Настоящая Политика конфиденциальности (далее — Политика) является документом, устанавливающим обязательства Общества с ограниченной ответственностью «Доверка Финтех» (далее — ООО «Доверка Финтех», Оператор) по неразглашению и обеспечению режима защиты конфиденциальности любых данных, которые Пользователь предоставляет при регистрации, верификации, аутентификации на Сервисе «DoverkaSend». Сервис доступен, включая, но не ограничиваясь, через веб-сайт по адресу doverkasend.com, мобильное приложение и Telegram Mini App; иные каналы доступа (в том числе обновляемые Компанией) могут быть указаны в интерфейсе Сервиса и/или в настройках учётной записи.

Компания является поставщиком платёжных услуг и оказывает Пользователям платёжные услуги в рамках функциональных возможностей Сервиса.

Глава 1. Термины и определения

1. В настоящей Политике используются следующие понятия и термины:

1.1. Компания — Общество с ограниченной ответственностью «Доверка Финтех», Республика Беларусь, 220004, г. Минск, пр-т Победителей, д. 7А, оф. 31, осуществляющее обработку и защиту Персональных данных;

1.2. Сервис «DoverkaSend» (Сервис) — совокупность программных и аппаратных средств, обеспечивающих оказание платёжных услуг Компанией, пополнения кошельков, конвертации валют, инициирования платежа, приобретения eSIM и верификации личности Пользователей, доступная через веб-сайт, мобильное приложение, Telegram-бот и Telegram Mini App;

1.3. Верификация — совокупность мероприятий по проверке и подтверждению достоверности сведений о Пользователе, включая установление его личности, идентификацию, аутентификацию, проверку подлинности предоставленных документов и (или) сверку изображения лица Пользователя с фотографией в документе, осуществляемая с привлечением KYC-сервиса в целях соблюдения требований законодательства о противодействии легализации доходов, полученных преступным путём, и финансированию терроризма (ПОД/ФТ), а также в целях определения доступных Пользователю лимитов и функциональных возможностей Сервиса;

1.4. KYC-сервис — третье лицо, привлекаемое на договорной основе для проведения процедур удалённой идентификации и верификации Пользователей, включая проверку подлинности документов, удостоверяющих личность, и сверку изображения лица Пользователя с фотографией в документе, а также для передачи Оператору подтверждённых результатов такой проверки;

1.5. Персональные данные — любая информация, относящаяся к идентифицированному (определяемому) физическому лицу или физическому лицу, которое может быть идентифицировано (определено);

1.6. Субъект Персональных данных или субъект — физическое лицо, не являющееся работником Компании, к которому относятся обрабатываемые Компанией Персональные данные;

1.7. Обработка Персональных данных — любое действие или совокупность действий, совершаемые с Персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление Персональных данных;

1.8. Авторизация — процедура предоставления потенциальным Пользователем учётных данных в запрашиваемом интерфейсом Сервиса «DoverkaSend» объёме, включающая подтверждение номера телефона одноразовым кодом (OTP), ввод или создание шестизначного ПИН-кода и, при наличии активированной дополнительной двухфакторной аутентификации (2FA), — подтверждение кодом из приложения- аутентификатора (Google Authenticator, Authy и др.) или аппаратным ключом безопасности; 1.9. Профиль Пользователя — часть Сервиса «DoverkaSend», содержащая совокупность самостоятельно предоставленных Пользователем данных о себе, а также данных, подтверждённых в ходе верификации;

1.10. Пользователь — физическое лицо, прошедшее процедуру регистрации (проходящее процедуру регистрации) в Сервисе в порядке, установленном Оператором, и (или) использующее функциональные возможности Сервиса, в том числе без прохождения регистрации (в объёме, доступном для неавторизованных лиц), действующее от своего имени и в своём интересе;

1.11. Кошелёк — информационный сервис Учётной записи, отражающий размер задолженности Компании перед Пользователем в соответствующей валюте. Кошелёк не является банковским счётом. Для каждой поддерживаемой валюты (RUB, THB, USD, EUR и др.) ведётся отдельный учёт задолженности.

Глава 2. Общие положения

2. Настоящая Политика действует в отношении всей информации, которую Пользователь предоставляет при регистрации, верификации, аутентификации на Сервисе, а также при получении платёжных услуг.

3. При акцепте Публичной оферты Пользователь подтверждает ознакомление с содержанием настоящей Политики в полном объёме и бесспорное согласие с её положениями, в том числе касающимися обработки информации способами и в целях, определёнными настоящей Политикой.

4. В случае несогласия с условиями настоящей Политики Пользователь должен прекратить пользование Сервисом.

5. Использование Пользователем Сервиса означает согласие с настоящей Политикой конфиденциальности, Политикой обработки персональных данных ООО «Доверка Финтех».

