ioka құпиялылық саясаты
Соңғы жаңартылған күні: 2025 жылғы 25 қараша
1.0-Редакция, 25.11.2025 жылғы № 05-О/Д бұйрықпен бекітілген
Осы Құпиялылық саясаты «Дербес деректер және оларды қорғау туралы»
Қазақстан Республикасының Заңына сәйкес әзірленді.
Құжат «ioka» мобильді қосымшасын пайдалану кезінде алынған дербес
деректерді өңдеу кезінде пайдалануға арналған.
1. Жалпы ережелер
«ioka fintech» ЖШС, БСН 191140003027 («Біз»,
«Компания»)
Заңды мекенжайы: Қазақстан Республикасы, Алматы қаласы,
Медеу ауданы, Инженерная көшесі, 15 үй, пошта индексі 050051.
«ioka» мобильді қосымшасын (бұдан әрі – «мобильді қосымша») басқаратын
Компания дербес деректердің операторы болып табылады және оларды өңдеуге
жауапты болады.
Мобильді қосымшаны пайдалана отырып, Пайдаланушы осы Саясатқа сәйкес
өзінің дербес деректерін жинауға және өңдеуге келісім білдіреді.
2. Біз қандай деректерді өңдейміз, олардың мақсаты, негізі және сақтау
мерзімі?
| Санат |
Дербес деректер |
Өңдеу мақсаты |
Негізі |
Дереккөз |
Сақтау мерзімі |
| Аутентификация |
- Абоненттік нөмір
- Құпия сөз (хэштелген)
- Жеке сәйкестендіру нөмірі (ЖСН)
|
Авторизация |
Келісім |
Пайдаланушы |
Егер ҚР заңнамасында өзгеше көзделмесе, мобильді қосымшаны
пайдалану мерзімі ішінде және ол тоқтатылғаннан кейін 5 жыл
ішінде
|
| Профиль |
- Аты, тегі және әкесінің аты (бар болса)
- Электрондық пошта мекенжайы (e-mail)
- Фотосурет
|
Сәйкестендіру, байланыс |
Келісім |
Пайдаланушы |
| Қаржылық деректер |
-
Төлем карточкасының деректемелері (карта нөмірі, PAN, CVV,
жарамдылық мерзімі, карта иесі)
-
Транзакциялық деректер – транзакцияның күні мен уақыты,
құны, валютасы, таңдалған тауарлардың (жұмыстардың,
қызметтердің) позициялары
|
Төлемдерді жүргізу |
Келісім |
Пайдаланушы / банк (эмитент және эквайер) |
Төлемді жүзеге асырған (келісім берген) сәттен бастап 5 жыл
|
| Техникалық деректер |
|
Аналитика, қауіпсіздік |
Заңды қызығушылық |
Жүйе / SDK |
Егер ҚР заңнамасында өзгеше көзделмесе, мобильді қосымшаны
пайдалану мерзімі ішінде және ол тоқтатылғаннан кейін 5 жыл
ішінде
|
| Техникалық қолдау |
- Тегі, аты және әкесінің аты (бар болса)
- Абоненттік нөмір
- Электрондық пошта мекенжайы (e-mail)
- Сұрау мазмұны
|
Сұраныстарды өңдеу |
Келісім |
Пайдаланушы |
Дербес деректерді өңдеу Пайдаланушының келісімі, шарттың орындалуы,
сондай-ақ Компанияның заңды мүдделері (қауіпсіздік пен талдауды
қамтамасыз ету бөлігінде) негізінде жүзеге асырылады.
3. Мобильді қосымша құрылғының қандай функциялары кіруді сұрайды?
Дұрыс жұмыс істеу үшін мобильді қосымша құрылғының жеке функцияларына
(мысалы, камера, файлдарды сақтау, микрофон, хабарландырулар және басқа
жүйелік қызметтер) кіруді сұрай алады.
Рұқсаттар тізімі және оларды пайдалану мақсаттары ресми дүкенде мобильді
қосымшаны орнатпас бұрын көрсетіледі және құрылғы баптауларында
нақтылануы мүмкін.
Барлық рұқсаттар тек Пайдаланушының келісімімен беріледі және тек
интерфейсте және дүкендегі сипаттамада көрсетілген мобильді қосымшаның
функционалдығын қамтамасыз ету үшін қолданылады.
