Doverka Fintekh LLC · ООО «Доверка Финтех»
Политика обработки персональных данных
Personal Data Processing Policy
Утверждено приказом № 190126 от 19.01.2026 г. Директора ООО «Доверка Финтех» — Селезнев П.В.
Полная версия в PDF: personaldata.pdf
Approved by Order No. 190126 dated 19.01.2026 of the Director of Doverka Fintekh LLC — Seleznev P.V.
Full PDF version: personaldata.pdf
Глава 1. Общие положения
1. Настоящая Политика обработки персональных данных (далее — Политика) определяет порядок обработки и защиты персональных данных Обществом с ограниченной ответственностью «Доверка Финтех» (далее — Общество, Оператор), УНП 193855027, адрес места нахождения: Республика Беларусь, 220004, г. Минск, пр-т Победителей, д. 7А, оф. 31.
2. Настоящая Политика разработана в соответствии с: — Конституцией Республики Беларусь; — Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон № 99-З); — Законом Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»; — иными нормативными правовыми актами Республики Беларусь в области персональных данных.
3. Настоящая Политика распространяется на все персональные данные, обрабатываемые Обществом в связи с предоставлением услуг посредством Сервиса «DoverkaSend» (далее — Сервис).
4. Настоящая Политика является общедоступным документом и размещается на сайте Сервиса.
5. Настоящая Политика действует совместно с Политикой конфиденциальности и Политикой обработки и защиты персональных данных в отношении файлов Cookie, размещёнными на сайте Сервиса.
Глава 2. Основные понятия
6. В настоящей Политике используются следующие понятия:
6.1. Персональные данные — любая информация, относящаяся к идентифицированному (определяемому) физическому лицу или физическому лицу, которое может быть идентифицировано (определено);
6.2. Субъект персональных данных (Субъект) — физическое лицо, к которому относятся обрабатываемые Обществом персональные данные;
6.3. Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
6.4. Оператор — Общество с ограниченной ответственностью «Доверка Финтех», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
6.5. Уполномоченное лицо — лицо, которому Оператор на основании договора поручает обработку персональных данных;
6.6. Предоставление персональных данных — действия, направленные на ознакомление с персональными данными определённых лица или лиц;
6.7. Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределённого круга лиц;
6.8. Блокирование персональных данных — прекращение обработки персональных данных (за исключением хранения) на определённый срок;
6.9. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту;
6.10. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства;
6.11. Кошелёк — информационный сервис Учётной записи, отражающий размер задолженности Общества перед Пользователем в соответствующей валюте. Кошелёк не является банковским счётом. Для каждой поддерживаемой валюты ведётся отдельный учёт задолженности.
Глава 3. Принципы обработки персональных данных
7. Общество осуществляет обработку персональных данных на основании следующих принципов:
7.1. обработка персональных данных осуществляется на законной и справедливой основе;
7.2. обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей; не допускается обработка персональных данных, не совместимая с целями их сбора;
7.3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
7.4. обработке подлежат только персональные данные, которые отвечают целям их обработки;
7.5. содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки; не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
7.6. при обработке персональных данных обеспечивается точность персональных данных, их достаточность и при необходимости — актуальность по отношению к целям обработки;
7.7. хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки, если иной срок хранения не установлен законодательством Республики Беларусь; 7.8. обработка персональных данных обеспечивает на всех этапах справедливое соотношение интересов всех заинтересованных лиц.
Глава 4. Правовые основания обработки персональных данных
8. Общество обрабатывает персональные данные при наличии одного или нескольких из следующих оснований:
8.1. согласие Субъекта персональных данных на обработку его персональных данных;
8.2. необходимость обработки персональных данных для исполнения договора, стороной которого либо выгодоприобретателем по которому является Субъект персональных данных (Пользовательское соглашение — публичная оферта);
8.3. необходимость обработки персональных данных для выполнения обязанностей, предусмотренных законодательными актами Республики Беларусь, в том числе в области противодействия легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма (ПОД/ФТ);
8.4. необходимость обработки персональных данных для защиты законных интересов Общества или третьих лиц, за исключением случаев, когда над такими интересами преобладают интересы Субъекта персональных данных;
8.5. иные основания, предусмотренные Законом № 99-З и иными законодательными актами Республики Беларусь.