6. Целью настоящей Политики является определение информации, которая может быть запрошена у Пользователя в связи с использованием Сервиса, обеспечение надлежащего режима защиты конфиденциальности информации о Пользователях, в том числе их персональных данных, от несанкционированного доступа и разглашения.

7. К конфиденциальной информации Пользователя относятся Персональные данные, персональная информация и иные данные, в том числе передаваемые автоматически в процессе использования.

8. Оператор вправе без согласия Пользователя предоставлять полученную информацию третьим лицам в обезличенном (агрегированном) виде с целью проведения статистических и иных исследований, а также в связи с деятельностью, связанной с обслуживанием (технической поддержкой) Сервиса. Передача персональных данных третьим лицам в целях проведения маркетинговых исследований и направления рекламных материалов осуществляется исключительно с согласия Пользователя. Право доступа к информации третьим лицам предоставляется на основании настоящей Политики и законодательства Республики Беларусь, а также в целях обеспечения защиты прав и законных интересов Компании или третьих лиц.

9. Правообладатель осуществляет надлежащую защиту персональных и иных данных, персональной информации с учётом требований Конституции Республики Беларусь, требований Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон № 99- З) и иных законодательных актов Республики Беларусь.

10. Пользователь обязан обеспечивать сохранность и конфиденциальность секретных параметров, включая ПИН-код, пароль, секреты двухфакторной аутентификации, и другой информации, необходимой для доступа и совершения операций. Пользователь обязуется незамедлительно сообщать Оператору Сервиса о любом факте подозрения несанкционированного использования его учётной записи. Соблюдение Пользователем вышеуказанных рекомендаций позволит обеспечить максимальную сохранность предоставленной информации.

11. Общие права Пользователей в области Персональных данных описаны в Политике обработки персональных данных ООО «Доверка Финтех».

12. Уполномоченным лицом Оператора является KYC-Оператор, привлекаемый на договорной основе для проведения процедур удалённой идентификации и верификации Пользователей, иные KYC- Операторы.

Глава 3. Цели обработки Персональных данных

13. Персональные данные, разрешённые к обработке в рамках настоящей Политики конфиденциальности, предоставляются Пользователем путём регистрации на Сервисе.

14. Сервис организует сбор, использование и обработку информации, передаваемой Пользователем при осуществлении им регистрационных действий и использовании функциональных возможностей Сервиса, со следующими целями:

14.1. верификации, аутентификации и идентификации Пользователя;

14.2. отображения персональных данных в профиле Пользователя;

14.3. предоставления Пользователям возможности использования функциональных возможностей Сервиса, включая пополнение кошелька, получение международных платёжных услуг, конвертацию валют между кошельками, инициирование платежа, приобретение eSIM, участие в реферальной программе;

14.4. взаимодействия с Пользователем (связь с Пользователем, в том числе в виде уведомлений, запросов и информации, касающихся использования Сервиса), включая SMS-уведомления, push- уведомления, сообщения в Telegram и электронную почту;

14.5. проверки благонадёжности Пользователей (в том числе, достоверности, актуальности и (или) соответствия законодательству любой информации, предоставляемой Пользователями) — при принятии решения о необходимости осуществления такой проверки;

14.6. обеспечения технической возможности функционирования Сервиса;

14.7. размещения (изменения) данных Профиля Пользователя; 14.8. защиты Профиля Пользователя от несанкционированного доступа третьих лиц, включая хранение хеша ПИН-кода и параметров двухфакторной аутентификации;

14.9. проведения статистических, маркетинговых и иных исследований;

14.10. направления информационных, рекламных уведомлений;

14.11. в целях, вытекающих из требований законодательства;

14.12. обеспечения соблюдения законодательства и локальных актов Компании;

14.13. обеспечения функционирования реферальной программы и начисления бонусов;

14.14. рассмотрения обращений Пользователей в службу поддержки.

15. Обработка Персональных данных соразмерна заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц.

16. Обработка Персональных данных ограничивается достижением конкретных, заранее заявленных настоящей Политикой, иными локальными актами ООО «Доверка Финтех» целей. Не допускается обработка Персональных данных, не совместимая с первоначально заявленными целями их обработки.

17. В случае необходимости изменения первоначально заявленных целей обработки Персональных данных ООО «Доверка Финтех» обязано получить согласие Субъекта Персональных данных на обработку его Персональных данных в соответствии с изменёнными целями обработки Персональных данных при отсутствии иных оснований для такой обработки, предусмотренных Законом № 99-З и иными законодательными актами.

Глава 4. Перечень обрабатываемых данных

Пользователи — категории, состав, цели

Категория Субъектов Персональных данных: Пользователи. Данные, предоставляемые при регистрации и авторизации (номер телефона, адрес электронной почты (при наличии), данные учётной записи Telegram (при регистрации через Telegram Mini App или Telegram-бот)) — в целях создания личного кабинета (аккаунта, профиля Пользователя).

Паспортные данные или данные иного документа, удостоверяющего личность — в целях проведения базовой верификации Пользователя; выполнения требований законодательства Республики Беларусь.

