Allosta Partners

ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

ВЕБ-САЙТА ALLOSTAPARTNERS.COM

PRIVACY POLICY

OF THE ALLOSTAPARTNERS.COM WEBSITE

Дата вступления в силу: «03» июля 2026 г.

Дата последнего обновления: «03» июля 2026 г.

Effective Date: July 03, 2026

Last Updated: July 03, 2026

Настоящая Политика конфиденциальности (далее — «Политика») опубликована и применяется Сегрегированной портфельной компанией Allosta Partners SPC Ltd., зарегистрированной в Международном корпоративном реестре Свободной зоны Рас-эль-Хайма (RAK ICC, ОАЭ) под регистрационным номером: ICC20231035, имеющей официальный адрес: T1 11F-10, RAKEZ Amenity Centre, RAKEZ Business Zones, Al Jazeera Al Hamra, P.O. Box 85649, United Arab Emirates (далее — «Компания» или «Оператор»).

This Privacy Policy (hereinafter referred to as the "Policy") is issued and operated by Allosta Partners SPC Ltd., a segregated portfolio company registered in the International Corporate Register of the Ras Al Khaimah International Corporate Centre (RAK ICC, UAE) under Registration Number: ICC20231035, having its legal address at: T1 11F-10, RAKEZ Amenity Centre, RAKEZ Business Zones, Al Jazeera Al Hamra, P.O. Box 85649, United Arab Emirates (hereinafter referred to as the "Company" or the "Data Controller").

РАЗДЕЛ 1. ПРЕАМБУЛА И РЕКВИЗИТЫ ОПЕРАТОРА

SECTION 1. PREAMBLE & DATA CONTROLLER DETAILS

1.1. Настоящая Политика конфиденциальности (далее — «Политика») является официальным юридическим документом, который определяет порядок, условия, цели и правовые основания обработки персональных данных Пользователей на веб-сайте allostapartners.com, включая встроенную скоринговую платформу, Инвесторский портал, компоненты искусственного интеллекта (Е-агент «Игорь», модуль видео-интервью AI-Аватар), а также связанные с ними мобильные и веб-приложения (совместно именуемые — «Платформа» или «Сайт»).

1.1. This Privacy Policy (hereinafter — the "Policy") is an official legal document that defines the procedures, conditions, purposes, and legal bases for processing the personal data of Users on the website allostapartners.com, including the integrated scoring platform, the Investor Portal, artificial intelligence components (E-agent "Igor", AI-Avatar video interview module), as well as associated mobile and web applications (collectively referred to as the "Platform" or the "Website").

1.2. Оператором персональных данных (Data Controller) в рамках настоящей Политики является Сегрегированная портфельная компания Allosta Partners SPC Ltd., зарегистрированная в Международном корпоративном реестре Свободной зоны Рас-эль-Хайма (RAK ICC, ОАЭ), Регистрационный номер: ICC20231035. Юридический и фактический адрес компании: T1 11F-10, RAKEZ Amenity Centre, RAKEZ Business Zones, Al Jazeera Al Hamra, P.O. Box 85649, United Arab Emirates (далее — «Компания» или «Оператор»).

1.2. The Data Controller under this Policy is Allosta Partners SPC Ltd., a segregated portfolio company registered in the International Corporate Register of the Ras Al Khaimah International Corporate Centre (RAK ICC, UAE), Registration Number: ICC20231035. The legal and business address of the company is: T1 11F-10, RAKEZ Amenity Centre, RAKEZ Business Zones, Al Jazeera Al Hamra, P.O. Box 85649, United Arab Emirates (hereinafter — the "Company" or the "Data Controller").

1.3. Настоящая Политика разработана в строгом соответствии с положениями Федерального декрета-закона ОАЭ № 45 от 2021 года «О защите персональных данных» (UAE PDPL). При этом материальным правом, регулирующим функционирование Платформы в целом, является материальное право Англии и Уэльса в соответствии с Лицензионным соглашением Компании.

1.3. This Policy is developed in strict compliance with the provisions of the UAE Federal Decree-Law No. 45 of 2021 on Personal Data Protection (UAE PDPL). Concurrently, the substantive law governing the operation of the Platform as a whole is the substantive law of England and Wales, pursuant to the Company's License Agreement.

