействия с Комиссаром и консультироваться с ним по вопросам, связанным с обработкой персональных данных.

10.8. При выполнении своих обязанностей лицо, ответственное за защиту персональных данных, обязано особенно учитывать риски, связанные с действиями по обработке, принимая во внимание характер, объем, обстоятельства и цели обработки.

11. Право на доступ

11.1. Пользователь имеет право требовать от Оператора информацию о том, обрабатываются ли его персональные данные, доступ к этим данным, а также следующую информацию:

1. Цели обработки;

2. Виды персональных данных, которые обрабатываются. 

3. Получателей или категории получателей, которым персональные данные были или будут раскрыты, особенно получателей в других странах или международных организациях;

4. Предусмотренный срок хранения персональных данных или, если это невозможно, критерии для определения этого срока;

5.О наличии права требовать от Оператора исправления или удаления своих персональных данных, права на ограничение обработки и права на возражение против обработки;

6. О праве подать жалобу Комиссару по защите данных;

7. Доступная информация о источнике персональных данных, если данные не были собраны у пользователя;

8. О наличии процедуры автоматизированного принятия решений, включая профилирование, а также о логике, используемой при этом, и о значении и ожидаемых последствиях такой обработки для лица, к которому относятся данные.

11.2. Оператор обязан по запросу пользователя предоставить ему копию обрабатываемых данных.

11.3. Если запрос на получение копии направляется в электронном виде, информация предоставляется в обычно используемой электронной форме, если только пользователь не потребовал иной способ предоставления. 

11.4. Право на доступ может быть ограничено, полностью или частично, только в той мере и на тот срок, в котором такое ограничение необходимо и является соразмерной мерой в демократическом обществе, при соблюдении основных прав и законных интересов пользователя, с целью:

1.  предотвратить препятствия в официальном или законодательно установленном сборе информации, расследованиях или процедурах;

2.  обеспечить предотвращение, расследование и раскрытие уголовных преступлений, привлечение виновных к ответственности или исполнение уголовных наказаний;

3. защитить общественную безопасность;

4.  защитить национальную безопасность и оборону;

5.  защитить права и свободы других лиц;   

11.5. Оператор обязан в письменной форме уведомить пользователя о том, что доступ к его персональным данным был отказан или ограничен, а также указать причины отказа или ограничения, без ненужной задержки, но не позднее чем в течение 15 дней.

11.6. Оператор не обязан выполнять требование, указанное в предыдущем пункте, если это поставило бы под угрозу достижение цели, по которой доступ был отказан или ограничен.11.7. В случае, указанном в предыдущем пункте, а также если в ходе рассмотрения запроса на доступ к данным будет установлено, что персональные данные пользователя не обрабатываются, Оператор обязан без ненужной задержки, но не позднее чем в течение 15 дней, письменно уведомить заявителя о том, что в ходе проверки не были обнаружены персональные данные, в отношении которых могут быть реализованы права, предусмотренные законом, а также о возможности обращения с жалобой к Комиссару по защите данных или подачи иска в суд.

12. Исправление или удаление персональных данных

12.1. Пользователь имеет право безотлагательно исправить свои неточные персональные данные. В зависимости от цели обработки, лицо, к которому относятся данные, имеет право дополнить свои неполные персональные данные, что включает предоставление дополнительного заявления.

12.2. Пользователь также имеет право на удаление своих персональных данных со стороны Оператора. 

12.3. Оператор обязан безотлагательно удалить данные в следующих случаях:

1.  Персональные данные больше не нужны для достижения цели, ради которой они были собраны или иным образом обработаны;

2.  Пользователь отозвал согласие, на основании которого осуществлялась обработка, и отсутствует иная законная основа для обработки;

3.  Персональные данные обрабатывались незаконно;

4. Персональные данные подлежат удалению для выполнения законных обязательств Оператора;

5. Если Оператор публично опубликовал личные данные, его обязанность по удалению данных включает принятие всех разумных мер, включая технические меры в рамках доступных технологий и с учётом возможности покрытия расходов на их использование, с целью уведомления других субъектов, которые обрабатывают эти данные, о том, что лицо, на которое относятся данные, подало запрос на удаление всех копий этих данных и связанных указаний, а также электронных ссылок на эти данные. 

13. Удаление пользовательского аккаунта 

13.1. Вы можете удалить свой пользовательский аккаунт в любое время. При удалении аккаунта не прекращаются договорные отношения, установленные для предоставления услуг, связанных с цифровыми активами.

13.2. Если вы хотите удалить свой аккаунт, вы можете на сайте или в приложении оператора нажать кнопку «Удалить аккаунт» и следовать дальнейшим инструкциям, либо отправить нам запрос на удаление (с той электронной почты, с которой вы регистрировались). После получения запроса мы в кратчайшие сроки отправим вам уведомление об удалении аккаунта. Ваш аккаунт может быть удалён только в том случае, если его баланс равен нулю.