Пайдаланушы кез-келген уақытта құрылғының жүйелік баптаулары арқылы
рұқсаттарды өзгерте немесе қайтарып ала алады, бұл мобильді қосымшаның
жекелеген функцияларының жұмысына әсер етуі мүмкін.
4. Push хабарландырулары және аналитика
Мобильді қосымша Пайдаланушыға қызметтегі әрекеттер мен оқиғалар туралы
хабарлау үшін push хабарландыруларын жібере алады.
Хабарландыру мақсаттары:
- әрекеттерді растау (тіркеу, кіру, транзакциялар);
-
жүйелік және техникалық хабарламалар (өзгерістер, жаңартулар,
қауіпсіздік);
-
ақпараттық хабарламалар (жаңа функциялар, лимиттер, операциялар
мәртебесі);
- промо-науқандар – Пайдаланушының жеке келісімімен ғана.
Пайдаланушы кез келген уақытта телефон параметрлері (iOS / Android)
арқылы push хабарландыруларын өшіре алады.
Аналитикаға арналған деректер:
-
техникалық оқиғалар (қосымшаны іске қосу, сессия уақыты, қателер);
-
иесіздендірілген пайдалану көрсеткіштері (экрандар, түртулер,
интерфейспен өзара әрекеттесу);
-
құрылғы түрі, операциялық жүйе және қосымша нұсқасы туралы мәліметтер.
Аналитика тек мобильді қосымшаның тұрақтылығы мен ыңғайлылығын жақсарту
үшін қолданылады және дербес деректерді, төлем ақпаратын немесе
Пайдаланушы тіркелгісінің мазмұнын қамтымайды.
5. Кімге және қандай деректерді беруге болады, беру мақсаты, негізі және
қорғау шаралары?
| Кімге беріледі |
Дербес деректер |
Беру мақсаты |
Негізі |
Қорғау шаралары |
| ҚР екінші деңгейдегі банктер |
- Тегі, аты және әкесінің аты (бар болса)
- Жеке сәйкестендіру нөмірі (ЖСН)
- Абоненттік нөмір
- Электрондық пошта мекенжайы (e-mail)
-
Транзакциялық деректер – транзакцияның күні мен уақыты,
құны, валютасы, таңдалған тауарлардың (жұмыстардың,
қызметтердің) позициялары
-
Төлем карточкасының деректемелері (PAN, жарамдылық мерзімі,
карта иесі және CVV тек транзакцияны авторизациялау сәтінде)
|
Төлемдерді жүзеге асыру |
Шарт |
Ұйымдастырушылық шаралар:
- Дербес деректерге қол жеткізуді шектеу.
-
Құпиялылық туралы келісімге (құпиялылық туралы шарттарға)
қол қойған уәкілетті қызметкерлер мен контрагенттерге ғана
дербес деректерді өңдеуге рұқсат беру.
Техникалық шаралар:
-
Шифрлау технологияларын (SSL/TLS) пайдалана отырып,
деректерді тек қорғалған байланыс арналары арқылы беру.
- PCI DSS стандартына сәйкес деректерді өңдеу.
-
Рұқсатсыз кіруден қорғалған және рұқсаты шектеулі, уәкілетті
тұлғалар ғана қол жеткізе алатын серверлерді пайдалану.
|
|
Пайдаланушы төлейтін тауарларды (жұмыстарды, қызметтерді)
жеткізушілер
|
- Тегі, аты және әкесінің аты (бар болса)
- Жеке сәйкестендіру нөмірі (ЖСН)
- Абоненттік нөмір
- Электрондық пошта мекенжайы (e-mail)
-
Транзакциялық деректер – транзакцияның күні мен уақыты,
құны, валютасы, таңдалған тауарлардың (жұмыстардың,
қызметтердің) позициялары
|
Шарт |
|
Халықаралық төлем жүйелері (мысалы, Visa немесе Mastercard)
|
-
Транзакциялық деректер – транзакцияның күні мен уақыты,
құны, валютасы
-
Төлем карточкасының деректемелері (PAN, жарамдылық мерзімі,
карта иесі және CVV тек транзакцияны авторизациялау сәтінде)
|
Халықаралық төлем жүйесінің (ХТЖ) ережелері |
| Мемлекеттік органдар |
- Тегі, аты және әкесінің аты (бар болса)
- Жеке сәйкестендіру нөмірі (ЖСН)
- Абоненттік нөмір
- Электрондық пошта мекенжайы (e-mail)
-
Транзакциялық деректер – транзакцияның күні мен уақыты,
құны, валютасы, таңдалған тауарлардың (жұмыстардың,
қызметтердің) позициялары
-
Төлем карточкасының деректемелері (PAN, жарамдылық мерзімі,
карта иесі)
- IP
- Push-токен
- Құрылғы ID
- Сұрау мазмұны
|
ҚР заңнамасының талаптарын сақтау |
ҚР заңнамасы және ресми сұрау |
Ұйымдастырушылық шаралар:
- Дербес деректерге қол жеткізуді шектеу.