«Изображение лица (селфи)» — в целях прохождения верификации Пользователя (Уровень 2 и выше).

Данные получателя денежных средств; сумма, валюта, назначение платёжной услуги; история операций и сохранённые получатели — в целях оказания платёжных услуг (исполнения гражданско- правового договора).

Данные о предоставленных платёжных услугах — в иных целях в соответствии с п. 14 настоящей Политики.

Данные о приобретённых eSIM (ICCID, номер телефона, параметры тарифного плана) — в целях исполнения агентского договора по предоставлению услуг eSIM.

Данные о реферальных связях (идентификатор пригласившего Пользователя, количество полученных платёжных услуг, сумма начисленных бонусов) — в целях обеспечения функционирования реферальной программы.

Иные данные, предоставляемые Пользователем (страна резидентства, предпочтительная валюта, код авторизации, хеш ПИН-кода, параметры 2FA) — в целях предоставления услуг по гражданско- правовому договору и обеспечения безопасности учётной записи.

18. Обработка Персональных данных осуществляется с согласия Субъекта Персональных данных, за исключением случаев, предусмотренных Законом № 99-З и иными актами законодательства Республики Беларусь.

19. Оператор хранит Персональные данные Пользователей в течение 5 (пяти) лет с момента оказания последней услуги по гражданско- правовому договору.

20. В случае обработки Персональных данных без согласия Субъекта Персональных данных цели обработки Персональных данных устанавливаются Законом № 99-З и иными законодательными актами Республики Беларусь.

21. Согласие Субъекта Персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих Персональных данных.

22. Согласие Субъекта Персональных данных может быть получено, если иное не установлено законодательством, в следующих формах: в письменной форме; в виде электронного документа; в иной электронной форме, в том числе в форме проставления Субъектом Персональных данных соответствующей отметки на Сервисе «DoverkaSend», при Авторизации, в других формах, позволяющих установить факт получения согласия субъекта Персональных данных.

23. Срок хранения обрабатываемых Компанией Персональных данных, в случае если такой срок не определён законодательством Республики Беларусь, устанавливается Компанией самостоятельно на основании целей обработки Персональных данных в соответствии с настоящей Политикой.

24. Срок хранения обрабатываемых Компанией Персональных данных составляет 5 (пять) лет с момента удаления личного кабинета (аккаунта, профиля Пользователя) Пользователем Сервиса «DoverkaSend» и (или) с момента расторжения (прекращения действия) Пользовательского соглашения (публичной оферты) с Компанией, в соответствии с требованиями законодательства Республики Беларусь, в том числе о ПОД/ФТ, если иное не установлено законодательством Республики Беларусь, а при отсутствии технической возможности удаления Персональных данных Компания принимает меры по недопущению дальнейшей обработки Персональных данных, включая их блокирование.

Глава 5. Регистрация и верификация Пользователя

25. Сервис «DoverkaSend» предусматривает три уровня верификации:

25.1. начальный уровень (Уровень 1) — присваивается автоматически после регистрации, не требует предоставления персональных данных сверх номера телефона;

25.2. базовая верификация (Уровень 2) — предполагает удалённую проверку документа, удостоверяющего личность, с использованием KYC- сервиса, включая процедуру подтверждения «живого присутствия» (liveness-проверка / сверка изображения лица Пользователя с фотографией в документе);

25.3. расширенная верификация (Уровень 3) — дополнительно включает предоставление одного или нескольких из следующих документов по запросу Компании: а) документ, подтверждающий адрес проживания (коммунальный счёт, банковская выписка или иной документ, выданный не ранее чем за 3 месяца до даты предоставления); б) документ, подтверждающий источник происхождения денежных средств (справка о доходах, налоговая декларация или иной документ, подтверждающий легальность происхождения средств). Конкретный перечень запрашиваемых документов определяется Оператором индивидуально с учётом требований применимого законодательства и внутренних политик в области ПОД/ФТ.

26. Прохождение Пользователем верификации Уровня 2 или Уровня 3 осуществляется исключительно на добровольной основе. Отказ от прохождения верификации не препятствует использованию Сервиса в объёме, доступном для Уровня 1, но ограничивает либо полностью исключает возможность совершения финансовых операций.

27. Инициация процедуры верификации осуществляется Пользователем самостоятельно посредством функционала личного кабинета Сервиса «DoverkaSend».

28. Взаимодействие Пользователя с KYC-сервисом осуществляется без участия Оператора в процессах ввода, передачи или временного хранения необработанных персональных данных и изображений документов.

29. В ходе прохождения верификации Пользователь: 29.1. предоставляет Персональные данные (фамилия, имя, отчество (при наличии), дата рождения); 29.2. указывает реквизиты документа, удостоверяющего личность (серия, номер, дата выдачи, орган, выдавший документ, код подразделения); 29.3. загружает изображение или скан-копию документа, удостоверяющего личность; 29.4. в случае прохождения базовой верификации (Уровень 2) и выше — проходит процедуру подтверждения «живого присутствия» (предоставляет изображение лица для сверки с фотографией в документе).