1.4. Использование Платформы, регистрация на Инвесторском портале, запуск процедур ИИ-скоринга, а равно полный или частичный акцепт условий Лицензионного соглашения Компании означает безоговорочное согласие Пользователя (Субъекта данных) с условиями настоящей Политики и порядком обработки его персональных данных, закрепленным в ней. Если Пользователь не согласен с условиями Политики, он обязан немедленно прекратить любое использование Платформы.

1.4. The use of the Platform, registration on the Investor Portal, initiation of AI-scoring procedures, as well as full or partial acceptance of the terms of the Company's License Agreement, signifies the unconditional consent of the User (Data Subject) to the terms of this Policy and the data processing procedures established herein. If the User does not agree with the terms of this Policy, they must immediately cease all use of the Platform.

1.5. В целях контроля за соблюдением законодательства о персональных данных и обеспечения оперативного взаимодействия с Субъектами данных и надзорными органами ОАЭ, Компанией назначено Ответственное лицо за защиту данных (Data Protection Officer / DPO).

1.5. In order to monitor compliance with personal data protection laws and ensure efficient interaction with Data Subjects and the supervisory authorities of the UAE, the Company has appointed a Data Protection Officer (DPO).

1.6. Любые запросы, требования, уведомления или заявления, касающиеся реализации прав Субъектов данных, отзыва согласия на обработку данных или разъяснения положений настоящей Политики, должны направляться непосредственно DPO Компании по официальному адресу электронной почты: partners@allosta.com с пометкой в теме письма «Для Data Protection Officer».

1.6. Any requests, demands, notices, or applications regarding the exercise of Data Subjects' rights, withdrawal of consent for data processing, or clarification of the provisions of this Policy, must be directed directly to the Company's DPO at the official email address: partners@allosta.com with the subject line marked "Attn: Data Protection Officer".

РАЗДЕЛ 2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ДАННЫХ

SECTION 2. LAWFUL BASIS FOR PROCESSING

2.1. В соответствии со статьей 4 и статьей 5 Федерального декрета-закона ОАЭ № 45 от 2021 года «О защите персональных данных» (UAE PDPL), Оператор осуществляет обработку персональных данных Субъектов данных исключительно при наличии законных правовых оснований.

2.1. In accordance with Article 4 and Article 5 of the UAE Federal Decree-Law No. 45 of 2021 on Personal Data Protection (UAE PDPL), the Data Controller processes the personal data of Data Subjects strictly upon valid lawful bases.

2.2. Настоящим Оператор заявляет и фиксирует следующие правовые основания, позволяющие производить сбор, хранение, анализ и иные формы обработки персональных данных на Платформе:

2.2. The Data Controller hereby declares and establishes the following lawful bases that permit the collection, retention, analysis, and other forms of personal data processing on the Platform:

2.3. Заключение и исполнение договора (Contractual Necessity):

Обработка персональных данных является строго необходимой для заключения, исполнения или прекращения договорных обязательств между Пользователем и Компанией. Данное основание включает в себя акцепт публичной оферты Сайта, выполнение условий Лицензионного соглашения, а также подписание и реализацию Соглашения о подписке (Subscription Agreement) для доступа к закрытой скоринговой SaaS-платформе и Инвесторскому порталу.

2.3. Performance of a Contract (Contractual Necessity):

The processing of personal data is strictly necessary for the conclusion, performance, or termination of contractual obligations between the User and the Company. This basis encompasses the acceptance of the Website's public offer, compliance with the terms of the License Agreement, and the execution and implementation of the Subscription Agreement for accessing the closed-loop scoring SaaS platform and the Investor Portal.

2.4. Выполнение применимых законодательных обязательств (Compliance with Legal Obligations):

Оператор осуществляет обработку данных в целях соблюдения императивных требований законодательства ОАЭ и применимых международных регуляторных стандартов. Это включает в себя обязательное проведение процедур надлежащей проверки клиентов (KYC — Know Your Customer), выполнение нормативных требований по борьбе с отмыванием денег (AML) и противодействию финансированию терроризма (CFT), а также фиксацию и защиту Системного журнала аудита (Audit Trail).

