Политика в отношении обработки персональных данных (вместе с Политикой в отношении файлов cookie)

1.1. Политика в отношении обработки персональных данных (далее – Политика) разработана Закрытым акционерным обществом «Стандарт Девелопмент» (далее – Держатель) во исполнение требований Закона Кыргызской Республики от «14» апреля 2008 г. № 58 «Об информации персонального характера» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе обеспечения защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает непосредственно Держатель либо Обработчик о: i) пользователях; ii) клиентах, iii) их бенефициарных владельцах и законных представителях; iv) подрядчиках; v) работниках; vi) кандидатах на замещение вакантных должностей (специальностей) и vii) других субъектах, имеющих с Держателем деловые отношения либо намеревающихся установить их, а также viii) о субъектах, иным образом взаимодействующих с Держателем, если в результате такого взаимодействия Держатель получает их персональные данные.
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Держателя как до, так и после утверждения настоящей Политики. Кроме того, Политика распространяется на любые операции Держателя с персональными данными, осуществляемые Держателем как в автоматизированном режиме, так и без использования средств автоматизации.
1.4. Политика публикуется Держателем в свободном доступе на своем официальном сайте в сети Интернет: https://www.getdante.io/. Информирование субъектов персональных данных о сборе, обработке и возможной передаче их персональных данных осуществляется через ознакомление и принятие субъектами настоящей Политики, размещенной по адресу: https://www.getdante.io/privacy_policy/.
1.5. Для целей настоящей Политики Держатель использует следующие основные понятия:
информация персонального характера (персональные данные) – зафиксированная информация на материальном носителе о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
сбор персональных данных – процедура получения персональных данных держателем (обладателем) массива персональных данных от субъектов этих данных либо из других источников в соответствии с законодательством Кыргызской Республики; обработка персональных данных – любая операция или набор операций, выполняемых независимо от способов держателем (обладателем) персональных данных либо по его поручению, автоматическими средствами или без таковых, в целях сбора, записи, хранения, актуализации, группировки, блокирования, стирания и разрушения персональных данных;
согласие субъекта персональных данных – выраженное в форме, предусмотренной настоящим Законом, свободное, конкретное, безоговорочное и осознанное волеизъявление лица, в соответствии с которым субъект оповещает о своем согласии на осуществление процедур, связанных с обработкой его персональных данных; передача персональных данных – предоставление держателем (обладателем) персональных данных третьим лицам в соответствии с настоящим Законом и международными договорами; трансграничная
передача персональных данных – передача держателем (обладателем) персональных данных держателям, находящимся под юрисдикцией других государств;
режим конфиденциальности персональных данных – нормативно установленные правила, определяющие ограничения доступа, передачи, предоставления и условия хранения персональных данных;
актуализация персональных данных – оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными действующим законодательством Кыргызской Республики.
блокирование персональных данных – временное прекращение передачи, уточнения, использования и уничтожения персональных данных.
уничтожение (стирание или разрушение) персональных данных – действия держателя (обладателя) персональных данных по приведению этих данных в состояние, не позволяющее восстановить их содержание;
Держатель (обладатель) массива персональных данных – Закрытое акционерное общество «Стандарт Девелопмент», i) зарегистрированное в соответствии с действующим законодательством Кыргызской Республики ii) по следующему адресу: Кыргызская Республика, г. Бишкек, ул. Шопокова, 121/1, и iii) действующее на основании лицензии Службы регулирования и надзора за финансовым рынком при Министерстве экономики и коммерции Кыргызской Республики № 0009, серия ВА, от «21» декабря 2022 г.;
Обработчик – юридическое лицо, определяемое Держателем, которое осуществляет обработку персональных данных на основании заключенного с ним договора.
Платформа – аудиовизуальная (frontedn) и программная (backend) совокупность информации, обеспечивающая возможность: - обозрения информации о ценах и других условиях операций (сделок) с виртуальными активами, осуществляемых (заключаемых) Держателем, с использованием программно-технических средств (например, персональных компьютеров); - совершения клиентами всех видов сделок с виртуальными активами (приобретение, отчуждение, обмен), предусмотренных лицензией Держателя. Платформа является интеллектуальной собственностью Держателя или контрагентов Держателя и размещена в сети Интернет под единым доменным именем «getdante.io», принадлежащим Держателю, по адресу: https://www.getdante.io/. Кроме того, под Платформой в контексте настоящей Политики следует понимать любое мобильное либо десктопное (т.е. предназначенное для персонального компьютера) приложение, обеспечивающее доступ к настоящей Политике. Иные понятия, использованные в настоящей Политике, значение которых не раскрыто в настоящем пункте, употребляются в смысле, вкладываемом в них действующим законодательством Кыргызской Республики и (или) внутренними документами Держателя.
