Введен в действие приказом Генерального директора ТОО «TENGRI-CRYPTO» № 2 от 12.03.2026
Политика в отношении сбора, обработки и защиты персональных данных на сайте, в мобильном приложении ТОО «TENGRI-CRYPTO»
1. Общие положения
1.1 Настоящая Политика оператора в отношении сбора, обработки и защиты персональных данных на сайте и в мобильном приложении ТОО «TENGRI-CRYPTO» (далее Политика) регулирует порядок обработки и использования персональных данных, которые обрабатываются сайтом и мобильным приложением ТОО «TENGRI-CRYPTO» (дальше — Оператор).
1.2 Настоящая Политика разработана в соответствии с законодательством Республики Казахстан (далее - РК), и внутренними нормативными документами Оператора.
1.3 Настоящая Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных
1.4 Настоящая Политика устанавливает:
1.4.1 цели обработки персональных данных;
1.4.2 классификацию персональных данных и Субъектов персональных данных;
1.4.3 общие принципы обработки персональных данных;
1.4.4 основные подходы к системе управления процессом обработки персональных данных
1.5 Положения настоящей Политики являются обязательными для исполнения всеми Работниками Оператора, имеющими доступ к персональным данным.
1.6 Действующая редакция настоящей Политики конфиденциальности, постоянно доступна для ознакомления, и размещена в сети Интернет по адресу: https://tengrix.kz/docs
2. Термины и сокращения
Биометрические данные - персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность;
Персональные данные (далее ПДн) - сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
Блокирование персональных данных - действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
Цифровые активы — цифровые представления ценности, которые могут быть предметом купли-продажи и передачи, не являющиеся электронными деньгами или платежными инструментами, определенные Законом Республики Казахстан «О цифровых активах в Республике Казахстан».
Накопление персональных данных - действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;
Сбор персональных данных - действия, направленные на получение персональных данных;
Уничтожение персональных данных - действия, в результате совершения которых невозможно восстановить персональные данные;
Обезличивание персональных данных - действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;
База, содержащая персональные данные (далее - база), - совокупность упорядоченных персональных данных;
Собственник базы, содержащей персональные данные (далее - собственник), - государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
Оператор базы, содержащей персональные данные (далее - оператор), - государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
Защита персональных данных - комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных настоящим Законом;
Обработка персональных данных - действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
Использование персональных данных - действия с персональными данными,
направленные на реализацию целей деятельности собственника, оператора и третьего лица;
направленные на реализацию целей деятельности собственника, оператора и третьего лица;
Хранение персональных данных - действия по обеспечению целостности, конфиденциальности и доступности персональных данных;
Распространение персональных данных - действия, в результате совершения которых происходит передача персональных данных, в том числе посредством масс-медиа, или предоставление доступа к персональным данным каким-либо иным способом;
Нарушение безопасности персональных данных - нарушение защиты персональных данных, повлекшее незаконное распространение, изменение и уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к ним;
Субъект персональных данных (далее - субъект) - физическое лицо, к которому относятся персональные данные;
Третье лицо - лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных.
Товарищество — Товарищество с ограниченной ответственностью «TENGRI-CRYPTO»
Фиатные деньги — национальная валюта Республики Казахстан, являющаяся законным средством платежа в соответствующей юрисдикции.
Цифровые активы — цифровые представления ценности, которые могут быть предметом купли-продажи и передачи, не являющиеся электронными деньгами или платежными инструментами, определенные Законом Республики Казахстан «О цифровых активах в Республике Казахстан».
3. Цели обработки персональных данных
3.1 Оператор осуществляет обработку ПДн в следующих целях:
3.1.1 осуществление операций по обмену цифровых активов и фиатных денег;
3.1.2 заключения с субъектом любых договоров и их дальнейшего исполнения;
3.1.3 предоставления субъекту информации об оказываемых Оператором услугах, о разработке Оператором новых продуктов и услуг; информирования субъекта о
предложениях по продуктам и услугам Оператора;
предложениях по продуктам и услугам Оператора;
3.1.4 выявления случаев мошенничества, хищения денег со счета, иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализации последствий таких действий;
3.1.5 формирования статистической отчетности, в том числе для предоставления третьим лицам.
4. Перечень персональных данных и субъектов персональных данных
4.1 К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту), обрабатываемая Оператором для достижения заранее определенных целей.
4.2 Оператор не осуществляет обработку персональных данных, касающихся расовой принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, если иное не установлено законодательством РК.
4.3 Оператор вправе осуществлять обработку биометрических персональных данных с целью идентификации клиентов при оказании услуг с помощью мобильного приложения, реализующего функции криптообменника. Идентификация с помощью биометрии производится с помощью привлеченных провайдеров, имеющих право оказывать такого рода услуги на территории РК.