2.4. Compliance with Applicable Legal Obligations:

The Data Controller processes data to comply with statutory mandates under UAE laws and applicable international regulatory standards. This includes the mandatory execution of Know Your Customer (KYC) due diligence procedures, adherence to Anti-Money Laundering (AML) and Countering the Financing of Terrorism (CFT) regulatory frameworks, as well as the recording and safeguarding of the System Audit Trail.

2.5. Прямое и информированное согласие Субъекта данных (Explicit Consent):

В случаях, предусмотренных законом, или при активации специфических ИИ-компонентов (включая инициацию Q1/Q2-анкетирования Е-агентом «Игорь» и запуск модуля видео-интервью AI-Аватар), обработка данных осуществляется на основании прямого, свободного, конкретного и однозначного согласия (Consent) Пользователя. Данное согласие предоставляется Пользователем в электронной форме в момент регистрации на Сайте путем проставления соответствующей отметки (чек-бокса).

2.5. Explicit and Informed Consent of the Data Subject (Explicit Consent):

In cases prescribed by law or upon the activation of specific AI components (including the initiation of Q1/Q2-questioning by E-agent "Igor" and the launch of the AI-Avatar video interview module), data processing is conducted based on the explicit, free, specific, and unambiguous consent of the User. This consent is provided by the User in electronic form at the moment of registration on the Website by ticking the respective check-box.

РАЗДЕЛ 3. КАТЕГОРИИ СОБИРАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

SECTION 3. CATEGORIES OF DATA COLLECTED

3.1. В соответствии с принципом минимизации данных, закрепленным в законодательстве ОАЭ (UAE PDPL), Оператор осуществляет сбор и обработку персональных данных Субъектов данных исключительно в объемах, необходимых для реализации заявленных целей Платформы.

3.1. In accordance with the data minimization principle established under the UAE PDPL, the Data Controller collects and processes the personal data of Data Subjects strictly to the extent necessary to achieve the stated purposes of the Platform.

3.2. Все обрабатываемые персональные данные строго разграничены по своему характеру и техническому источнику происхождения на следующие 4 (четыре) основные категории:

3.2. All processed personal data are strictly categorized by their nature and technical source of origin into the following 4 (four) primary categories:

3.3. Идентификационные (установочные) данные:

Данная категория включает персональные сведения, необходимые для базовой регистрации Пользователя и проведения процедур верификации личности (KYC). В состав данных входят:

  • Фамилия, имя, отчество (при наличии);
  • Данные заграничного паспорта и (или) удостоверения личности резидента ОАЭ (Emirates ID);
  • Адрес постоянной регистрации и (или) фактического проживания;
  • Сведения о гражданстве, дате и месте рождения.

3.3. Identification (Identity) Data:

This category includes personal information required for core User registration and the execution of identity verification (KYC) procedures. The data set comprises:

  • Full name (first name, patronymic, and surname, if applicable);
  • International passport details and/or UAE Resident Identity Card (Emirates ID) data;
  • Permanent registration and/or actual residential address;
  • Information on nationality, date, and place of birth.

3.4. Биометрические данные и специализированные ИИ-данные:

Данная категория включает в себя массивы данных высокой степени конфиденциальности, обрабатываемые проприетарными алгоритмами машинного обучения Компании. В состав данных входят:

  • Видео- и аудиозаписи интервью Пользователя, проходящего верификацию через интерактивный Модуль AI-Аватар (включая уникальные параметры голоса и динамические характеристики изображения лица);
  • Полные текстовые транскрипции устной речи, сформированные в процессе автоматического распознавания;
  • Логи обработки естественного языка (NLP-логи), формируемые в ходе Q1/Q2-анкетирования Е-агентом «Игорь».

3.4. Biometric Data and Specialized AI Data:

This category encompasses highly sensitive data arrays processed by the Company’s proprietary machine learning algorithms. The data set comprises:

  • Video and audio recordings of the User participating in interviews via the interactive AI-Avatar Module (including unique vocal parameters and dynamic facial imagery characteristics);
  • Full textual transcriptions of speech generated through automated speech-to-text recognition processes;
  • Natural Language Processing logs (NLP logs) accumulated during Q1/Q2-questioning by E-agent "Igor".