1.6..Основные права и обязанности Держателя.
1.6.1..Держатель имеет право: -.по своему усмотрению определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, возложенных на Держателя нормами Закона о персональных данных и принятыми во исполнение указанного Закона нормативными правовыми актами, если иное не установлено Законом о персональных данных; -.поручить на основании договора обработку персональных данных третьему лицу – Обработчику, обеспечивающему необходимые условия для защиты персональных данных от неправомерного или случайного доступа к ним, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных; -.в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в Законе о персональных данных и принятых во исполнение положений указанного Закона нормативных правовых актах.
1.6.2..Держатель обязан: -.организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных; -.отвечать на обращения и запросы субъектов персональных данных и (или) их доверенных лиц в соответствии с требованиями Закона о персональных данных и внутренними документами Держателя в срок, не превышающий 7 (семи) дней с момента подачи обращения или запроса; -.осуществлять актуализацию персональных данных i) в случаях, предусмотренных законодательством Кыргызской Республики, в том числе законодательством о противодействии финансированию террористической деятельности и (или) легализации (отмывания) преступных доходов (далее – «ПФТД/ЛПД»), а также ii) по инициативе субъекта персональных данных, персональные данные которого подлежат изменению.
1.7..Основные права субъекта персональных данных.
1.7.1. Субъект персональных данных имеет право: -.получать информацию, касающуюся обработки персональных данных, принадлежащих субъекту, за исключением случаев, предусмотренных Законом о персональных данных. Держатель по запросу, полученному от субъекта персональных данных, предоставляет субъекту персональных данных запрошенную информацию в доступной форме; в представляемых сведениях не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации, касающейся обработки персональных данных конкретного субъекта, и порядок ее получения установлен Законом о персональных данных; -.требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Законом о персональных данных меры по защите своих прав; -.обжаловать в установленном законом порядке неправомерные действия или бездействие Держателя при обработке принадлежащих субъекту персональных данных.
1.7.2. Субъект персональных данных обязан: - сообщать Держателю исключительно достоверные и актуальные персональные данные; - представлять Держателю документы, отражающие те или иные персональные данные, в объеме, необходимом для достижения Держателем целей их обработки; - своевременно сообщать Держателю об уточнении (обновлении, изменении) персональных данных, принадлежащих такому субъекту.
1.8. Лицо, ответственное за организацию обработки персональных данных у Держателя, в том числе за настоящую Политику (далее – Ответственное лицо), ее соответствие действующему законодательству Кыргызской Республики, а также за реализацию любых положений настоящей Политики, назначает единоличный исполнительный орган Держателя.

2.1. Держатель осуществляет обработку персональных данных, принадлежащих субъектам, упомянутым в пункте 1.2. настоящей Политики.
2.2. Держатель осуществляет сбор персональных данных о субъекте, подлежащих обработке, через i) получение персональных данных непосредственно от их владельца (субъекта персональных данных), ii) автоматический сбор, а также через iii) получение персональных данных о субъекте от доверенных лиц.
2.3. К персональным данным, сбор которых осуществляется через их представление субъектом персональных данных либо доверенным лицом, относятся: фамилия; имя; отчество; гражданство; пол; возраст; дата и место рождения; номер основного документа, удостоверяющего личность; сведения о дате выдачи указанного документа, а также об органе, выдавшем указанный документ; адрес регистрации по месту жительства; адрес фактического проживания; отношение к воинской обязанности (сведения о воинском учете, сведения из военного билета (при его наличии) и т.д.); данные водительского удостоверения; персональный идентификационный номер (номер налогоплательщика), данные о регистрации во внебюджетных (пенсионных, социальных) фондах; номер телефона; адрес электронной почты; информация о наличии либо отсутствии судимости; сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также любые другие сведения об источниках благосостояния; сведения об открытых банковских счетах, банковских картах, кошельках электронных денег и (или) кошельках (идентификаторах) виртуальных активов, сведения об осуществлении предпринимательской и (или) иной экономической деятельности, в том числе, включая, но не ограничиваясь, через участие в уставном и (или) акционерном капитале юридического учреждения; сведения об осуществлении трудовой деятельности, работодателе и размере заработной платы; сведения о занимаемой должности и составе семьи и близких лицах; личная подпись; информация об операциях (сделках) клиента на Платформе; данные переговоров пользователей и клиентов с Держателем, в том числе через обращение в техническую службу (службу поддержки). К персональным данным, сбор которых осуществляется в автоматическом режиме, относятся: IP-адрес; геолокация; идентификатор, тип устройства и наименование операционной системы («Windows», «Android», «iOS» и т.д.); рекламный идентификатор; информация о браузере (название и версия); аутентификационные данные (коды безопасности, ссылки, тестирование (по типу «reCAPTCHA») и т.д.); данные файлов cookie, данные браузера (истории посещений), демографические данные, интересы и потребительские предпочтения.