14. Право на ограничение обработки

14.1. Пользователь имеет право потребовать от Оператора ограничения обработки своих персональных данных, если выполнено одно из следующих условий:

1) Пользователь оспаривает точность персональных данных в период, позволяющий Оператору проверить точность этих данных;

2) Обработка является незаконной, и пользователь возражает против удаления данных, требуя вместо этого ограничения их использования;
3) Оператору больше не нужны персональные данные для достижения цели обработки, но пользователь запросил их сохранение для подачи, осуществления или защиты юридического требования;

15. Меры защиты, применяемые Оператором

15.1. Учитывая уровень технологических достижений и затраты на их внедрение, характер, объем, обстоятельства и цель обработки, а также вероятность возникновения рисков и уровень риска для прав и свобод физических лиц в результате обработки, Оператор обязан при определении способов обработки и в процессе самой обработки:

1.  Применять соответствующие технические, организационные и кадровые меры, такие как псевдонимизация, которые направлены на обеспечение эффективного применения принципов защиты персональных данных, например, на сокращение объема обрабатываемых данных;

2.  Обеспечивать использование необходимых механизмов защиты в процессе обработки, чтобы соблюдались условия обработки, установленные настоящим законом, и охранялись права и свободы лиц, чьи данные обрабатываются.

15.2. Оператор обязан постоянным применением соответствующих технических, организационных и кадровых мер обеспечивать, чтобы обрабатывались только те персональные данные, которые необходимы для достижения каждой конкретной цели обработки. 

15.3. В соответствии с уровнем технологических достижений и затрат на их применение, природой, масштабом, обстоятельствами и целью обработки, а также вероятностью возникновения рисков и уровнем риска для прав и свобод физических лиц, Оператор осуществляет соответствующие технические, организационные и кадровые меры с целью достижения надлежащего уровня безопасности в отношении риска.

15.4. По мере необходимости эти меры особенно включают:

  1. псевдонимизацию и криптозащиту персональных данных;
  2. обеспечение постоянной конфиденциальности, целостности, доступности и устойчивости систем и сервисов обработки;
  3. обеспечение восстановления доступности и доступа к персональным данным в случае физических или технических инцидентов в кратчайшие сроки;
  4. проведение регулярного тестирования, оценки и анализа эффективности технических, организационных и кадровых мер безопасности обработки.

15.5. При оценке соответствующего уровня безопасности особое внимание уделяется рискам обработки, а именно рискам случайного или незаконного уничтожения, утраты, изменения, несанкционированного раскрытия или доступа к персональным данным, которые были переданы, сохранены или обработаны иным способом.
15.6. На основе оценки рисков Оператор обязан при автоматической обработке применять соответствующие меры, обеспечивающие: 

1.  Недопущение несанкционированного доступа к оборудованию, используемому для обработки данных («контроль доступа к оборудованию»);

2. Предотвращение несанкционированного чтения, копирования, изменения или удаления носителей данных («контроль носителей данных»); 

3.  Предотвращение несанкционированного внесения персональных данных, а также их изменения, удаления и контроля за сохранением («контроль хранения»);

4.  Предотвращать использование системы автоматической обработки неуполномоченным лицом с использованием оборудования для передачи данных («контроль использования»);

5. Чтобы лицо, уполномоченное использовать систему автоматической обработки, имело доступ только к тем персональным данным, на которые распространяется его полномочие («контроль доступа к данным»);

6.  Возможность проверки, кому персональные данные были или могут быть переданы или предоставлены с использованием оборудования для передачи данных («контроль передачи»);

7.  Возможность последующей проверки того, какие персональные данные были внесены в систему автоматической обработки, кем и когда («контроль ввода»);

8. Предотвращение несанкционированного чтения, копирования, изменения или удаления персональных данных при их передаче или транспортировке носителей данных («контроль транспортировки»);

9.  Восстановление установленной системы в случае её сбоя («восстановление системы»); 

10.  Корректную работу системы и своевременное сообщение о её сбоях («надёжность»), а также предотвращать угрозу сохранённым персональным данным из-за недостатков в работе системы («целостность»). 

15.7. В частности, меры защиты персональных данных, которые применяет Оператор VESCON DOO BEOGRAD, включают ограничение доступа к копии базы данных, обеспечение безопасности базы данных агентов службы поддержки пользователей, эффективное управление правами доступа, сетевую безопасность, а также эффективную защиту от угроз и мониторинг.

15.8.Ограничение доступа к копии базы данных. Сервер, на котором будет находиться копия базы данных, размещается в серверной комнате в соответствии с планируемыми мерами по управлению безопасностью ИКТ-систем. Доступ к серверу разрешен исключительно лицам, ответственным за администрирование и безопасность ИКТ-систем, а данные будут храниться не менее 10 лет; физический доступ к серверу обеспечивается аутентификацией с помощью карты; каждый вход в серверную комнату фиксируется с помощью IP-камеры, а доступ к видеозаписям с камеры имеют только лица, ответственные за администрирование и безопасность ИКТ- систем. 