3.5. Финансовые данные и сведения о благосостоянии:

Данная категория собирается Оператором в целях комплаенса, оценки платежеспособности в рамках «специальных ситуаций» и подтверждения легальности капитала. В состав данных входят:

  • Официальные документы и декларации об источнике происхождения денежных средств и капитала (Source of Wealth / Source of Funds);
  • Заверенные банковские выписки, отчеты о движении денежных средств и состоянии счетов;
  • Документы, подтверждающие юридический статус квалифицированного (аккредитованного) инвестора.

3.5. Financial Data and Wealth Information:

This category is collected by the Data Controller for compliance purposes, creditworthiness assessment within "Special Situations," and validation of capital legality. The data set comprises:

  • Official documents and declarations regarding the Source of Wealth and Source of Funds;
  • Certified bank statements, cash flow statements, and account balance reports;
  • Documentation confirming the legal status of a qualified (accredited) investor.

3.6. Технические и системные данные отслеживания:

Данная категория генерируется автоматически ИТ-инфраструктурой Платформы в процессе ее использования. В состав данных входят:

  • Сетевой IP-адрес устройства Пользователя, технические параметры браузера и операционной системы;
  • Файлы cookie, пиксели и данные локального хранилища браузера (в соответствии с Cookie Policy);
  • Сведения о геолокации устройства Пользователя;
  • Системные записи и логи Системного журнала аудита (Audit Trail), фиксирующие хронологию, точное время и характер любых действий Пользователя внутри закрытого контура Платформы.

3.6. Technical and System Tracking Data:

This category is automatically generated by the Platform’s IT infrastructure during its operational use. The data set comprises:

  • The network IP address of the User's device, browser technical parameters, and operating system details;
  • Cookies, pixels, and browser local storage data (pursuant to the Cookie Policy);
  • User device geolocation details;
  • System entries and logs of the System Audit Trail, recording the chronology, exact timestamps, and nature of any actions performed by the User within the closed loop of the Platform.

РАЗДЕЛ 4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

SECTION 4. PURPOSES OF PROCESSING

4.1. Оператор осуществляет обработку персональных данных Субъектов данных в строгом соответствии с принципом целевого ограничения, закрепленным в законодательстве ОАЭ (UAE PDPL). Использование любых полученных данных ограничивается исключительно рамками достижения «Разрешенной цели», определенной настоящей Политикой.

4.1. The Data Controller processes the personal data of Data Subjects in strict compliance with the purpose limitation principle established under the UAE PDPL. The utilization of any acquired data is strictly confined to the scope of achieving the "Permitted Purpose" defined herein.

4.2. Под «Разрешенной целью» понимается совокупность следующих строго определенных технических, юридических и операционных задач, необходимых для функционирования Платформы:

4.2. The "Permitted Purpose" encompasses the aggregate of the following strictly defined technical, legal, and operational objectives required for the functioning of the Platform:

4.3. Автоматизация процессов комплексной проверки (Due Diligence):

Обработка идентификационных, финансовых и технических данных для автоматического и полуавтоматического анализа рисков, оценки структуры владения, выявления юридических обременений и проведения Due Diligence дистресс-активов (Special Situations) на глобальном рынке.

4.3. Automation of Due Diligence Processes:

The processing of identity, financial, and technical data for automated and semi-automated risk analysis, asset ownership structure evaluation, legal encumbrance identification, and conducting Due Diligence on distressed assets (Special Situations) in the global market.

4.4. Осуществление электронного скоринга (E-scoring):

Использование собранных анкетных данных, результатов Q1/Q2-анкетирования Е-агента «Игорь» и NLP-логов для построения прогнозных моделей, определения инвестиционного профиля, вычисления кредитных/инвестиционных рейтингов и формирования автоматизированных скоринговых отчетов в интересах участников закрытого контура Платформы.

4.4. Execution of Electronic Scoring (E-scoring):

The utilization of compiled questionnaire data, Q1/Q2-questioning results from E-agent "Igor", and NLP logs to construct predictive models, determine investment profiles, calculate credit/investment ratings, and generate automated scoring reports for the participants within the closed loop of the Platform.

4.5. Верификация инвесторов по правилам AML/KYC:

Проведение обязательной юридической верификации Субъектов данных, включая идентификацию личности через модуль видео-интервью AI-Аватар, подтверждение легальности источников происхождения капитала (Source of Wealth) и проверку по санкционным спискам в строгом соответствии с применимым законодательством ОАЭ в сфере борьбы с отмыванием денег (AML) и финансированием терроризма (CFT).