9. Согласие Субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных. Согласие может быть получено в письменной форме, в виде электронного документа, в иной электронной форме, в том числе в форме проставления Субъектом соответствующей отметки при регистрации в Сервисе «DoverkaSend», при авторизации или в иной форме, позволяющей установить факт получения согласия.
10. Согласие Субъекта на обработку персональных данных может быть отозвано Субъектом в порядке, установленном Главой 6 настоящей Политики.
Глава 5. Цели и категории обрабатываемых персональных данных
11. Общество обрабатывает персональные данные в следующих целях:
11.1. регистрация Пользователя в Сервисе и создание учётной записи (аккаунта);
11.2. верификация, аутентификация и идентификация Пользователя;
11.3. предоставление Пользователю возможности использования функциональных возможностей Сервиса, включая оказание платёжных услуг, пополнение кошельков, приобретение eSIM, участие в реферальной программе;
11.4. взаимодействие с Пользователем (уведомления, запросы, информация), включая SMS, push- уведомления, сообщения в Telegram и электронную почту;
11.5. обеспечение безопасности учётной записи Пользователя, включая хранение хеша ПИН-кода и параметров двухфакторной аутентификации;
11.6. выполнение требований законодательства Республики Беларусь, в том числе в области ПОД/ФТ;
11.7. проведение статистических и иных исследований на основе обезличенных (агрегированных) данных;
11.8. рассмотрение обращений Пользователей в службу поддержки;
11.9. обеспечение функционирования реферальной программы и начисления бонусов;
11.10. иные цели, непосредственно связанные с предоставлением услуг Сервиса.
12. Перечень обрабатываемых категорий персональных данных, их состав и цели обработки определяются Политикой конфиденциальности Общества.
Глава 6. Права Субъекта персональных данных и порядок их реализации
13. Субъект персональных данных имеет право:
13.1. получать информацию, касающуюся обработки его персональных данных, в том числе содержащую: а) наименование и место нахождения Оператора; б) подтверждение факта обработки персональных данных Оператором; в) его персональные данные и источник их получения; г) правовые основания и цели обработки персональных данных; д) срок обработки (хранения) персональных данных; е) наименование и адрес уполномоченных лиц, осуществляющих обработку персональных данных по поручению Оператора; ж) иные сведения, предусмотренные Законом № 99-З;
13.2. требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
13.3. получать от Оператора информацию о предоставлении своих персональных данных третьим лицам не позднее чем за три рабочих дня до такого предоставления (за исключением случаев, предусмотренных Законом № 99-З);
13.4. отозвать своё согласие на обработку персональных данных;
13.5. требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки, предусмотренных Законом № 99-З и иными законодательными актами;
13.6. обжаловать действия (бездействие) и решения Оператора, связанные с обработкой персональных данных, в уполномоченный орган по защите прав субъектов персональных данных — Национальный центр защиты персональных данных Республики Беларусь (далее — НЦЗПД);
13.7. на защиту своих прав и законных интересов, в том числе на возмещение морального вреда в судебном порядке.
14. Для реализации прав, указанных в п. 13 настоящей Политики, Субъект персональных данных направляет в адрес Оператора обращение (запрос) одним из следующих способов: 14.1. через встроенную систему обращений (тикетов) в Сервисе;
14.2. по электронной почте на адрес, указанный на сайте Сервиса для обращений по вопросам персональных данных;
14.3. по почтовому адресу Оператора: Республика Беларусь, 220004, г. Минск, пр-т Победителей, д. 7А, оф. 31.
15. Обращение (запрос) Субъекта должно содержать:
15.1. фамилию, имя, отчество (при наличии) Субъекта;
15.2. номер телефона, адрес электронной почты или иные данные, позволяющие идентифицировать Субъекта как Пользователя Сервиса;
15.3. изложение сути обращения (запроса);
15.4. подпись Субъекта (для обращений на бумажном носителе) или иное подтверждение личности (для электронных обращений — направление с верифицированного аккаунта Сервиса или подтверждённой электронной почты).
16. Оператор рассматривает обращение (запрос) Субъекта в течение пятнадцати календарных дней с даты его получения и направляет мотивированный ответ. Срок рассмотрения может быть продлён не более чем на пятнадцать календарных дней с уведомлением Субъекта о причинах продления.