15.9. Безопасность баз данных агентов службы поддержки пользователей обеспечивается путем установки на конечных устройствах Оператора антивирусной/анти-малварной защиты. Дополнительно сотрудники не обладают правами администратора на своих рабочих компьютерах, а возможность печати документов ограничена.

15.10. Управление правами доступа. Безопасная аутентификация пользователей в облачном сервисе будет осуществляться через облачную учетную запись пользователя с использованием SSO-аутентификации. Облако ведет журналы событий обо всех действиях пользователей в системе, при этом во всех приложениях обязательно используется многофакторная аутентификация. В зависимости от бизнес-процессов и информации, размещаемой в облаке, административный доступ к облачным ресурсам будет ограничен только устройствами, находящимися в собственности Оператора. Доступ к облачным ресурсам и информации, принадлежащей Оператору, подлежит строгому контролю и предоставляется в объеме, минимально необходимом для выполнения служебных обязанностей. Пользователям ИТ-системы предоставляются только минимально необходимые привилегии. 

15.11. Безопасность на сетевом уровне. Информация, находящаяся в облаке, защищается при передаче и доступе с использованием безопасных каналов связи с облачными сервисами, которые защищены шифрованием (HTTPS, TLS и др.).

15.12. Защита от угроз и мониторинг. Облачный сервис оснащён необходимыми средствами защиты от вредоносного программного обеспечения, системами предотвращения вторжений к ресурсам, содержащим информацию Оператора, а также межсетевыми экранами веб-приложений (WAF).Также реализована стандартная защита от DDoS-атак с настроенными мерами смягчения на основе предопределённых лимитов для каждого отдельного сервиса, который может подвергаться DDoS-атакам. Провайдер облачных услуг осуществляет мониторинг уязвимостей платформы и своевременно информирует компанию VESCON d.o.o. о вновь выявленных уязвимостях на всех уровнях и компонентах системы, а также о доступных мерах обеспечения безопасности (патчах) и иных мерах по снижению рисков. Действия привилегированных учетных записей в облачном сервисе регистрируются в журналах событий и передаются в систему централизованного управления логами. Доступ поставщика облачных услуг к данным, находящимся в собственности Оператора, возможен исключительно на основании разрешения директора. Дополнительно конфиденциальная информация хранится в зашифрованном виде.

16. Уведомление Уполномоченного о нарушении данных о личности

16.1. Оператор обязан без ненужной задержки уведомить Уполномоченного о нарушении данных о личности, которое может представлять риск для прав и свобод физических лиц, либо, если это возможно, в течение 72 часов с момента обнаружения нарушения.

16.2. Если Оператор не примет меры в течение 72 часов с момента обнаружения нарушения, он обязан обосновать причины, по которым не действовал в этот срок.

16.3. Уведомление должно содержать как минимум следующую информацию:

  1. описание характера нарушения защиты персональных данных, включая категории персональных данных и приблизительное количество субъектов персональных данных, а также приблизительное количество записей персональных данных, в отношении которых было допущено нарушение;
  2. имя и контактные данные лица, ответственного за защиту персональных данных, или информацию о другом способе получения данных о нарушении;
  3. описание возможных последствий нарушения;  
  4. описание мер, которые Оператор предпринял или предложил предпринять в связи с нарушением, включая меры, направленные на снижение негативных последствий.

16.4. Если всю информацию невозможно предоставить одновременно, Оператор без необоснованной задержки поэтапно предоставляет доступную информацию.

16.5. Оператор обязан документировать каждое нарушение защиты персональных данных, включая обстоятельства нарушения, его последствия и меры, принятые для их устранения.

17. Уведомление пользователей о нарушении безопасности персональных данных

17.1. Если нарушение защиты персональных данных может представлять высокий риск для прав и свобод физических лиц, Оператор обязан без необоснованной задержки уведомить субъекта персональных данных о произошедшем нарушении.

17.2. В уведомлении, упомянутом в пункте 1 настоящей статьи, Оператор обязан ясно и доступно описать характер нарушения персональных данных. Оператор не обязан уведомлять субъекта персональных данных в случае, если:

1.  он предпринял соответствующие технические, организационные и кадровые меры защиты персональных данных, безопасность которых была нарушена, в частности если с помощью криптозащиты или иных средств данные стали непонятны для лиц, не имеющих полномочий на доступ к ним;

2.  впоследствии были приняты меры, обеспечивающие, что нарушение персональных данных с высоким риском для прав и свобод субъекта больше не может иметь для него последствий;

3.  уведомление субъекта персональных данных потребовало бы несоразмерных затрат времени и ресурсов. В этом случае Оператор обязан обеспечить предоставление уведомления эффективным способом. 

18. Соответствующее применение ЗЗПД

18.1. На всё, что не предусмотрено иным образом настоящими Правилами, соответственно применяется ЗЗПД.

В Белграде, 13 января 2026 года

От имени и по поручению Оператора

––––––––––––––––––––––––––––––––––––––

 Радоје Марић, директор