4.5. Investor Verification Under AML/KYC Frameworks:

The execution of mandatory legal verification of Data Subjects, including identity verification via the AI-Avatar video interview module, validation of the legality of the Source of Wealth, and cross-referencing against sanctions lists in strict compliance with applicable UAE Anti-Money Laundering (AML) and Countering the Financing of Terrorism (CFT) legislation.

4.6. Техническая поддержка и администрирование Платформы:

Обеспечение стабильного функционирования ИТ-инфраструктуры Сайта и Инвесторского портала, оперативное разрешение технических инцидентов, оптимизация производительности алгоритмов машинного обучения и организация каналов взаимодействия с Пользователями по вопросам использования сервисов Компании

4.6. Technical Support and Platform Administration:

Ensuring the stable functioning of the Website's IT infrastructure and the Investor Portal, prompt resolution of technical incidents, performance optimization of machine learning algorithms, and organizing communication channels with Users regarding the deployment of the Company’s services.

4.7. Обеспечение кибербезопасности и предотвращение кибератак:

Непрерывный мониторинг ИТ-периметра, логирование действий Пользователей в Системном журнале аудита (Audit Trail) для предотвращения фрода, выявление подозрительной активности, защита баз данных, а также предотвращение, обнаружение и блокирование кибератак (включая DDoS, инъекции кода и несанкционированный доступ).

4.7. Cybersecurity Maintenance and Cyberattack Prevention:

Continuous monitoring of the IT perimeter, recording User activities within the System Audit Trail for fraud prevention, identifying suspicious activity, securing databases, and preventing, detecting, and blocking cyberattacks (including DDoS, code injections, and unauthorized access).

РАЗДЕЛ 5. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ДАННЫХ

SECTION 5. CROSS-BORDER DATA TRANSFER

5.1. Международный характер деятельности Платформы и архитектура её ИТ-инфраструктуры подразумевают необходимость перемещения персональных данных за пределы Объединенных Арабских Эмиратов. Настоящий раздел определяет условия и правовые механизмы такой передачи.

5.1. The international nature of the Platform's operations and the architecture of its IT infrastructure necessitate the transfer of personal data outside the United Arab Emirates. This section defines the conditions and legal mechanisms of such transfer.

5.2. В соответствии со статьями 22 и 23 Федерального декрета-закона ОАЭ № 45 от 2021 года «О защите персональных данных» (UAE PDPL), Оператор осуществляет трансграничную передачу персональных данных Субъектов данных исключительно в юрисдикции, обеспечивающие надлежащий уровень защиты данных, либо при условии применения специальных правовых защитных механизмов.

5.2. In accordance with Articles 22 and 23 of the UAE Federal Decree-Law No. 45 of 2021 on Personal Data Protection (UAE PDPL), the Data Controller executes cross-border transfers of Data Subjects' personal data strictly to jurisdictions that ensure an adequate level of data protection, or subject to the implementation of specific legal safeguards.

5.3. Настоящим Субъект данных уведомлен и соглашается с тем, что его персональные данные первоначально собираются на территории ОАЭ, но затем передаются для последующей обработки, систематизации и хранения в защищенные международные дата-центры, расположенные вне ОАЭ (включая, но не ограничиваясь: страны Европейского Союза и европейские юрисдикции). Данные дата-центры обладают сертифицированными системами информационной безопасности и соответствуют строгим международным стандартам.

5.3. The Data Subject is hereby notified and agrees that their personal data are initially collected within the UAE, but subsequently transferred for further processing, structuring, and retention to secure international data centers located outside the UAE (including, but not limited to, European Union countries and European jurisdictions). These data centers maintain certified information security systems and comply with rigorous international standards.

5.4. В целях обеспечения непрерывной технической поддержки, проведения e-scoring анализа «специальных ситуаций» и комплаенс-проверок AML/KYC, персональные данные могут обрабатываться распределенной международной командой специалистов и ИТ-инженеров Оператора, находящихся в различных юрисдикциях за пределами ОАЭ. При этом доступ к данным предоставляется на строго конфиденциальной основе по принципу «необходимого знания» (need-to-know basis).