30. KYC-сервис осуществляет: 30.1. проверку подлинности представленного документа; 30.2. проверку наличия признаков подделки, редактирования или искажения изображения; 30.3. сопоставление данных, введённых Пользователем; 30.4. (для Уровня 2 и выше) сверку изображения лица Пользователя с фотографией в документе.

31. По завершении проверки KYC-сервис передаёт Оператору результат верификации и подтверждённый набор персональных данных, включая: 31.1. фамилию, имя, отчество (при наличии); 31.2. дату рождения; 31.3. серию и номер документа, удостоверяющего личность (или иного документа); 31.4. дату выдачи и орган, выдавший документ; 31.5. код подразделения.

32. Оператор не получает и не обрабатывает: 32.1. исходные изображения документов, удостоверяющих личность; 32.2. изображения лица Пользователя, выполненные в рамках процедуры подтверждения «живого присутствия»; 32.3. иную информацию, которая не входит в перечень подтверждённых данных, указанный в п. 31 настоящей Главы; 32.4. данные, обрабатываемые технологиями аутентификации на устройстве Пользователя (Face ID, Touch ID или аналогичные технологии), применяемые Пользователем для входа в мобильное приложение Сервиса, — такие данные обрабатываются исключительно средствами операционной системы устройства Пользователя и не передаются Оператору.

Глава 6. Обязательства сторон

33. Пользователь обязан: 33.1. предоставить информацию, содержащую Персональные данные и необходимую для использования Сервиса; 33.2. обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.

34. Оператор обязан:

34.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

34.2. получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами;

34.3. использовать полученную информацию исключительно для целей, указанных в п. 14 настоящей Политики конфиденциальности;

34.4. обеспечить хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения Пользователя, а также не осуществлять продажу, обмен, опубликование либо разглашение иными возможными способами переданных персональных данных Пользователя. Компания не разглашает персональные данные третьим лицам, за исключением случаев, прямо предусмотренных настоящей Политикой (в том числе пунктом 8) и Политикой обработки персональных данных ООО «Доверка Финтех» (Глава 7, пункты 19–21), законодательством Республики Беларусь, а также случаев, когда передача необходима для исполнения договора (оказания услуг) с Пользователем, в том числе исполнения платёжных операций с привлечением платёжных партнёров и подрядчиков;

34.5. обеспечивать защиту персональных данных в процессе их обработки;

34.6. вносить изменения в Персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в Персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

34.7. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом № 99-З и иными законодательными актами;

34.8. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трёх рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;

34.9. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путём персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в Персональные данные, их блокирования или удаления не установлен законодательными актами;

34.10. выполнять иные обязанности, предусмотренные Законом № 99-З и иными законодательными актами.

Глава 7. Организация защиты Персональных данных

35. Под защитой Персональных данных понимается ряд правовых, организационных и технических мер, направленных на: 35.1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 35.2. соблюдение конфиденциальности информации ограниченного доступа; 35.3. реализацию права на доступ к информации.

36. Для защиты Персональных данных Компания принимает необходимые предусмотренные законом меры (включая, но не ограничиваясь):

36.1. ограничивает и регламентирует состав работников и иных лиц, функциональные обязанности которых требуют доступа к информации, содержащей Персональные данные (в том числе путём использования паролей доступа к электронным информационным ресурсам);

36.2. обеспечивает условия для хранения документов, содержащих Персональные данные, в ограниченном доступе;

36.3. организует порядок уничтожения информации, содержащей Персональные данные, если законодательством не установлены требования по хранению соответствующих данных;

36.4. контролирует соблюдение требований по обеспечению защиты Персональных данных, в том числе установленных настоящей Политикой (путём проведения внутренних проверок, установления специальных средств мониторинга и др.);

36.5. проводит расследование случаев несанкционированного доступа или разглашения Персональных данных с привлечением виновных работников к ответственности, принятием иных мер;

36.6. внедряет программные и технические средства защиты информации в электронном виде, включая шифрование персональных данных при хранении (AES-256) и передаче (TLS 1.2+), маскирование номеров телефонов и иных идентификаторов при отображении, хранение ПИН-кодов и паролей исключительно в хешированном виде;

36.7. обеспечивает возможность восстановления Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

36.8. иные меры, предусмотренные законодательством Республики Беларусь.

37. В Компании назначается лицо, ответственное за осуществление внутреннего контроля за обработкой Персональных данных, а в случае, если такое лицо не назначено, лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, является руководитель (директор) Компании.

38. Компания осуществляет ознакомление работников и иных лиц, непосредственно осуществляющих обработку Персональных данных, с положениями законодательства о Персональных данных, в том числе с требованиями по защите Персональных данных, настоящей Политикой, а также производит обучение указанных работников и иных лиц в установленном законодательством порядке.