17. В случае отзыва Субъектом согласия на обработку персональных данных Оператор прекращает обработку персональных данных и осуществляет их удаление в течение пятнадцати календарных дней с даты получения отзыва, за исключением случаев, когда обработка может быть продолжена на основаниях, предусмотренных Законом № 99-З и иными законодательными актами (в том числе в целях ПОД/ФТ). Отзыв согласия влечёт прекращение доступа к Сервису.
18. Оператор вправе отказать Субъекту в предоставлении информации о его персональных данных в случаях, предусмотренных Законом № 99- З.
Глава 7. Передача персональных данных третьим лицам
19. Общество может передавать персональные данные Субъектов следующим категориям третьих лиц:
19.1. операторам идентификации (KYC-сервисам) — для целей верификации личности;
19.2. платёжным партнёрам (в том числе банкам) — для оказания платёжных услуг (исполнения переводов, пополнений и QR-платежей);
19.3. банкам-эквайерам — для обработки платежей;
19.4. операторам связи и сервисным провайдерам — для доставки SMS-уведомлений, OTP-кодов и сообщений в мессенджерах;
19.5. провайдерам eSIM — для исполнения заказов на виртуальные SIM-карты;
19.6. иным контрагентам, привлекаемым Обществом для исполнения обязательств перед Пользователем, — в объёме, необходимом для оказания соответствующих услуг;
19.7. государственным органам — в случаях, предусмотренных применимым законодательством.
20. Передача персональных данных третьим лицам осуществляется на основании договоров с соответствующими контрагентами, содержащих условия о конфиденциальности и защите персональных данных, либо на основании требований законодательства.
21. Передача персональных данных в обезличенном (агрегированном) виде может осуществляться без согласия Субъекта для целей проведения статистических и иных исследований. Передача персональных данных для маркетинговых целей осуществляется исключительно с согласия Субъекта.
Глава 8. Трансграничная передача персональных данных
22. В связи с международным характером услуг Сервиса Общество может осуществлять трансграничную передачу персональных данных на территории иностранных государств, в том числе в целях оказания трансграничных платёжных услуг и прохождения верификации.
23. Трансграничная передача персональных данных осуществляется:
23.1. на территории иностранных государств, обеспечивающих адекватный уровень защиты персональных данных, — без дополнительного согласия Субъекта;
23.2. на территории иностранных государств, не обеспечивающих адекватный уровень защиты персональных данных, — при наличии одного из следующих условий: а) согласие Субъекта персональных данных; б) исполнение договора, стороной которого является Субъект (Пользовательское соглашение); в) защита жизни, здоровья Субъекта или иных лиц при невозможности получения согласия; г) иные основания, предусмотренные Законом № 99-З.
24. Регистрация в Сервисе и акцепт Пользовательского соглашения является согласием Субъекта на трансграничную передачу его персональных данных в объёме, необходимом для оказания услуг Сервиса.
25. Перечень стран, в которые может осуществляться трансграничная передача персональных данных, определяется составом направлений оказания платёжных услуг и партнёров Сервиса и может изменяться. Актуальный перечень поддерживаемых направлений публикуется в Сервисе.
Глава 9. Сроки обработки и хранения персональных данных
26. Общество обрабатывает и хранит персональные данные в течение срока, необходимого для достижения целей обработки, если иной срок не установлен законодательством Республики Беларусь.
27. Основные сроки хранения:
27.1. персональные данные Пользователей Сервиса — в течение 5 (пяти) лет с момента оказания последней услуги в рамках Пользовательского соглашения;
27.2. персональные данные после удаления учётной записи Пользователем — в течение 5 (пяти) лет с момента удаления учётной записи или прекращения действия Пользовательского соглашения, в соответствии с требованиями законодательства Республики Беларусь о ПОД/ФТ;
27.3. данные, необходимые для выполнения требований законодательства о ПОД/ФТ, — в течение сроков, установленных соответствующим законодательством Республики Беларусь;
27.4. обезличенные (агрегированные) данные — бессрочно (не являются персональными данными).
28. По истечении срока хранения персональные данные подлежат удалению, а при отсутствии технической возможности удаления — блокированию с последующим удалением.