5.4. For the purposes of maintaining continuous technical support, executing e-scoring analysis of "Special Situations," and performing AML/KYC compliance checks, personal data may be processed by the Data Controller’s distributed international team of specialists and IT engineers located in various jurisdictions outside the UAE. Access to data is granted under strict confidentiality on a need-to-know basis.

5.5. В случаях, когда трансграничная передача осуществляется в юрисдикции, не имеющие официального признания надлежащего уровня защиты со стороны регулирующих органов ОАЭ, Оператор использует Стандартные договорные условия (Standard Contractual Clauses — SCC), интегрированные в соглашения с контрагентами, хостинг-провайдерами и международными подразделениями Компании. Данные условия налагают на получателей данных жесткие обязательства по обеспечению конфиденциальности, аналогичные требованиям UAE PDPL.

5.5. In events where cross-border transfers are executed to jurisdictions lacking official adequacy recognition from the UAE regulatory authorities, the Data Controller utilizes Standard Contractual Clauses (SCCs) integrated into agreements with contractors, hosting providers, and international units of the Company. These clauses impose stringent confidentiality obligations upon data recipients, mirroring the requirements of the UAE PDPL.

РАЗДЕЛ 6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

SECTION 6. DATA SUBJECT RIGHTS

6.1. В соответствии с Федеральным декретом-законом ОАЭ № 45 от 2021 года «О защите персональных данных» (UAE PDPL), каждому Пользователю (Субъекту данных) гарантируется ряд неотъемлемых прав в отношении его персональных данных, обрабатываемых Оператором.

6.1. Pursuant to the UAE Federal Decree-Law No. 45 of 2021 on Personal Data Protection (UAE PDPL), every User (Data Subject) is guaranteed a set of statutory and unalienable rights regarding their personal data processed by the Data Controller.

6.2. Право на доступ к информации (Right to Access):

Субъект данных имеет право запрашивать у Оператора подтверждение факта обработки его данных, а также получать детальную информацию о категориях обрабатываемых данных, целях их обработки, получателях или категориях получателей, которым данные были или будут раскрыты, и о географическом месте их хранения.

6.2. Right to Access:

The Data Subject has the right to request confirmation from the Data Controller as to whether their personal data are being processed, and to obtain detailed information regarding the categories of data processed, the purposes of processing, the recipients or categories of recipients to whom the data have been or will be disclosed, and the geographical location of data storage.

6.3. Право на исправление или уточнение данных (Right to Rectification):

Субъект данных имеет право требовать от Оператора незамедлительного исправления, обновления или уточнения любых своих персональных данных, если они являются неточными, устаревшими, неполными или недостоверными, в том числе данных, собранных в ходе анкетирования или скоринга.

6.3. Right to Rectification:

The Data Subject has the right to obtain from the Data Controller without undue delay the rectification, update, or clarification of any inaccurate, outdated, incomplete, or misleading personal data concerning them, including data compiled during questioning or scoring processes.

6.4. Право на удаление данных / «Быть забытым» (Right to Erasure / Right to be Forgotten):

Субъект данных имеет право требовать удаления своих персональных данных из ИТ-систем Оператора в случаях, если данные больше не требуются для «Разрешенной цели», если Субъект отозвал свое согласие, либо если обработка не имеет законных оснований.

Настоящее право ограничено обязательствами Оператора по хранению данных в силу применимого законодательства AML/CFT и необходимости ведения Системного журнала аудита (Audit Trail).

6.4. Right to Erasure / Right to be Forgotten:

The Data Subject has the right to demand the erasure of their personal data from the Data Controller’s IT systems if the data are no longer necessary for the "Permitted Purpose," if the Subject withdraws their consent, or if the processing lacks a lawful basis.

This right is limited by the Data Controller’s statutory data retention obligations under applicable AML/CFT legislation and the mandatory maintenance of the System Audit Trail.

6.5. Право на ограничение обработки (Right to Restrict Processing):

Субъект данных имеет право требовать от Оператора временного или постоянного приостановления обработки данных (за исключением их хранения) в случае оспаривания их точности, выявления неправомерной обработки, а также в период рассмотрения Оператором возражений Субъекта данных.