39. Компанией принимаются иные меры, направленные на обеспечение выполнения Компанией обязанностей в сфере Персональных данных, предусмотренные действующим законодательством Республики Беларусь.

Глава 8. Заключительные положения

40. Работники Компании и иные лица, виновные в нарушении настоящей Политики, а также законодательства Республики Беларусь в области Персональных данных, могут быть привлечены к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом, а также могут быть привлечены к гражданско- правовой, административной и уголовной ответственности в порядке, установленном законодательством Республики Беларусь.

41. Упорядочение обращения с Персональными данными, установленное настоящей Политикой, имеет целью обеспечить права и свободы Субъектов Персональных данных при обработке Персональных данных, сохранение конфиденциальности Персональных данных и их защиту.

42. Настоящая Политика служит основой для разработки локальных, в том числе правовых актов, регламентирующих вопросы обработки и защиты Компанией Персональных данных Субъектов Персональных данных при использовании Сервиса «DoverkaSend».

43. Все вопросы, не отражённые в настоящей Политике, иных локальных актах Компании, регулируются законодательством Республики Беларусь.

This Privacy Policy (hereinafter — the Policy) is a document establishing the obligations of the Limited Liability Company "Doverka Fintekh" (hereinafter — Doverka Fintekh LLC, the Operator) to maintain the non-disclosure and confidentiality protection regime for any data provided by the User upon registration, verification, or authentication in the "DoverkaSend" Service. The Service is available, including but not limited to, through the website at doverkasend.com, the mobile application and the Telegram Mini App; other access channels (including those updated by the Company from time to time) may be indicated in the Service interface and/or in the account settings.

The Company is a payment service provider and provides payment services to Users within the functional capabilities of the Service.

Chapter 1. Terms and Definitions

1. This Policy uses the following terms and definitions:

1.1. Company — Limited Liability Company "Doverka Fintekh", Republic of Belarus, 220004, Minsk, Pobediteley Avenue 7A, office 31, which carries out the processing and protection of Personal Data;

1.2. "DoverkaSend" Service (Service) — a set of software and hardware resources ensuring the provision of payment services by the Company, top-up of Wallets, currency conversion, payment initiation, purchase of eSIMs, and verification of the identity of Users, available through the website, mobile application, Telegram bot, and Telegram Mini App;

1.3. Verification — a set of activities for checking and confirming the accuracy of information about the User, including establishment of the User's identity, identification, authentication, verification of the authenticity of submitted documents, and/or comparison of an image of the User's face with the photograph in the document, carried out with the involvement of a KYC service for the purposes of compliance with legislation on anti-money laundering and counter-terrorism financing (AML/CFT), as well as for the purposes of determining the limits and functional capabilities of the Service available to the User;

1.4. KYC Service — a third party engaged on a contractual basis to carry out procedures of remote identification and verification of Users, including verification of the authenticity of identity documents and comparison of an image of the User's face with the photograph in the document, as well as for transferring to the Operator the confirmed results of such verification;

1.5. Personal Data — any information relating to an identified (identifiable) natural person or a natural person who may be identified (determined);

1.6. Personal Data Subject or Subject — a natural person, other than an employee of the Company, to whom the Personal Data processed by the Company relate;

1.7. Processing of Personal Data — any action or set of actions performed with Personal Data, including collection, systematization, storage, modification, use, anonymization, blocking, distribution, provision, and deletion of Personal Data;

1.8. Authorization — a procedure by which a prospective User provides account credentials to the extent requested by the interface of the "DoverkaSend" Service, comprising confirmation of the telephone number with a one-time password (OTP), the entry or creation of a six-digit PIN code, and, where additional two-factor authentication (2FA) is activated, confirmation with a code from an authenticator application (Google Authenticator, Authy, etc.) or a hardware security key; 1.9. User Profile — part of the "DoverkaSend" Service containing the set of data about the User provided by the User independently, as well as data confirmed during verification;

1.10. User — a natural person who has completed (is completing) the registration procedure in the Service in the manner established by the Operator, and/or uses the functional features of the Service, including without completing registration (to the extent available to unauthenticated persons), acting on the User's own behalf and in the User's own interest;

1.11. Wallet — an information service of the Account reflecting the amount of the Company's indebtedness to the User in the corresponding currency. The Wallet is not a bank account. A separate record of indebtedness is maintained for each supported currency (RUB, THB, USD, EUR, etc.).

Chapter 2. General Provisions

2. This Policy applies to all information that the User provides upon registration, verification or authentication in the Service, as well as when receiving payment services.

3. By accepting the Public Offer, the User confirms full familiarization with the content of this Policy and unconditional agreement with its provisions, including those relating to the processing of information by the methods and for the purposes defined in this Policy.

