ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ ΤΟΟ «ΓΕΡМЕС ГАРАНТ ГРУПП»

1.1. Настоящая Политика конфиденциальности (далее «Политика») определяет цели, порядок и условия сбора, хранения, использования, передачи и защиты персональных данных физических лиц (далее «Плательщики»), пользующихся услугами Товарищества с ограниченной ответственностью «Гермес Гарант Групп» (БИН 150640011175, учетная регистрация платежной организации № 02-18-039 от 04.07.2018 г., выданная Национальным Банком Республики Казахстан), далее именуемого «Платежная организация» или «ПО».

1.2. Политика разработана и применяется в строгом соответствии с:

• Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите»;
• Законом Республики Казахстан от 26 июля 2016 года № 11-VI «О платежах и платежных системах»;
• Законом Республики Казахстан от 4 мая 2010 года № 274-IV «О защите прав потребителей»;
• Гражданским кодексом Республики Казахстан;
• нормативными правовыми актами Национального Банка Республики Казахстан и уполномоченных государственных органов;
• международными стандартами и лучшей практикой в области защиты данных и информационной безопасности (в части, допускаемой законодательством РК).

1.3. Настоящая Политика обязательна для всех сотрудников Платежной организации, а также для ее партнеров, агентов и иных лиц, получивших доступ к персональным данным Плательщиков в рамках исполнения договоров и оказания услуг.

1.4. Политика распространяется на все процессы обработки персональных данных, осуществляемые Платежной организацией при оказании платежных услуг, включая, но не ограничиваясь:

• сбор персональных данных Плательщиков через сайт, мобильные приложения и иные сервисы ПО;
• обработку данных при проведении платежей, возвратов, отмен и претензионных процедур;
• передачу данных в банки-эквайеры, платежные системы, Бенефициарам и уполномоченным государственным органам;
• хранение и защиту данных с использованием организационных и технических мер информационной безопасности.

1.5. Платежная организация обеспечивает соблюдение принципов законности, справедливости и прозрачности обработки персональных данных, ограничивает обработку целями, указанными в настоящей Политике, и принимает все необходимые меры по защите прав и законных интересов субъектов персональных данных.

1.6. Плательщик, используя услуги Платежной организации и предоставляя свои персональные данные, подтверждает согласие с условиями настоящей Политики, а также с тем, что обработка его данных осуществляется на законных основаниях и в объеме, необходимом для исполнения договора о предоставлении платежных услуг.

2.1. В целях исполнения обязательств по оказанию платежных услуг, а также для обеспечения информационной и финансовой безопасности Плательщиков, Платежная организация осуществляет сбор и обработку следующих категорий персональных данных:

• 1) Идентификационные данные: фамилия, имя, отчество (при наличии), индивидуальный идентификационный номер (ИИН), дата рождения;
• 2) Контактные данные: номер телефона, адрес электронной почты, почтовый адрес (в случаях, когда это необходимо для направления уведомлений или документов);
• 3) Платежные реквизиты: данные о платежных инструментах Плательщика (банковские карты, электронные кошельки и иные средства платежа) в обезличенном, токенизированном или зашифрованном виде, исключающем возможность несанкционированного доступа;
• 4) Транзакционные данные: сведения о совершенных платежах, включая сумму, валюту, дату и время операции, получателя платежа (Бенефициара), назначение платежа, а также сопутствующую информацию, необходимую для проведения расчетов и возвратов;
• 5) Технические данные: ІР-адрес, сведения о браузере и устройстве, файлы cookie, данные о времени доступа, операционной системе и используемых сервисах, иные данные, собираемые автоматически при пользовании Сервисом для целей информационной безопасности, статистики и повышения качества обслуживания.

2.2. B отдельных случаях Платежная организация вправе запрашивать иные персональные данные, если их предоставление необходимо для:

• выполнения требований законодательства Республики Казахстан (например, в сфере ПОД/ФТ, валютного регулирования, налогового учета);
• идентификации личности Плательщика при проведении финансового мониторинга или при возникновении спорных ситуаций;
• обеспечения возврата или отмены платежа.

2.3. Персональные данные обрабатываются только в объеме, необходимом для достижения целей, указанных в настоящей Политике, и не подлежат избыточному сбору.

2.4. Платежная организация не собирает и не обрабатывает специальные категории персональных данных (сведения о расовой или национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и т.п.), за исключением случаев, прямо предусмотренных законодательством Республики Казахстан.

3.1. Платежная организация осуществляет обработку персональных данных исключительно для достижения законных, заранее определенных и конкретных целей, связанных с оказанием платежных услуг.