6.5. Right to Restrict Processing:

The Data Subject has the right to request the Data Controller to temporarily or permanently restrict the processing of data (except for retention) if the accuracy of the data is contested, the processing is unlawful, or during the period when the Data Controller is verifying the Data Subject's objections.

6.6. Порядок и регламент направления запросов:

Для реализации любого из вышеуказанных прав Субъект данных должен направить официальное письменное заявление Лицу, ответственному за защиту данных (DPO) Компании, по адресу электронной почты: partners@allosta.com.

Запрос должен содержать: идентификационные данные заявителя (ФИО, ИИН/Паспорт), описание существа требования и сведения, подтверждающие участие в программах Платформы. Оператор обязуется рассмотреть запрос и предоставить мотивированный ответ или подтверждение исполнения в сроки, установленные применимым законодательством ОАЭ.

6.6. Procedure for Submitting Requests:

To exercise any of the aforementioned rights, the Data Subject must submit an official written request to the Company's Data Protection Officer (DPO) at the email address: partners@allosta.com.

The request must include: the applicant’s identification details (Full Name, ID/Passport data), a description of the core requirement, and information confirming interaction with the Platform. The Data Controller undertakes to review the request and provide a reasoned response or confirmation of execution within the timeframes prescribed by the applicable UAE laws.

РАЗДЕЛ 7. СРОКИ ХРАНЕНИЯ ДАННЫХ

SECTION 7. DATA RETENTION POLICY

7.1. Оператор осуществляет хранение персональных данных Субъектов данных в течение периода, необходимого для реализации «Разрешенной цели» обработки, указанной в настоящей Политике, если более длительный срок хранения не предусмотрен или не требуется в соответствии с применимым законодательством.

7.1. The Data Controller retains the personal data of Data Subjects for the duration necessary to achieve the "Permitted Purpose" of processing outlined in this Policy, unless a longer retention period is required or permitted by applicable law.

7.2. По общему правилу, персональные данные Пользователя собираются, обрабатываются и хранятся в активных информационных системах Платформы в течение всего срока действия учетной записи (аккаунта) Пользователя на Сайте или Инвесторском портале.

7.2. As a general rule, the User's personal data are collected, processed, and stored within the active IT systems of the Platform for the entire duration of the User's account validity on the Website or the Investor Portal.

7.3. ИМПЕРАТИВНОЕ ТРЕБОВАНИЕ ЗАКОНОДАТЕЛЬСТВА (AML/CFT):

Настоящим устанавливается, что в целях строгого соблюдения императивных норм законодательства ОАЭ о противодействии отмыванию денег и финансированию терроризма (AML/CFT), а также международных стандартов Группы разработки финансовых мер борьбы с отмыванием денег (FATF), определенные категории данных подлежат обязательному архивному хранению.

7.3. STATUTORY MANDATORY REQUIREMENT (AML/CFT):

It is hereby established that for the purpose of strict compliance with the mandatory provisions of the UAE legislation on Anti-Money Laundering and Countering the Financing of Terrorism (AML/CFT), as well as international Financial Action Task Force (FATF) standards, certain categories of data are subject to mandatory archival retention.

7.4. Все финансовые данные, идентификационные документы KYC (включая паспортные данные, Emirates ID, документы об источнике происхождения средств), а также полные записи Системного журнала аудита (Audit Trail) действий Пользователя сохраняются в изолированном защищенном архиве Компании в течение минимум 5 (пяти) лет с момента закрытия учетной записи Пользователя или официального расторжения договорных отношений.

7.4. All financial data, KYC identification documents (including passport details, Emirates ID, Source of Wealth documentation), and comprehensive logs of the System Audit Trail of the User's activities shall be retained within an isolated secure archive of the Company for a minimum period of 5 (five) years from the date of the User's account closure or official termination of the contractual relationship.

7.5. По истечении установленных сроков хранения, включая обязательный пятилетний период архивного удержания, персональные данные Субъекта подлежат безвозвратному уничтожению (стиранию) из всех информационных систем и материальных носителей Оператора, либо полной и необратимой анонимизации, исключающей возможность идентификации личности.

7.5. Upon the expiration of the established retention periods, including the mandatory five-year archival retention period, the Subject's personal data shall be irreversibly destroyed (erased) from all IT systems and physical media of the Data Controller, or subjected to complete and irreversible anonymization, rendering personal identification impossible.