4. If the User does not agree with the terms of this Policy, the User must discontinue the use of the Service.

5. The User's use of the Service constitutes consent to this Privacy Policy and to the Personal Data Processing Policy of Doverka Fintekh LLC.

6. The purpose of this Policy is to determine the information that may be requested from the User in connection with the use of the Service and to ensure an appropriate regime for the protection of the confidentiality of information about Users, including their personal data, from unauthorized access and disclosure.

7. The User's confidential information includes Personal Data, personal information and other data, including data transferred automatically in the course of use.

8. The Operator is entitled, without the consent of the User, to provide the information received to third parties in anonymized (aggregated) form for the purpose of conducting statistical and other research, as well as in connection with activities related to the maintenance (technical support) of the Service. The transfer of personal data to third parties for the purposes of marketing research and dispatch of advertising materials is carried out solely with the User's consent. The right of access to information is granted to third parties on the basis of this Policy and the legislation of the Republic of Belarus, and also for the purposes of protecting the rights and legitimate interests of the Company or third parties.

9. The Rightsholder ensures proper protection of personal and other data, as well as personal information, in accordance with the requirements of the Constitution of the Republic of Belarus, the requirements of the Law of the Republic of Belarus No. 99-Z dated 07.05.2021 "On Personal Data Protection" (hereinafter — Law No. 99-Z), and other legislative acts of the Republic of Belarus.

10. The User is obliged to ensure the safekeeping and confidentiality of secret parameters, including the PIN code, password, two-factor authentication secrets and other information necessary for access and for carrying out operations. The User undertakes to immediately notify the Service Operator of any suspected fact of unauthorized use of the User's account. The User's observance of the aforementioned recommendations will ensure maximum safekeeping of the information provided.

11. The general rights of Users in the field of Personal Data are described in the Personal Data Processing Policy of Doverka Fintekh LLC.

12. The Authorized Person of the Operator is the KYC Operator engaged on a contractual basis to carry out procedures of remote identification and verification of Users, and other KYC Operators.

Chapter 3. Purposes of Processing Personal Data

13. The Personal Data permitted to be processed under this Privacy Policy are provided by the User through registration in the Service.

14. The Service organizes the collection, use and processing of information transferred by the User when performing registration actions and using the functional capabilities of the Service, for the following purposes:

14.1. verification, authentication and identification of the User;

14.2. display of personal data in the User Profile;

14.3. enabling Users to use the functional capabilities of the Service, including the top-up of a Wallet, the receipt of international payment services, currency conversion between Wallets, payment initiation, the purchase of eSIMs, and participation in the referral programme;

14.4. communication with the User (contacting the User, including via notifications, requests and information regarding the use of the Service), including SMS notifications, push notifications, Telegram messages and email;

14.5. verification of the trustworthiness of Users (including the accuracy, relevance and/or compliance with legislation of any information provided by Users) — where a decision is taken on the necessity of such verification;

14.6. ensuring the technical operability of the Service;

14.7. posting (modifying) data in the User Profile; 14.8. protection of the User Profile from unauthorized access by third parties, including storage of the hash of the PIN code and the parameters of two-factor authentication;

14.9. conducting statistical, marketing and other research;

14.10. sending informational and advertising notifications;

14.11. for purposes arising from the requirements of legislation;

14.12. ensuring compliance with legislation and the Company's local acts;

14.13. ensuring the operation of the referral programme and the accrual of bonuses;

14.14. handling of User inquiries submitted to the support service.

15. The processing of Personal Data is proportionate to the declared purposes of processing and, at all stages of such processing, ensures a fair balance of the interests of all interested parties.

16. The processing of Personal Data is limited to the achievement of specific purposes previously declared by this Policy and other local acts of Doverka Fintekh LLC. The processing of Personal Data incompatible with the originally declared purposes of processing is not permitted.

17. If it becomes necessary to change the originally declared purposes of processing Personal Data, Doverka Fintekh LLC is obliged to obtain the consent of the Personal Data Subject for the processing of the Subject's Personal Data in accordance with the changed purposes, in the absence of other grounds for such processing provided for by Law No. 99-Z and other legislative acts.

Chapter 4. List of Processed Data

Users — categories, composition, purposes

Category of Personal Data Subjects: Users. Data provided upon registration and authorization (telephone number, email address (if any), Telegram account data (when registering via the Telegram Mini App or Telegram bot)) — for the purposes of creating the personal account (account, User Profile).

Passport data or data of another identity document — for the purposes of conducting basic verification of the User and complying with the requirements of the legislation of the Republic of Belarus.

"Image of the face (selfie)" — for the purpose of completing User verification (Level 2 and above).

Payee data (recipient of funds); the amount, currency and purpose of the payment service; operation history and saved payees — for the purpose of providing payment services (performance of the civil-law contract).

Data on payment services provided — for other purposes in accordance with clause 14 of this Policy.

Data on eSIMs purchased (ICCID, telephone number, parameters of the tariff plan) — for the purpose of performing the agency agreement for the provision of eSIM services.