Глава 10. Меры по защите персональных данных
29. Общество принимает правовые, организационные и технические меры для защиты персональных данных от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий, в том числе:
29.1. назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных; в случае если такое лицо не назначено, ответственным является руководитель (директор) Общества;
29.2. ограничение и регламентация состава работников и иных лиц, имеющих доступ к персональным данным;
29.3. ознакомление работников и иных лиц, осуществляющих обработку персональных данных, с положениями законодательства и настоящей Политикой;
29.4. шифрование персональных данных при хранении (AES-256) и передаче (TLS 1.2+);
29.5. маскирование номеров телефонов и иных идентификаторов при отображении в интерфейсе Сервиса;
29.6. хранение ПИН-кодов и паролей исключительно в хешированном виде; 29.7. обеспечение условий для хранения документов, содержащих персональные данные, в ограниченном доступе;
29.8. проведение внутренних проверок соблюдения требований по защите персональных данных;
29.9. расследование случаев несанкционированного доступа или разглашения персональных данных;
29.10. обеспечение возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа;
29.11. иные меры, предусмотренные законодательством Республики Беларусь.
Глава 11. Уведомление о нарушениях
30. В случае нарушения систем защиты персональных данных Общество уведомляет Национальный центр защиты персональных данных незамедлительно, но не позднее трёх рабочих дней после того, как Обществу стало известно о таком нарушении, за исключением случаев, предусмотренных НЦЗПД.
31. Если нарушение может повлечь высокий риск для прав и свобод Субъектов персональных данных, Общество также уведомляет затронутых Субъектов.
Глава 12. Ответственность
32. Работники Общества и иные лица, виновные в нарушении настоящей Политики, а также законодательства Республики Беларусь в области персональных данных, могут быть привлечены к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Республики Беларусь, а также к гражданско- правовой, административной и уголовной ответственности в порядке, установленном законодательством Республики Беларусь.
Глава 13. Заключительные положения
33. Настоящая Политика вступает в силу с момента утверждения и действует бессрочно.
34. Общество вправе в одностороннем порядке вносить изменения в настоящую Политику путём размещения актуальной версии на сайте Сервиса. Продолжение использования Сервиса после публикации новой редакции Политики означает принятие Субъектом персональных данных её условий.
35. Настоящая Политика размещается в свободном доступе на сайте Сервиса по адресу: doverkasend.com.
36. По вопросам, связанным с обработкой персональных данных, Субъект вправе обратиться: — через встроенную систему обращений (тикетов) в Сервисе; — по электронной почте или через иные каналы связи, указанные на сайте Сервиса; — по почтовому адресу: Республика Беларусь, 220004, г. Минск, пр-т Победителей, д. 7А, оф. 31.
37. Субъект персональных данных вправе обратиться за защитой своих прав в Национальный центр защиты персональных данных Республики Беларусь (https://cpd.by).
38. Все вопросы, не отражённые в настоящей Политике, регулируются законодательством Республики Беларусь.
Chapter 1. General Provisions
1. This Personal Data Processing Policy (hereinafter — the Policy) defines the procedure for the processing and protection of personal data by the Limited Liability Company "Doverka Fintekh" (hereinafter — the Company, the Operator), UNP (taxpayer number) 193855027, registered address: Republic of Belarus, 220004, Minsk, Pobediteley Avenue 7A, office 31.
2. This Policy has been developed in accordance with: — the Constitution of the Republic of Belarus; — the Law of the Republic of Belarus No. 99-Z dated 07.05.2021 "On Personal Data Protection" (hereinafter — Law No. 99-Z); — the Law of the Republic of Belarus No. 455-Z dated 10.11.2008 "On Information, Informatization and Information Protection"; — other regulatory legal acts of the Republic of Belarus in the field of personal data.
3. This Policy applies to all personal data processed by the Company in connection with the provision of services through the "DoverkaSend" Service (hereinafter — the Service).
4. This Policy is a publicly available document and is published on the Service's website.
5. This Policy applies jointly with the Privacy Policy and the Policy on the Processing and Protection of Personal Data in relation to Cookie files, published on the Service's website.