РАЗДЕЛ 8. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ДАННЫХ

SECTION 8. DATA SECURITY

8.1. Оператор принимает комплексные технические, организационные и правовые меры для обеспечения конфиденциальности, целостности и доступности персональных данных Субъектов данных, а также для их защиты от несанкционированного или случайного доступа, уничтожения, изменения, блокирования или иных неправомерных действий.

8.1. The Data Controller implements comprehensive technical, organizational, and legal measures to ensure the confidentiality, integrity, and availability of Data Subjects' personal data, and to safeguard it against unauthorized or accidental access, destruction, modification, blocking, or other unlawful activities.

8.2. Инженерно-технические меры защиты (Technical Security Measures):

Для защиты ИТ-периметра Платформы и данных, находящихся в процессе передачи или хранения, Оператор разворачивает следующие защитные механизмы:

  • Сквозное шифрование (SSL/TLS): все сетевые потоки и сессии обмена данными между браузером Пользователя, интерфейсом Сайта, Инвесторским порталом и ИИ-компонентами защищаются строгими протоколами криптографического шифрования как в процессе передачи (Data-in-Transit), так и при хранении на серверах (Data-at-Rest);
  • Хеширование учетных данных: пароли, аутентификационные токены и критические идентификаторы Пользователей подвергаются одностороннему криптографическому хешированию с использованием современных устойчивых алгоритмов, что исключает их компрометацию в открытом виде.

8.2. Technical Security Measures:

To secure the Platform's IT perimeter and data during transmission or storage, the Data Controller deploys the following protective mechanisms:

  • End-to-End Encryption (SSL/TLS): all network traffic and data exchange sessions between the User's browser, the Website interface, the Investor Portal, and AI components are protected by strict cryptographic encryption protocols both in transit (Data-in-Transit) and at rest on servers (Data-at-Rest);
  • Credential Hashing: User passwords, authentication tokens, and critical identifiers undergo one-way cryptographic hashing using modern, resilient algorithms, preventing their exposure in plaintext.

8.3. Целостность данных и Системный журнал аудита (Audit Trail):

ИТ-архитектура Платформы предусматривает обязательное и непрерывное логирование всех значимых системных событий и действий Пользователей. Системный журнал аудита (Audit Trail) функционирует на принципах неизменяемости (immutability) внесенных записей. В случае возникновения инцидентов информационной безопасности или попыток несанкционированного изменения данных, Audit Trail используется в качестве ключевого инструмента для мгновенной фиксации, локализации, расследования утечек и восстановления исходного состояния баз данных.

8.3. Data Integrity & System Audit Trail:

The Platform's IT architecture enforces mandatory and continuous logging of all significant system events and User actions. The System Audit Trail operates on the principles of cryptographic immutability of recorded entries. In the event of an information security incident or unauthorized data modification attempts, the Audit Trail serves as a primary tool for instant detection, localization, breach investigation, and database state recovery.

8.4. Организационные меры и Контроль доступа (Access Control):

Внутри Компании действует строгая политика разграничения прав доступа к персональным данным и ИИ-контурам (Access Control Policy):

  • Доступ к персональным, финансовым и биометрическим данным Субъектов предоставляется исключительно ограниченному кругу штатных сотрудников и инженеров Компании на основании принципа «минимальных привилегий» (least privilege) и концепции «необходимого знания» (need-to-know);
  • Все сотрудники, имеющие санкционированный доступ к данным, проходят обязательную проверку, подписывают юридически обязывающие соглашения о неразглашении конфиденциальной информации (NDA) и несут персональную дисциплинарную, гражданско-правовую и уголовную ответственность за нарушение правил кибербезопасности.

8.4. Organizational Measures & Access Control:

The Company enforces a strict policy for segregating access rights to personal data and AI environments (Access Control Policy):

  • Access to personal, financial, and biometric data of Subjects is granted strictly to a limited circle of the Company’s internal personnel and engineers, based on the principle of least privilege and the need-to-know concept;
  • All employees with authorized data access undergo vetting, execute legally binding Non-Disclosure Agreements (NDAs), and bear personal disciplinary, civil, and criminal liability for any breach of cybersecurity regulations.