2.4. Обработка специальных категорий персональных данных, прямо или косвенно касающихся расовой и (или) национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, осуществляется Держателем в строгом соответствии со статьей 8 Закона о персональных данных и положениями других нормативных правовых актов, действующих в Кыргызской Республике (при их наличии). Так, Держатель вправе обрабатывать данные о состоянии здоровья лиц, являющихся его работниками, а также биометрические данные (например, личная фотография и (или) иное аудиовизуальное изображение субъекта) и данные о национальной принадлежности, указанные в документах, удостоверяющих личность граждан, взаимодействующих с Держателем в рамках установленных (устанавливаемых) гражданско-правовых (деловых) или трудовых отношений.
2.5. Держатель, запрашивая у субъекта его персональные данные, руководствуется требованиями нормативно-правовых актов и (или) внутренних документов Держателя, определяющих минимально необходимый Держателю состав (перечень) персональных данных по такому субъекту, исходя из статуса (профиля) данного субъекта (пользователь, клиент, работник и т.д.) и определенных Держателем целей обработки его персональных данных, а также других юридически значимых обстоятельств (например, включая, но не ограничиваясь, исходя из присвоенного клиенту уровня риска в соответствии с риск-ориентированным подходом, применяемым Держателем в рамках процедур по ПФТД/ЛПД).
2.6. Категории персональных данных и категории субъектов персональных данных могут быть пересмотрены Держателем в любое время при условии i) обязательного закрепления изменений в настоящей Политике и ii) уведомления субъектов персональных данных любым доступным способом (например, через личный кабинет на Платформе, push-уведомление в приложении, направление сообщения на электронную почту).

3.1. Держатель для целей i) обеспечения правильного функционирования Платформы, ii) улучшения качества, упрощения и (или) иной модификации оказываемых Держателем через Платформу услуг и iii) организации и проведения промоакций вправе использовать файлы cookie, представляющие собой текстовые файлы, хранящиеся в браузерах субъектов персональных данных (как правило, в браузерах пользователей либо клиентов, их бенефициарных владельцев и (или) законных представителей).
3.2. Держатель вправе использовать следующие файлы cookie: - необходимые (требуются для корректного функционирования Платформы); - эксплуатационные (аналитические) (позволяют Держателю считывать историю посещений и выявлять наиболее и наименее популярные страницы и разделы Платформы); - функциональные (обеспечивают возможность перемещения между разделами Платформы, а также возможность ее настройки (персонализации); - рекламные (устанавливаются на Платформе контрагентами Держателя, осуществляющими рекламные функции); - файлы cookie социальных сетей (устанавливаются различными сервисами социальных сетей, добавленными Держателем на Платформу).

4.1..Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается.
4.2..Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.3..Обработка Держателем персональных данных осуществляется в целях: - проведения Держателем и (или) третьими лицами по поручению Держателя надлежащей либо усиленной проверки субъекта персональных данных, в том числе в целях его идентификации и (или) верификации, а также совершения иных действий в рамках проверочных мероприятий; - принятия Держателем решения об установлении либо об отказе в установлении деловых отношений с субъектом персональных данных либо с представляемым субъектом лицом в результате надлежащей либо усиленной проверки субъекта персональных данных; - принятия решения о заключении трудового договора с кандидатом на вакантное рабочее место у Держателя; - заключения, исполнения и прекращения гражданско-правовых договоров, трудовых договоров, соглашений, а также других юридически обязывающих документов; - организации Держателем надлежащего либо усиленного мониторинга деловых отношений, установленных с субъектом либо с представляемым субъектом лицом; - осуществления банковских операций; - исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе в целях: содействия работникам в трудоустройстве, получения образования, привлечения, отбора и обучения кандидатов для приема на работу к Держателю, обеспечения личной безопасности работников, контроля количества и качества выполняемой работниками работы, компенсации расходов, связанных с временной нетрудоспособностью работников Держателя, обеспечения сохранности имущества, ведения кадрового и бухгалтерского учета и делопроизводства, заполнения и передачи в уполномоченные органы отчетности по установленным формам, организации учета работников в системах обязательного пенсионного страхования и обязательного социального страхования; - ведения внутриорганизационного делопроизводства, в том числе осуществления архивного делопроизводства; - исполнения требований (соблюдения запретов), установленных в нормативных правовых актах, составляющих право Кыргызской Республики, в том числе, включая, но не ограничиваясь, в целях исчисления и уплаты подоходного налога, а также взносов во внебюджетные фонды; - обеспечения информационной безопасности (кибербезопасности); - обеспечения правильного функционирования Платформы; - улучшения качества, упрощения и (или) иной модификации оказываемых Держателем услуг; - организации и проведения промоакций.