3.2. Персональные данные Плательщиков обрабатываются для следующих целей:

• заключение и исполнение договора о предоставлении платежных услуг между Плательщиком и Платежной организацией, включая прием, обработку и перечисление платежей в пользу Бенефициаров;
• выполнение требований законодательства Республики Казахстан, в том числе законодательства B сфере противодействия легализации (отмыванию) доходов И финансированию терроризма (ПОД/ФТ), валютного регулирования, налогового и бухгалтерского учета;
• обеспечение информационной и финансовой безопасности, включая идентификацию и аутентификацию Плательщиков, предотвращение мошенничества, выявление подозрительных транзакций, контроль и мониторинг операций;
• обработка обращений, заявлений и претензий Плательщиков, включая взаимодействие с банками-эмитентами, банками-эквайерами, платежными системами и Бенефициарами для разрешения спорных ситуаций;
• осуществление возвратов И отмен платежей в порядке, предусмотренном законодательством, правилами платежных систем и настоящей Политикой;
• ведение внутренней отчетности, статистики и аналитики, необходимых для исполнения обязательных требований регуляторов, а также для совершенствования деятельности Платежной организации;
• улучшение качества сервиса и пользовательского опыта, включая анализ поведения пользователей, настройку интерфейсов, использование файлов cookie и аналитических сервисов, при условии соблюдения требований законодательства Республики Казахстан;
• защита прав и законных интересов Плательщика, Платежной организации и третьих лиц в рамках судебных и досудебных споров, рассмотрения претензий и исков, взаимодействия с государственными органами и органами финансового мониторинга.

3.3. Платежная организация не использует персональные данные Плательщиков для целей прямого маркетинга, рассылки рекламных или информационных материалов без получения отдельного согласия субъекта персональных данных, если иное не допускается законодательством Республики Казахстан.

3.4. Обработка персональных данных не может осуществляться для целей, несовместимых с вышеуказанными, а также для целей, противоречащих законодательству Республики Казахстан.

4.1. Платежная организация осуществляет обработку персональных данных Плательщиков исключительно на законных основаниях. К таким основаниям относятся:

• акцепт публичной оферты, являющейся договором между Плательщиком и Платежной организацией, в соответствии со статьями 395-396 Гражданского кодекса Республики Казахстан;
• согласие субъекта персональных данных, выраженное в явной форме, в том числе через интерфейс Сервиса (посредством нажатия кнопок подтверждения, галочек, ОТР-кодов, 3-D Secure и иных способов аутентификации);
• обязанность Платежной организации по исполнению требований законодательства Республики Казахстан, включая, но не ограничиваясь: Законом «О персональных данных и их защите», Законом «О платежах и платежных системах», Законом «О противодействии легализации (отмыванию) доходов и финансированию терроризма», налоговым и валютным законодательством, а также нормативными правовыми актами Национального Банка Республики Казахстан;
• исполнение договоров с Бенефициарами в интересах Плательщика, если предоставление персональных данных является необходимым условием проведения платежа и подтверждения факта оплаты товара, работы или услуги.

4.2. Платежная организация также вправе обрабатывать отдельные категории персональных данных без получения согласия субъекта в случаях, прямо предусмотренных законодательством Республики Казахстан, включая, но не ограничиваясь:

• предоставление сведений по запросу уполномоченных государственных органов в рамках их компетенции;
• исполнение судебных актов и решений государственных органов;
• проведение обязательных процедур идентификации и финансового мониторинга;
• обеспечение информационной И финансовой безопасности, предотвращение мошенничества и неправомерных действий с платежными инструментами.

4.3. В случаях, когда обработка персональных данных осуществляется исключительно на основании согласия субъекта, Плательщик вправе в любой момент отозвать такое согласие, направив письменное или электронное уведомление по контактам Платежной организации. При этом отзыв согласия не влияет на законность обработки, осуществленной до момента отзыва.

4.4. Платежная организация гарантирует, что обработка персональных данных осуществляется в объеме, необходимом для достижения целей, установленных настоящей Политикой, и не может быть использована для целей, не имеющих правового основания.

5.1. Платежная организация обязуется не раскрывать и не передавать персональные данные третьим лицам без согласия субъекта персональных данных, за исключением случаев, прямо предусмотренных законодательством Республики Казахстан или настоящей Политикой.

5.2. Передача персональных данных допускается в следующих случаях:

• банкам-эквайерам и банкам-эмитентам для целей проведения платежных операций, возвратов и отмен;
• платежным системам для обеспечения обработки и клиринга транзакций;
• Бенефициарам в объеме, необходимом для подтверждения факта оплаты товара, работы или услуги Плательщиком;
• аффилированным и партнерским организациям Платежной организации, участвующим в оказании услуг (например, процессинговым центрам, дата-центрам, поставщикам технических решений), при условии соблюдения ими требований конфиденциальности и безопасности;
• государственным органам и иным уполномоченным субъектам в случаях и порядке, предусмотренных законодательством Республики Казахстан (включая суды, органы досудебного расследования, органы финансового мониторинга, налоговые и иные контролирующие органы).