-
Дербес деректерді тек ҚР заңнамасына сәйкес ресімделген
ресми сұрау салулар негізінде ғана беру.
-
Құпиялылық туралы келісімге (құпиялылық туралы шарттарға)
қол қойған уәкілетті қызметкерлерге ғана дербес деректерді
өңдеу және беру құқығын беру.
-
Мемлекеттік органдарға деректерді берудің барлық жағдайларын
тіркеу және құжаттау.
Техникалық шаралар:
-
Шифрлау технологияларын (SSL/TLS) пайдалана отырып,
деректерді тек қорғалған байланыс арналары арқылы беру.
-
Электрондық қолтаңба және ресми байланыс арналары арқылы
сұраулардың түпнұсқалығын тексеру.
- PCI DSS стандартына сәйкес деректерді өңдеу.
-
Рұқсатсыз кіруден қорғалған және рұқсаты шектеулі
серверлерді пайдалану.
|
6. Трансшекаралық деректерді беру
Төлем операцияларын жүргізу және авторизациялау мақсатында
Пайдаланушының дербес деректері (ТАӘ, карта деректемелері, транзакция
деректері) Visa, Mastercard, UnionPay және өзге де серіктес ұйымдардың
халықаралық төлем жүйелеріне (бұдан әрі – «ХТЖ») берілуі мүмкін.
Беру ҚР заңнамасының талаптарын сақтай отырып, АҚШ, Ұлыбритания,
Бельгия, Сингапур және Қытайды қоса алғанда, деректерді қорғаудың тиісті
деңгейін қамтамасыз ететін елдерде орналасқан қорғалған серверлерге
жүзеге асырылады.
ХТЖ PCI DSS және ISO/IEC 27001 стандарттарына сәйкес сертификатталған.
Деректерді беру шифрланған байланыс арналары (TLS) арқылы және
транзакцияларды жүргізу үшін қажетті көлемде ғана жүзеге асырылады.
Компания шарттар жасасады және ҚР заңнамасының талаптарына сәйкес дербес
деректерді қорғауды қамтамасыз ететін стандартты шарттық ережелерді
(Standard Contractual Clauses) не өзге де құқықтық тетіктерді қолданады.
7. Деректер қалай сақталады және қорғалады?
Дербес деректер ҚР аумағында орналасқан серверлерде, сондай-ақ ҚР
заңнамасында және халықаралық стандарттарда белгіленгеннен төмен емес
қауіпсіздік деңгейін қамтамасыз ететін қорғалған бұлтты қоймаларда
сақталады.
Деректер шифрланған түрде сақталады, оларға қызметтік қажеттілік шегінде
тек уәкілетті қызметкерлер ғана қол жеткізе алады.
Деректерді қорғау шаралары:
-
қажеттілік қағидаты негізінде дербес деректерге қол жеткізуді шектеу;
-
деректерді сақтау және беру кезінде заманауи шифрлау технологияларын
пайдалану;
- ақпараттық қауіпсіздік аудиттерін тұрақты жүргізу;
-
ақпараттық қауіпсіздікті басқару жүйесінің (АҚБЖ) талаптарына сәйкес
келетін ұйымдастырушылық және техникалық шараларды, сондай-ақ ISO/IEC
27001 және PCI DSS халықаралық стандарттарын қолдану.