5.1..Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Держатель осуществляет обработку персональных данных, в том числе: - Конституция Кыргызской Республики; - Трудовой кодекс Кыргызской Республики от «04» августа 2004 г. № 106; - Гражданский кодекс Кыргызской Республики от «08» мая 1996 г. № 15; - Налоговый кодекс Кыргызской Республики от «18» января 2022 г. № 3; - Закон Кыргызской Республики «Об информации персонального характера» от «14» апреля 2008 г. № 58; - Закон Кыргызской Республики «О всеобщей воинской обязанности граждан Кыргызской Республики, о военной и альтернативной службах» от «09» февраля 2009 г. № 43; - Закон Кыргызской Республики «О виртуальных активах» от «21» января 2022 г. № 12; - Закон Кыргызской Республики «О противодействии финансированию террористической деятельности и легализации (отмыванию) преступных доходов» от «06» августа 2018 г. № 87; - «Положение о деятельности оператора обмена виртуальных активов и ведении реестра операторов обмена виртуальных активов», утв. Постановлением Кабинета Министров Кыргызской Республики «О вопросах регулирования отношений, возникающих при обороте виртуальных активов» от «16» сентября 2022 г. № 514; - «Положение о порядке приостановления операции (сделки), замораживания и размораживания операции (сделки) и (или) средств, предоставления доступа к замороженным средствам и управления замороженными средствами», утв. Постановлением Правительства Кыргызской Республики «О мерах по реализации Закона Кыргызской Республики «О противодействии финансированию террористической деятельности и легализации (отмыванию) преступных доходов» от 25 декабря 2018 г. № 606; - «Положение о порядке проведения надлежащей проверки клиента», утв. Постановлением Правительства Кыргызской Республики «О мерах по реализации Закона Кыргызской Республики «О противодействии финансированию террористической деятельности и легализации (отмыванию) преступных доходов» от 25 декабря 2018 г. № 606; - «Типичные критерии высоких и низких рисков», утв. Приказом Государственной службы финансовой разведки Кыргызской Республики при Министерстве финансов Кыргызской Республики от «24» декабря 2020 г. № 61/п.
5.2..Правовым основанием обработки персональных данных, кроме того, являются: -.устав Держателя; -.договоры, заключаемые между Держателем и субъектами персональных данных; -.согласия субъектов на обработку их персональных данных.

6.1. Обработка персональных данных осуществляется Держателем в соответствии с требованиями Закона о персональных данных и принятыми во исполнение указанного Закона нормативными правовыми актами.
6.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных Законом о персональных данных.
6.3. Держатель осуществляет обработку персональных данных следующими способами: -.неавтоматизированная обработка персональных данных; -.автоматизированная обработка персональных данных;
6.4. К обработке персональных данных допускаются работники Держателя, в должностные обязанности которых входит обработка персональных данных.
6.5. Держатель не допускает раскрытие третьим лицам персональных данных, а также их распространение без согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных. Согласие на обработку персональных данных, разрешенных оформляется отдельно от иных документов (договоров, соглашений и т.д.), даже если указанное требование не предусмотрено Законом о персональных данных и принятыми во исполнение указанного Закона нормативными правовыми актами.
6.6. Любая передача персональных данных, в том числе органам дознания и следствия, а также другим уполномоченным государственным органам и (или) организациям осуществляется Держателем в соответствии с требованиями Закона о персональных данных.