5.3. Передача персональных данных осуществляется в объеме, минимально необходимом для достижения целей обработки, определенных настоящей Политикой.

5.4. Платежная организация вправе осуществлять трансграничную передачу персональных данных, если:

• государство, на территорию которого передаются данные, обеспечивает надлежащий уровень защиты прав субъектов персональных данных, подтвержденный уполномоченным органом Республики Казахстан;
• в договоре с получателем данных прямо предусмотрены условия конфиденциальности и меры по защите персональных данных;
• субъект персональных данных дал свое согласие на такую передачу;
• передача необходима для исполнения договора между Плательщиком и Платежной организацией либо для исполнения договора между Плательщиком и Бенефициаром в интересах Плательщика.

5.5. При трансграничной передаче данных Платежная организация принимает все разумные меры по обеспечению конфиденциальности и безопасности персональных данных, включая использование защищенных каналов передачи информации и криптографических методов защиты.

5.6. Платежная организация не осуществляет продажу, обмен или иное коммерческое использование персональных данных Плательщиков.

6.1. Персональные данные Плательщиков хранятся Платежной организацией в течение срока, необходимого для достижения целей их обработки, определенных настоящей Политикой, а также в течение периода, установленного законодательством Республики Казахстан.

6.2. Минимальный срок хранения персональных данных составляет:

• не менее 5 (пяти) лет для документов и данных, связанных с проведением платежей, возвратов, отмен, включая данные, необходимые для бухгалтерского и налогового учета, а также для целей финансового мониторинга (в соответствии с законодательством о ПОД/ФТ и налоговом законодательством Республики Казахстан);
• не менее 3 (трех) лет для переписки, претензий и иных обращений Плательщиков, связанных с оказанием услуг и урегулированием споров;
• иные сроки, прямо установленные законодательством Республики Казахстан (например, для отдельных категорий документов до 7 или 10 лет).

6.3. По истечении сроков хранения персональные данные подлежат уничтожению или обезличиванию, за исключением случаев, когда их дальнейшее хранение необходимо для:

• исполнения судебного акта или законного требования уполномоченного государственного органа;
• участия в судебных или досудебных спорах;
• защиты прав и законных интересов Плательщика, Платежной организации или третьих лиц.

6.4. Уничтожение персональных данных осуществляется с применением методов, исключающих возможность их восстановления и дальнейшего использования.

6.5. При использовании обезличивания данные могут храниться в статистических, аналитических и иных целях, не позволяющих прямо или косвенно идентифицировать Плательщика.

7.1. Плательщик как субъект персональных данных имеет все права, предусмотренные законодательством Республики Казахстан, включая Закон РК от 21 мая 2013 года № 94-V «Ο персональных данных и их защите».

7.2. Плательщик имеет право:

• получать сведения о факте, правовых основаниях, целях, источниках и способах сбора и обработки своих персональных данных;
• требовать разъяснений касательно обработки его персональных данных, а также получать копии документов, содержащих его персональные данные, за исключением случаев, когда это ограничено законодательством Республики Казахстан;
• требовать внесения изменений, дополнений или уточнений в свои персональные данные, если они являются неполными, устаревшими или недостоверными;
• требовать временного приостановления обработки персональных данных, если отсутствует законное основание для их обработки;
• требовать уничтожения или обезличивания персональных данных, если подтвержден факт их незаконного получения или отсутствует необходимость в дальнейшем хранении и обработке;
• отозвать ранее данное согласие на обработку персональных данных в порядке, предусмотренном настоящей Политикой и законодательством Республики Казахстан;
• обжаловать действия или бездействие Платежной организации, нарушающие его права при обработке персональных данных, в уполномоченный государственный орган в области защиты персональных данных или в суд;
• защищать свои права и законные интересы всеми иными способами, не запрещенными законодательством Республики Казахстан.

7.3. Для реализации своих прав Плательщик может направить обращение в Платежную организацию по реквизитам, указанным в разделе «Контактные данные». Обращение может быть направлено в письменной форме или в электронной форме с использованием адреса электронной почты, указанного в настоящей Политике.

7.4. Платежная организация обязуется рассматривать обращения Плательщиков в сроки, установленные законодательством Республики Казахстан, но не позднее 15 (пятнадцати) рабочих дней с момента их поступления, если иные сроки не установлены законодательством или обязательными требованиями уполномоченных органов.

7.5. Отзыв согласия на обработку персональных данных может повлечь невозможность дальнейшего оказания Платежной организацией услуг, требующих обязательного использования персональных данных (например, проведение платежей, возвратов И претензионных процедур).