Chapter 2. Key Definitions
6. This Policy uses the following terms:
6.1. Personal Data — any information relating to an identified (identifiable) natural person or a natural person who may be identified (determined);
6.2. Personal Data Subject (Subject) — a natural person to whom the personal data processed by the Company relate;
6.3. Processing of Personal Data — any action or set of actions performed with personal data, including collection, systematization, storage, modification, use, anonymization, blocking, distribution, provision, and deletion of personal data;
6.4. Operator — Limited Liability Company "Doverka Fintekh", which, independently or jointly with others, organizes and/or carries out the processing of personal data, as well as determines the purposes of processing personal data, the composition of personal data to be processed, and the actions (operations) performed with personal data;
6.5. Authorized Person — a person to whom the Operator entrusts the processing of personal data on the basis of a contract;
6.6. Provision of Personal Data — actions aimed at disclosing personal data to a specific person or persons;
6.7. Distribution of Personal Data — actions aimed at disclosing personal data to an indefinite range of persons;
6.8. Blocking of Personal Data — cessation of processing of personal data (except for storage) for a defined period;
6.9. Anonymization of Personal Data — actions as a result of which it becomes impossible, without the use of additional information, to determine the attribution of personal data to a specific Subject;
6.10. Cross-Border Transfer of Personal Data — the transfer of personal data to the territory of a foreign state;
6.11. Wallet — an information service of the Account reflecting the amount of the Company's indebtedness to the User in the corresponding currency. The Wallet is not a bank account. A separate record of indebtedness is maintained for each supported currency.
Chapter 3. Principles of Personal Data Processing
7. The Company processes personal data based on the following principles:
7.1. personal data are processed on a lawful and fair basis;
7.2. personal data processing is limited to the achievement of specific, previously declared lawful purposes; processing of personal data incompatible with the purposes of their collection is not permitted;
7.3. the merging of databases containing personal data processed for mutually incompatible purposes is not permitted;
7.4. only personal data meeting the purposes of their processing shall be processed;
7.5. the content and volume of processed personal data correspond to the declared purposes of processing; redundancy of processed personal data relative to the declared purposes of processing is not permitted;
7.6. when processing personal data, the accuracy and sufficiency of personal data, and, where necessary, their relevance to the purposes of processing, shall be ensured;
7.7. personal data are stored no longer than required by the purposes of processing, unless a different storage period is established by the legislation of the Republic of Belarus; 7.8. the processing of personal data at all stages ensures a fair balance of the interests of all interested parties.
Chapter 4. Legal Grounds for the Processing of Personal Data
8. The Company processes personal data where one or more of the following grounds exist:
8.1. the consent of the Personal Data Subject to the processing of their personal data;
8.2. the necessity of processing personal data for the performance of a contract to which the Personal Data Subject is a party or a beneficiary (the User Agreement — a public offer);
8.3. the necessity of processing personal data for the fulfilment of obligations provided for by legislative acts of the Republic of Belarus, including in the field of anti- money laundering and counter-terrorism financing (AML/CFT);
8.4. the necessity of processing personal data for the protection of the legitimate interests of the Company or third parties, except where such interests are overridden by the interests of the Personal Data Subject;
8.5. other grounds provided for by Law No. 99-Z and other legislative acts of the Republic of Belarus.
9. The consent of the Personal Data Subject is a free, unambiguous, informed expression of the Subject's will, by which the Subject permits the processing of their personal data. Consent may be obtained in written form, in the form of an electronic document, in another electronic form, including by the Subject placing the corresponding mark at the time of registration in the "DoverkaSend" Service, at the time of authorization, or in any other form permitting the fact of receipt of consent to be established.
10. The Subject's consent to the processing of personal data may be withdrawn by the Subject in the manner established by Chapter 6 of this Policy.
Chapter 5. Purposes and Categories of Processed Personal Data
11. The Company processes personal data for the following purposes:
11.1. registration of the User in the Service and creation of an account;
11.2. verification, authentication and identification of the User;
11.3. enabling the User to access the functional features of the Service, including the provision of payment services, top-up of Wallets, purchase of eSIMs, and participation in the referral programme;
11.4. communication with the User (notifications, requests, information), including SMS, push notifications, Telegram messages and email;
11.5. ensuring the security of the User's account, including storage of the hash of the PIN code and the parameters of two-factor authentication;
11.6. compliance with the requirements of the legislation of the Republic of Belarus, including in the field of AML/CFT;
11.7. conducting statistical and other research on the basis of anonymized (aggregated) data;
11.8. handling of User inquiries submitted to the support service;
11.9. ensuring the operation of the referral programme and the accrual of bonuses;
11.10. other purposes directly related to the provision of the Service's services.