6.7. Держатель заявляет, что трансграничная передача персональных данных осуществляется с предварительного согласия субъектов персональных данных, в частности, включая, но не ограничиваясь, в целях проведения надлежащих либо усиленных проверок потенциальных и (или) текущих клиентов, их бенефициарных владельцев и (или) законных представителей (см. абзац 2 пункта 4.3. настоящей Политики). Обработчиком в указанном случае выступает компания, зарегистрированная по законодательству Соединенного Королевства Великобритании и Северной Ирландии – Sum and Substance LTD, расположенная по адресу: 30 St. Mary Axe, London, England, EC3A 8BF. Держатель ко всему прочему заявляет, что трансграничная передача персональных данных возможна следующим Обработчикам: - Alchemy GPS Europe UAB, адрес: Laisvés pr. 60, LT-05120 Vilnius, Lithuania; - Aux Cayes FinTech Co. LTD, адрес: Suite 202, 2nd Floor, Eden Plaza, Eden Island, Victoria, Mahe, Seychelles. Кроме того, Держатель вправе осуществлять передачу персональных данных субъектов другим лицам – например лицам, чьи рекламные файлы cookie Держатель использует на Платформе.
6.8. Держатель обеспечивает применение необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования и (или) распространения персональных данных и других несанкционированных действий, в том числе мер, указанных в части 2 статьи 21 Закона о персональных данных. Кроме того, для целей защиты персональных данных от неправомерного доступа Держатель использует сертификаты SSL на Платформе, а также защитное расширение HTTPS к протоколу HTTP с целью повышения безопасности данных, хранящихся на Платформе.
6.9..Держатель осуществляет хранение персональных данных не дольше, чем этого требует каждая цель обработки персональных данных, если при этом срок, в течение которого допускается хранение тех или иных персональных данных, прямо не установлен действующим законодательством Кыргызской Республики.
6.10..Держатель прекращает обработку персональных данных в следующих случаях: -.выявлен факт неправомерной обработки персональных данных (в этом случае держатель безотлагательно с момента выявления факта неправомерной обработки прекращает обработку персональных данных и осуществляет их уничтожение); -.достигнута цель обработки персональных данных; -.истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных при условии, что по Закону о персональных данных обработка таких персональных данных допускается только с согласия самого субъекта.
6.11..Иные условия обработки персональных данных, не указанные в разделе 5 настоящей Политики, применяются в соответствии с Законом о персональных данных.

7.1. Держатель осуществляет актуализацию персональных данных субъекта согласно абзацу 4 пункта 1.6.2 настоящей Политики, отражающему содержание части 1 статьи 28 Закона о персональных данных.
7.2. Если субъект персональных данных выявляет недостоверность персональных данных или оспаривает правомерность действий Держателя относительно принадлежащих данному субъекту персональных данных, то данный субъект в указанных случаях вправе потребовать от Держателя заблокировать обрабатываемые Держателем персональные данные. При этом блокирование и снятие блокирования с персональных данных осуществляется в соответствии со статьей 19 Закона о персональных данных.
7.3..Держатель в течение двух недель по истечении срока хранения персональных данных и (или) достижении целей их сбора и обработки осуществляет уничтожение персональных данных на условиях, установленных Законом о персональных данных.
7.4. Держатель в ответ на запрос субъекта персональных данных либо доверенного лица в течение 7 (семи) дней с момента подачи запроса сообщает направившему запрос лицу о наличии либо об отсутствии у Держателя персональных данных, относящихся к субъекту, правовых основаниях и целях обработки принадлежащих субъекту персональных данных, а также сообщает иные сведения, допускаемые к раскрытию в соответствии с положениями Закона о персональных данных, если на необходимость раскрытия тех или иных сведений указано в запросе, полученном Держателем от субъекта либо от доверенного лица. При этом запрос, адресованный Держателю, должен содержать: -.номер основного документа, удостоверяющего личность субъекта персональных данных или доверенного лица, сведения о дате выдачи указанного документа и выдавшем документ органе; -.сведения, подтверждающие участие субъекта персональных данных в отношениях с Держателем (например, номер договора и дата его заключения), либо сведения, иным образом подтверждающие факт обработки персональных данных Держателем; -.подпись субъекта персональных данных или его доверенного лица, если запрос Держателю направляется в письменной форме. Кроме того, если подписантом запроса является доверенное лицо, то к такому запросу должна быть приложена копия доверенности, дающей право доверенному лицу действовать от лица субъекта персональных данных.
7.5. Держатель сообщает через Политику, что право субъекта персональных данных на доступ к принадлежащим данному субъекту персональным данным может быть ограничено в соответствии со статьей 15 Закона о персональных данных.

8.1. Отношения, касающиеся сбора и обработки персональных данных, не нашедшие своего отражения в тексте настоящей Политики, урегулируются Держателем на основании положений Закона о персональных данных.
8.2. Держатель по своему усмотрению реализует имеющееся у него право на обновление настоящей Политики. При этом актуальная редакция настоящей Политики подлежит обязательному опубликованию на Платформе и вступает в силу в момент ее размещения в свободном доступе для ознакомления заранее неопределенным кругом лиц.