8.1. Платежная организация принимает все необходимые правовые, организационные и технические меры для защиты персональных данных Плательщиков от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий.

8.2. Для обеспечения безопасности персональных данных применяются следующие организационные меры:

• разработка и утверждение внутренних правил и политики информационной безопасности, обязательных для всех сотрудников;
• назначение ответственного лица (или подразделения) за организацию защиты персональных данных;
• обучение сотрудников требованиям законодательства Республики Казахстан и внутренним документам по защите персональных данных;
• контроль соблюдения условий конфиденциальности при заключении договоров с сотрудниками, партнерами и агентами;
• ограничение и разграничение прав доступа сотрудников к персональным данным по принципу «минимально необходимого объема».

8.3. Технические меры защиты персональных данных включают:

• 1) применение антивирусных средств и межсетевых экранов;
• 2) использование сертифицированных средств защиты информации;
• 3) шифрование каналов передачи данных и токенизацию реквизитов платежных инструментов;
• 4) хранение данных в дата-центрах, соответствующих требованиям НБ РК, включая наличие систем контроля доступа, видеонаблюдения, охранной и пожарной сигнализации;
• 5) резервное копирование и восстановление данных;
• 6) ведение журналов учета инцидентов информационной безопасности и регулярный мониторинг работы Сервиса.

8.4. Платежная организация обеспечивает соблюдение принципа сохранности и конфиденциальности при обработке персональных данных, включая их обезличивание и блокирование в случаях, предусмотренных законодательством Республики Казахстан.

8.5. При передаче персональных данных третьим лицам (банкам-эквайерам, платежным системам, Бенефициарам) Платежная организация обеспечивает использование защищенных каналов связи и соблюдение требований по ограничению доступа к данным.

8.6. Платежная организация осуществляет регулярный внутренний аудит системы информационной безопасности и контроль эффективности мер по защите персональных данных, в том числе в рамках ежегодного обзора (обследования) состояния информационной безопасности.

8.7. Все сотрудники Платежной организации и лица, имеющие доступ к персональным данным, обязаны подписывать соглашение о конфиденциальности и несут ответственность за разглашение персональных данных в соответствии с законодательством Республики Казахстан.

9.1. Для обеспечения корректной работы Сервиса, повышения удобства пользования, персонализации интерфейса и улучшения качества предоставляемых услуг Платежная организация может использовать файлы cookie, а также иные технологии сбора технической информации.

9.2. Под файлами cookie понимаются небольшие текстовые файлы, сохраняемые в браузере или на устройстве Плательщика при посещении сайта или использовании Сервиса. Cookie позволяют распознавать устройство Плательщика, сохранять его настройки и предпочтения, а также собирать обезличенную статистику использования сайта.

9.3. В частности, cookie могут применяться для:

• аутентификации и идентификации Плательщика;
• обеспечения информационной безопасности и предотвращения мошеннических действий;
• сохранения пользовательских настроек и параметров интерфейса;
• анализа статистики посещений и использования Сервиса;
• интеграции с сервисами аналитики (например, Google Analytics и аналогичные системы).

9.4. Использование cookie и аналитических сервисов осуществляется исключительно в обезличенном виде и не направлено на установление личности Плательщика без его дополнительного согласия.

9.5. Плательщик вправе самостоятельно управлять использованием cookie, в том числе ограничивать или полностью отключать их в настройках своего браузера. При этом отключение cookie может привести к ограничению функционала сайта или снижению качества работы Сервиса.

9.6. При необходимости получения отдельного согласия на использование файлов cookie или аналитических сервисов (в случаях, прямо установленных законодательством Республики Казахстан) Платежная организация обеспечивает уведомление Плательщика и получение его согласия в явной форме при первом посещении сайта.

10.1. Настоящая Политика конфиденциальности размещена на официальном сайте Платежной организации https://hgg.kz и является общедоступным документом.

10.2. Платежная организация вправе вносить изменения и дополнения в настоящую Политику в одностороннем порядке. Новая редакция Политики вступает в силу с момента ее публикации на сайте, если иной срок не указан в самой редакции.

10.3. Продолжение использования Плательщиком Сервиса после публикации новой редакции Политики означает согласие Плательщика с внесенными изменениями.

10.4. К отношениям, связанным с обработкой персональных данных, применяется законодательство Республики Казахстан, включая:

• Закон Республики Казахстан от 21 мая 2013 года № 94-Ѵ «О персональных данных и их защите»;
• Закон Республики Казахстан от 26 июля 2016 года № 11-VI «О платежах и платежных системах»;
• иные нормативные правовые акты Республики Казахстан.

10.5. Вопросы, не урегулированные настоящей Политикой, подлежат разрешению в соответствии с законодательством Республики Казахстан.