12. The list of categories of processed personal data, their composition and the purposes of processing are determined by the Company's Privacy Policy.
Chapter 6. Rights of the Personal Data Subject and the Procedure for Their Exercise
13. The Personal Data Subject has the right to:
13.1. receive information concerning the processing of the Subject's personal data, including information containing: (a) the name and location of the Operator; (b) confirmation of the fact of processing of personal data by the Operator; (c) the Subject's personal data and the source from which they were obtained; (d) the legal grounds and purposes of processing the personal data; (e) the period for processing (storage) of personal data; (f) the name and address of Authorized Persons performing the processing of personal data on behalf of the Operator; (g) other information provided for by Law No. 99-Z;
13.2. require the Operator to amend the Subject's personal data if the personal data are incomplete, outdated or inaccurate;
13.3. receive information from the Operator on the provision of the Subject's personal data to third parties no later than three business days prior to such provision (except in cases provided for by Law No. 99-Z);
13.4. withdraw the Subject's consent to the processing of personal data;
13.5. require the Operator to cease processing of the Subject's personal data free of charge, including their deletion, where no grounds for processing exist under Law No. 99-Z and other legislative acts;
13.6. appeal against the actions (inaction) and decisions of the Operator related to the processing of personal data to the authorized body for the protection of the rights of personal data subjects — the National Center for Personal Data Protection of the Republic of Belarus (hereinafter — NCPDP);
13.7. protection of the Subject's rights and legitimate interests, including compensation for moral damage through judicial proceedings.
14. To exercise the rights specified in clause 13 of this Policy, the Personal Data Subject shall send a request (inquiry) to the Operator by one of the following means: 14.1. through the built-in inquiry (ticketing) system in the Service;
14.2. by email to the address indicated on the Service's website for personal data inquiries;
14.3. by postal address of the Operator: Republic of Belarus, 220004, Minsk, Pobediteley Avenue 7A, office 31.
15. The Subject's request (inquiry) shall contain:
15.1. the surname, given name, and patronymic (if any) of the Subject;
15.2. the telephone number, email address or other data allowing identification of the Subject as a User of the Service;
15.3. a statement of the substance of the request (inquiry);
15.4. the Subject's signature (for paper-based requests) or other means of identity confirmation (for electronic requests — sending from a verified Service account or a confirmed email address).
16. The Operator shall consider the Subject's request (inquiry) within fifteen calendar days from the date of its receipt and shall send a reasoned response. The review period may be extended by no more than fifteen calendar days, with notice to the Subject of the reasons for the extension.
17. If the Subject withdraws consent to the processing of personal data, the Operator shall cease processing of personal data and shall delete them within fifteen calendar days from the date of receipt of the withdrawal, except where processing may continue on grounds provided by Law No. 99-Z and other legislative acts (including AML/CFT purposes). Withdrawal of consent entails termination of access to the Service.
18. The Operator is entitled to refuse to provide the Subject with information about the Subject's personal data in cases provided for by Law No. 99-Z.
Chapter 7. Transfer of Personal Data to Third Parties
19. The Company may transfer the personal data of Subjects to the following categories of third parties:
19.1. identification operators (KYC services) — for the purposes of identity verification;
19.2. payment partners (including banks) — for the provision of payment services (execution of transfers, top-ups and QR payments);
19.3. acquiring banks — for payment processing;
19.4. telecommunications operators and service providers — for the delivery of SMS notifications, OTP codes and messenger messages;
19.5. eSIM providers — for the fulfilment of orders for virtual SIM cards;
19.6. other counterparties engaged by the Company to fulfil obligations towards the User — to the extent necessary for the provision of the corresponding services;
19.7. state authorities — in cases provided for by applicable legislation.
20. The transfer of personal data to third parties is carried out on the basis of contracts with the relevant counterparties containing provisions on confidentiality and protection of personal data, or on the basis of statutory requirements.
21. The transfer of personal data in anonymized (aggregated) form may be carried out without the Subject's consent for the purposes of statistical and other research. The transfer of personal data for marketing purposes is carried out solely with the Subject's consent.
Chapter 8. Cross-Border Transfer of Personal Data
22. Due to the international nature of the Service's services, the Company may carry out cross-border transfer of personal data to foreign states, including for the purposes of providing cross-border payment services and conducting verification.