Data on referral links (identifier of the inviting User, number of payment services received, amount of bonuses accrued) — for the purpose of ensuring the operation of the referral programme.

Other data provided by the User (country of residence, preferred currency, authorization code, PIN code hash, 2FA parameters) — for the purpose of providing services under the civil-law contract and ensuring the security of the account.

18. The processing of Personal Data is carried out with the consent of the Personal Data Subject, except in cases provided for by Law No. 99-Z and other legislative acts of the Republic of Belarus.

19. The Operator stores Users' Personal Data for 5 (five) years from the date of provision of the last service under the civil-law contract.

20. Where Personal Data are processed without the consent of the Personal Data Subject, the purposes of processing are established by Law No. 99-Z and other legislative acts of the Republic of Belarus.

21. The consent of the Personal Data Subject is a free, unambiguous, informed expression of the Subject's will, by which the Subject permits the processing of the Subject's Personal Data.

22. Unless otherwise established by legislation, the consent of the Personal Data Subject may be obtained in the following forms: in written form; in the form of an electronic document; in another electronic form, including by the Personal Data Subject placing the corresponding mark within the "DoverkaSend" Service, upon Authorization, or in any other form permitting the fact of receipt of consent of the Personal Data Subject to be established.

23. If the period of storage of Personal Data processed by the Company is not determined by the legislation of the Republic of Belarus, such period shall be established by the Company independently on the basis of the purposes of processing Personal Data in accordance with this Policy.

24. The period of storage of Personal Data processed by the Company is 5 (five) years from the moment of deletion of the personal account (account, User Profile) by a User of the "DoverkaSend" Service and/or from the moment of termination (expiration) of the User Agreement (public offer) with the Company, in accordance with the requirements of the legislation of the Republic of Belarus, including on AML/CFT, unless otherwise established by the legislation of the Republic of Belarus. In the absence of technical capability to delete Personal Data, the Company shall take measures to prevent further processing of Personal Data, including their blocking.

Chapter 5. Registration and Verification of the User

25. The "DoverkaSend" Service provides for three levels of verification:

25.1. initial level (Level 1) — assigned automatically upon registration, does not require the provision of personal data beyond the telephone number;

25.2. basic verification (Level 2) — involves remote verification of the identity document through a KYC service, including the "liveness" confirmation procedure (liveness check / comparison of an image of the User's face with the photograph in the document);

25.3. extended verification (Level 3) — additionally includes the provision, upon request of the Company, of one or more of the following documents: (a) a document confirming the residential address (utility bill, bank statement, or other document issued no earlier than 3 months prior to the date of provision); (b) a document confirming the source of origin of funds (income certificate, tax declaration, or other document confirming the lawfulness of the origin of funds). The specific list of requested documents is determined by the Operator on an individual basis, taking into account the requirements of applicable legislation and internal AML/CFT policies.

26. The User's completion of Level 2 or Level 3 verification is carried out solely on a voluntary basis. A refusal to complete verification does not prevent the use of the Service within the scope available at Level 1, but restricts or fully excludes the possibility of carrying out financial operations.

27. The verification procedure is initiated by the User independently through the functionality of the personal account of the "DoverkaSend" Service.

28. Interaction between the User and the KYC Service is carried out without participation of the Operator in the processes of input, transfer or temporary storage of raw personal data and document images.

29. In the course of completing verification, the User: 29.1. provides Personal Data (surname, given name, patronymic (if any), date of birth); 29.2. indicates the details of the identity document (series, number, date of issue, issuing authority, division code); 29.3. uploads an image or scanned copy of the identity document; 29.4. where basic verification (Level 2) or higher is completed — undergoes the "liveness" confirmation procedure (provides an image of the face for comparison with the photograph in the document).

30. The KYC Service performs: 30.1. verification of the authenticity of the submitted document; 30.2. verification for signs of counterfeiting, editing or distortion of the image; 30.3. matching of the data entered by the User; 30.4. (for Level 2 and above) comparison of an image of the User's face with the photograph in the document.

31. Upon completion of the verification, the KYC Service transfers to the Operator the verification result and the confirmed set of personal data, including: 31.1. surname, given name, patronymic (if any); 31.2. date of birth; 31.3. series and number of the identity document (or other document); 31.4. date of issue and the authority that issued the document; 31.5. division code.

32. The Operator does not receive and does not process: 32.1. original images of identity documents; 32.2. images of the User's face taken as part of the "liveness" confirmation procedure; 32.3. other information that is not included in the list of confirmed data specified in clause 31 of this Chapter; 32.4. data processed by authentication technologies on the User's device (Face ID, Touch ID or similar technologies) used by the User to sign in to the mobile application of the Service — such data are processed solely by the operating system of the User's device and are not transferred to the Operator.