4.4 Субъектом персональных данных на сайте и в мобильном приложении являются клиенты Товарищества.
4.5 На сайте обрабатываются следующие персональные данные:
- email;
- ФИО.
4.6 В мобильном приложении обрабатываются
- номер телефона;
- ИИН;
- фото- и видеоизображение;
- ФИО;
- дата рождения;
- место рождения;
- национальность;
- данные удостоверения личности;
- публичная часть адреса криптокошелька.
4.7 Осуществление платежей с помощью электронных средств платежа, в том числе банковских карт, занимается ТОО «Платежный сервис провайдер» в соответствии с заключенным договором между Товариществом и ТОО «Платежный сервис провайдер».
4.8 Срок обработки ПДн — до достижения целей обработки ПДн.
4.8.1 Оператор вправе обрабатывать ПДн, касающихся проведенных финансовых операций субъектов, после достижения цели обработки ПДн или отзыва согласия, т. к. имеет обязательства перед государственными органами по предоставлению данным по платежам за прошедшие определенные периоды с момента запроса соответствующего государственного органа.
5. Общие принципы обработки персональных данных
5.1 Оператор осуществляет обработку ПДн на основе общих принципов:
- соблюдения конституционных прав и свобод человека и гражданина;
- обрабатываться законно, беспристрастно и прозрачным образом в отношении субъекта («законность, беспристрастность и прозрачность»);
- равенства прав субъектов, собственников и операторов;
- обеспечения безопасности личности, общества и государства;
- соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн («целевое ограничение»);
- соответствия объема, характера и способов обработки ПДн целям обработки ПДн;
- достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн («минимизация данных»);
- недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки («ограничение по хранению»);
- уничтожения или обезличивания ПДн по достижении целей их обработки, если срок хранения ПДн не установлен законодательством РК, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект;
- обеспечения конфиденциальности и безопасности обрабатываемых ПДн.
- обработки способом, гарантирующим соответствующую безопасность ПДн, включая защиту от несанкционированной или незаконной обработки и от случайной потери, разрушения или уничтожения данных, с использованием соответствующих технических и организационных мер («целостность и конфиденциальность»);
- точность и актуальность ПДн;
- принятие обоснованных меры для того, чтобы гарантировать своевременное удаление или исправление неточных данных с учетом целей, для которых они обрабатываются («точность»).
5.2 Права субъекта в рамках обработки ПДн:
- знать о наличии у Оператора, а также третьего лица своих ПДн, а также получать информацию, содержащую:
- подтверждение факта, цели, источников, способов сбора и обработки ПДн;
- перечень ПДн;
- сроки обработки ПДн, в том числе сроки их хранения;
- перечень ПДн;
- сроки обработки ПДн, в том числе сроки их хранения;
- требовать от Оператора изменения и дополнения своих ПДн при наличии оснований, подтвержденных соответствующими документами;
- требовать от Оператора, а также третьего лица блокирования своих ПДн в случае наличия информации о нарушении условий сбора, обработки ПДн;
- требовать от Оператора, а также третьего лица уничтожения своих ПДн, сбор и обработка которых произведены с нарушением законодательства РК, а также в иных случаях, установленных законодательством РК;
- отозвать согласие на сбор, обработку ПДн, кроме случаев, когда это противоречит законодательству РК или при наличии неисполненного обязательства;
- дать согласие (отказать) Оператору на распространение своих ПДн в общедоступных источниках ПДн;
- на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
- на осуществление иных прав, предусмотренных законодательством РК.
5.3 Права Оператора в рамках обработки ПДн:
- обрабатывать ПДн субъекта в соответствии с заявленной целью;
- требовать от субъекта предоставления достоверных ПДн, необходимых для исполнения договора, оказания услуги, идентификации субъекта, а также в иных случаях, предусмотренных Законодательством РК;
- ограничить доступ субъекта к его ПДн в случае, если обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ субъекта к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством РК;
- обрабатывать общедоступные ПДн физических лиц;
- осуществлять обработку ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РК;
- поручить обработку ПДн другому лицу с согласия субъекта;
- совершать иные действия, не противоречащие законодательству РК.