23. Cross-border transfer of personal data is carried out:
23.1. to the territory of foreign states providing an adequate level of personal data protection — without additional consent of the Subject;
23.2. to the territory of foreign states that do not provide an adequate level of personal data protection — subject to one of the following conditions: (a) consent of the Personal Data Subject; (b) performance of a contract to which the Subject is a party (User Agreement); (c) protection of the life or health of the Subject or other persons where consent cannot be obtained; (d) other grounds provided for by Law No. 99-Z.
24. Registration in the Service and acceptance of the User Agreement constitute the Subject's consent to the cross-border transfer of the Subject's personal data to the extent necessary for the provision of the Service's services.
25. The list of countries to which cross-border transfer of personal data may be carried out is determined by the composition of payment service directions and the partners of the Service and may be changed. The current list of supported directions is published in the Service.
Chapter 9. Periods of Processing and Storage of Personal Data
26. The Company processes and stores personal data for the period necessary to achieve the purposes of processing, unless a different period is established by the legislation of the Republic of Belarus.
27. Principal storage periods:
27.1. personal data of Service Users — for 5 (five) years from the date of provision of the last service under the User Agreement;
27.2. personal data after deletion of the account by the User — for 5 (five) years from the date of deletion of the account or termination of the User Agreement, in accordance with the AML/CFT requirements of the legislation of the Republic of Belarus;
27.3. data required for compliance with AML/CFT legislation — for the periods established by the relevant legislation of the Republic of Belarus;
27.4. anonymized (aggregated) data — indefinitely (not constituting personal data).
28. Upon expiry of the storage period, personal data shall be deleted, or, where deletion is not technically feasible, blocked with subsequent deletion.
Chapter 10. Personal Data Protection Measures
29. The Company implements legal, organizational and technical measures to protect personal data from unauthorized access, destruction, modification, blocking, copying, distribution and other unlawful actions, including:
29.1. appointment of a person responsible for internal control over the processing of personal data; if no such person is appointed, the head (director) of the Company is responsible;
29.2. restriction and regulation of the staff and other persons with access to personal data;
29.3. familiarization of employees and other persons processing personal data with the provisions of legislation and this Policy;
29.4. encryption of personal data at rest (AES-256) and in transit (TLS 1.2+);
29.5. masking of telephone numbers and other identifiers when displayed in the Service interface;
29.6. storage of PIN codes and passwords solely in hashed form; 29.7. ensuring conditions for the storage of documents containing personal data under restricted access;
29.8. conducting internal audits of compliance with personal data protection requirements;
29.9. investigation of cases of unauthorized access to or disclosure of personal data;
29.10. ensuring the ability to recover personal data modified or destroyed as a result of unauthorized access;
29.11. other measures provided for by the legislation of the Republic of Belarus.
Chapter 11. Notification of Breaches
30. In the event of a breach of personal data protection systems, the Company shall notify the National Center for Personal Data Protection without undue delay, but no later than three business days after the Company becomes aware of such breach, except in cases provided for by the NCPDP.
31. If the breach is likely to result in a high risk to the rights and freedoms of Personal Data Subjects, the Company shall also notify the affected Subjects.
Chapter 12. Liability
32. Employees of the Company and other persons responsible for violations of this Policy, as well as of the legislation of the Republic of Belarus in the field of personal data, may be held disciplinarily and financially liable in the manner established by the Labour Code of the Republic of Belarus, as well as civilly, administratively and criminally liable in the manner established by the legislation of the Republic of Belarus.
Chapter 13. Final Provisions
33. This Policy enters into force from the date of approval and is valid indefinitely.
34. The Company is entitled to unilaterally amend this Policy by posting the current version on the Service's website. Continued use of the Service after the publication of a new version of the Policy constitutes acceptance of its terms by the Personal Data Subject.
35. This Policy is freely available on the Service's website at: doverkasend.com.
36. On matters relating to the processing of personal data, the Subject is entitled to contact the Company: — through the built-in inquiry (ticketing) system in the Service; — by email or other communication channels indicated on the Service's website; — by postal address: Republic of Belarus, 220004, Minsk, Pobediteley Avenue 7A, office 31.
37. The Personal Data Subject is entitled to seek protection of their rights from the National Center for Personal Data Protection of the Republic of Belarus (https://cpd.by).
38. All matters not reflected in this Policy shall be governed by the legislation of the Republic of Belarus.