Chapter 6. Obligations of the Parties

33. The User is obliged to: 33.1. provide information containing Personal Data and necessary for the use of the Service; 33.2. update and supplement the information provided about personal data if such information changes.

34. The Operator is obliged to:

34.1. explain to the personal data subject the subject's rights related to the processing of personal data;

34.2. obtain the consent of the personal data subject, except in cases provided for by Law No. 99-Z and other legislative acts;

34.3. use the information obtained solely for the purposes specified in clause 14 of this Privacy Policy;

34.4. ensure that confidential information is kept secret, not to disclose it without the User's prior written permission, and not to sell, exchange, publish or otherwise disclose the User's transferred personal data. The Company does not disclose Personal Data to third parties except as expressly provided in this Policy (including clause 8) and in the Personal Data Processing Policy of Doverka Fintekh LLC (Chapter 7, clauses 19– 21), as required by the legislation of the Republic of Belarus, or where disclosure is necessary for the performance of the agreement (provision of services) with the User, including the execution of payment transactions with payment partners and contractors;

34.5. ensure the protection of personal data in the course of their processing;

34.6. amend Personal Data that are incomplete, outdated or inaccurate, except in cases where a different procedure for amending Personal Data is established by legislative acts or where the purposes of processing personal data do not presuppose subsequent amendment of such data;

34.7. cease the processing of personal data and delete or block them (ensure the cessation of processing of personal data, and their deletion or blocking by the Authorized Person) in the absence of grounds for the processing of personal data provided for by Law No. 99- Z and other legislative acts;

34.8. notify the authorized body for the protection of the rights of personal data subjects of breaches of personal data protection systems without undue delay, but no later than three business days after the Operator becomes aware of such breaches, except in cases provided for by the authorized body for the protection of the rights of personal data subjects;

34.9. amend, block or delete inaccurate or unlawfully obtained personal data of a personal data subject upon request of the authorized body for the protection of the rights of personal data subjects, unless a different procedure for amending, blocking or deleting Personal Data is established by legislative acts;

34.10. perform other obligations provided for by Law No. 99-Z and other legislative acts.

Chapter 7. Organization of Personal Data Protection

35. Protection of Personal Data means a set of legal, organizational and technical measures aimed at: 35.1. ensuring the protection of information from unlawful access, destruction, modification, blocking, copying, provision, distribution, and other unlawful actions in respect of such information; 35.2. observance of the confidentiality of restricted- access information; 35.3. realization of the right of access to information. 36. To protect Personal Data, the Company takes the necessary measures provided for by law (including, without limitation):

36.1. restricts and regulates the staff and other persons whose functional duties require access to information containing Personal Data (including through the use of access passwords to electronic information resources);

36.2. ensures the conditions for the storage of documents containing Personal Data under restricted access;

36.3. organizes the procedure for the destruction of information containing Personal Data, where legislation does not establish requirements for the storage of such data;

36.4. monitors compliance with the requirements for the protection of Personal Data, including those established by this Policy (by conducting internal audits, establishing special monitoring tools, etc.);

36.5. investigates cases of unauthorized access to or disclosure of Personal Data, holding responsible employees accountable and taking other measures;

36.6. implements software and technical means of protecting information in electronic form, including encryption of personal data at rest (AES-256) and in transit (TLS 1.2+), masking of telephone numbers and other identifiers when displayed, and storage of PIN codes and passwords solely in hashed form;

36.7. ensures the ability to recover Personal Data modified or destroyed as a result of unauthorized access to them;

36.8. other measures provided for by the legislation of the Republic of Belarus.

37. The Company appoints a person responsible for carrying out internal control over the processing of Personal Data, and in the event that such person is not appointed, the person responsible for carrying out internal control over the processing of personal data shall be the head (director) of the Company.

38. The Company familiarizes employees and other persons directly performing the processing of Personal Data with the provisions of legislation on Personal Data, including the requirements for the protection of Personal Data, with this Policy, and provides training to such employees and other persons in the manner established by legislation.

39. The Company takes other measures aimed at ensuring the fulfilment by the Company of its obligations in the field of Personal Data, as provided for by the applicable legislation of the Republic of Belarus.

Chapter 8. Final Provisions

40. Employees of the Company and other persons responsible for violations of this Policy, as well as of the legislation of the Republic of Belarus in the field of Personal Data, may be held disciplinarily and financially liable in the manner established by the Labour Code, and may also be held civilly, administratively and criminally liable in the manner established by the legislation of the Republic of Belarus.

41. The regulation of the handling of Personal Data established by this Policy aims to ensure the rights and freedoms of Personal Data Subjects in the processing of Personal Data, the preservation of the confidentiality of Personal Data, and their protection.

42. This Policy serves as the basis for the development of local acts, including legal acts, regulating matters concerning the processing and protection by the Company of Personal Data of Personal Data Subjects when using the "DoverkaSend" Service.

43. All matters not reflected in this Policy or in the Company's other local acts shall be governed by the legislation of the Republic of Belarus.