5.4 Оператор обязан:
- утверждать перечень ПДн, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами РК;
- утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты ПДн;
- принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты ПДн в соответствии с законодательством РК;
- соблюдать законодательство РК о ПДн и их защите;
- предоставлять по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований настоящего Закона;
- принимать меры по уничтожению ПДн в случае достижения цели их сбора и обработки, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами РК;
- представлять доказательство о получении согласия субъекта на сбор и обработку его ПДн в случаях, предусмотренных законодательством РК;
- по обращению субъекта сообщать информацию, относящуюся к нему, в сроки, предусмотренные законодательством РК;
- в случае отказа в предоставлении информации субъекту или его законному представителю представить мотивированный ответ в сроки, предусмотренные законодательством РК;
- в течение одного рабочего дня:
- изменить и (или) дополнить ПДн на основании соответствующих документов, подтверждающих их достоверность, или уничтожить ПДн при невозможности их изменения и (или) дополнения;
- блокировать ПДн, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
- уничтожить ПДн в случае подтверждения факта их сбора, обработки с нарушением законодательства РК, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами РК;
- снять блокирование ПДн в случае неподтверждения факта нарушения условий сбора, обработки персональных данных;
- c момента обнаружения нарушения безопасности ПДн уведомить
уполномоченный орган о таком нарушении с указанием контактных данных лица, ответственного за организацию обработки ПДн (при наличии);
- блокировать ПДн, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
- уничтожить ПДн в случае подтверждения факта их сбора, обработки с нарушением законодательства РК, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами РК;
- снять блокирование ПДн в случае неподтверждения факта нарушения условий сбора, обработки персональных данных;
- c момента обнаружения нарушения безопасности ПДн уведомить
уполномоченный орган о таком нарушении с указанием контактных данных лица, ответственного за организацию обработки ПДн (при наличии);
- предоставлять безвозмездно субъекту или его законному представителю возможность ознакомления с ПДн, относящимися к данному субъекту;
- назначить лицо, ответственное за организацию обработки ПДн.
6. Организация системы управления процессом обработки персональных данных
6.1 Обработка ПДн субъекта осуществляется с его согласия на сбор и обработку ПДн или в иных случаях, предусмотренных законодательством РК
6.2 Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта, если иное не предусмотрено законодательством РК. Такая обработка ПДн осуществляется только на основании договора, заключенного между Оператором и третьим лицом, в котором должны быть определены:
- перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
- цели обработки персональных данных;
- обязанности третьего лица соблюдать конфиденциальность ПДн и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.
6.3 Оператор осуществляет передачу персональных данных государственным
органам в рамках их полномочий в соответствии с законодательством РК.
органам в рамках их полномочий в соответствии с законодательством РК.
6.4 Оператор несет ответственность перед субъектом за действия лиц, которым Оператор поручает обработку ПДн субъекта.
6.5 Доступ к обрабатываемым ПДн предоставляется только тем Работникам Оператора, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов минимальной достаточности.
6.6 Обработка ПДн прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законодательством РК. Обработка ПДн осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять ПДн без согласия субъекта, если иное не предусмотрено законодательством РК.
6.7 Оператор обеспечивает конфиденциальность ПДн субъекта со своей стороны, со стороны своих Работников, имеющих доступ к ПДн физических лиц, а также обеспечивает использование ПДн вышеуказанными лицами исключительно в целях, соответствующих законодательству, договору или иному соглашению, заключенному с субъектом.
6.8 Обеспечение безопасности обрабатываемых ПДн осуществляется Оператором в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, составляющей коммерческую тайну и иную, охраняемую законом тайну, с учетом требований законодательства РК о ПДн, принятых в соответствии с ним нормативных правовых актов. Система информационной безопасности Оператора непрерывно развивается и совершенствуется на базе требований международных и национальных стандартов информационной безопасности, а также лучших мировых практик.
7. Ответственность
7.1 Все работники Оператора несут персональную ответственность за неисполнение, либо ненадлежащее исполнение положений настоящей Политики в соответствии с внутренними нормативными документами Оператора.
8. Заключительные положения
8.1 Требования настоящей Политики распространяются на всех работников Оператора (штатных, временных, работающих по контракту и т.п.), в том числе в отношениях с третьими лицами (подрядчики, аудиторы и т.п.), охватываемых областью действия системы управления информационной безопасностью, которые задействованы в процессах обработки информации Оператора.
8.2 Все работники Оператора несут гражданско-правовую, административную и иную ответственность, предусмотренную законодательством РК за несоблюдение принципов и условий обработки ПДн физических лиц, а также за разглашение или незаконное использование ПДн в соответствии с законодательством РК.
8.3 Изменения и дополнения вносятся в настоящую Политику по мере необходимости, а также в соответствии с требованиями законодательства РК и внутренних нормативных документов Оператора.
8.4 Контроль за соблюдением настоящей Политики возлагается на генерального директора Оператора.
Юр. адрес: 050040, Республика Казахстан,
г. Алматы, Бостандыкский район,
ул. Пирогова, дом 31
БИН: 250740009564
TOO «TENGRI-CRYPTO»