8. Пайдаланушы құқықтары
Пайдаланушы мыналарға құқылы:
-
Компанияда Пайдаланушының дербес деректерінің болуы туралы білуге,
дербес деректерді жинау және өңдеу фактісін, мақсатын, көздерін,
тәсілдерін растайтын ақпаратты алуға, сондай-ақ дербес деректердің
тізбесін, дербес деректерді өңдеу мерзімдерін, оның ішінде оларды
сақтау мерзімдерін білуге;
-
растайтын құжаттар болған жағдайда Компаниядан Пайдаланушының дербес
деректерін өзгертуді және толықтыруды талап етуге;
- Пайдаланушының дербес деректерін бұғаттауды талап етуге;
- Пайдаланушының дербес деректерін жоюды талап етуге;
-
дербес деректерді жинауға және өңдеуге берілген келісімді кері
қайтарып алуға;
-
деректерді пайдалануды шектеуге, олардың көшірмесін алуға немесе басқа
сервиске көшіруге, деректерді өңдеуге қарсылық білдіруге, сондай-ақ
оған қатысты шешімдердің (мысалы, автоматты тексерулер немесе
операцияларды қабылдамау) адамның қатысуымен қабылдануын талап етуге;
-
«Дербес деректер және оларды қорғау туралы» Қазақстан Республикасының
Заңында көзделген өзге де құқықтарын жүзеге асыруға.
9. Деректерді жою және келісімді қайтарып алу тәртібі
Пайдаланушы осы Саясатта көрсетілген байланыс деректері бойынша
Компанияға өтініш жіберу арқылы өзінің дербес деректерін жоюды сұратуға
құқылы.
Дербес деректерді жоюдан бас тартқан жағдайда Пайдаланушы дербес
деректер субъектілерінің құқықтарын қорғау жөніндегі уәкілетті
мемлекеттік органға жүгінуге құқылы.
Компания келесі жағдайларда дербес деректерді жояды:
- сақтау мерзімінің аяқталуы немесе өңдеу мақсатына жету;
-
Пайдаланушының дербес деректерді өңдеуге келісімін қайтарып алуы;
-
егер ҚР заңнамасында өзгеше көзделмесе, Пайдаланушының дербес
деректерді жоюға сұрау салумен жүгінуі;
- заңнаманы бұза отырып деректерді өңдеу фактісінің анықталуы;
-
деректерді жою туралы соттың немесе уәкілетті мемлекеттік органның
күшіне енген шешімінің болуы.
Дербес деректерді жою тәртібі:
-
Дербес деректер Компанияның барлық дерекқорларынан және резервтік
көшірмелерінен оларды қалпына келтіру мүмкіндігін болдырмайтын арнайы
бағдарламалық қамтамасыз етуді пайдалану арқылы жойылады.
-
Дербес деректері бар материалдық жеткізгіштер қайтарымсыз жойылуға
жатады.
-
Дербес деректерді жою, егер ҚР заңнамасында өзгеше көзделмесе, өңдеу
мақсатына қол жеткізген немесе Пайдаланушының жою туралы өтініші
алынған сәттен бастап 30 (отыз) күнтізбелік күннен кешіктірілмей
жүзеге асырылады.
10. Байланыс деректері және жауапты тұлға (DPO)
Дербес деректерді өңдеу және қорғау мәселелері бойынша, сондай-ақ
өтініштер, келісімді қайтарып алу немесе шағымдар жіберу үшін
Пайдаланушы Компанияға келесі
байланыс email және телефон арқылы жүгінуге болады:
support@ioka.kz
+7 701 540 18 02
Жауапты тұлға (DPO): Компания басшысы.
Өтініштер ҚР заңнамасында белгіленген мерзімде қаралады.
Компанияның жауабымен немесе сұрау салу бойынша әрекетсіздігімен
келіспеген жағдайда, Пайдаланушы дербес деректер субъектілерінің
құқықтарын қорғау жөніндегі уәкілетті мемлекеттік органға жүгінуге
құқылы.
11. Саясатты өзгерту және өзектендіру
Біз осы Құпиялылық саясатын кез келген уақытта Қазақстан Республикасының
заңнамасының талаптарына сәйкес өзгерту құқығын өзімізде қалдырамыз.
Соңғы жаңарту күні құжаттың төменгі жағында көрсетіледі.
12. Терминдер мен анықтамалар
Дербес деректер – белгілі бір немесе олардың негізінде
айқындалатын Пайдаланушыға қатысты, электрондық, қағаз немесе (және)
өзге де материалдық жеткізгіште тіркелген ақпарат.
Өңдеу – дербес деректерді жинақтауға, сақтауға,
өзгертуге, толықтыруға, пайдалануға, таратуға, иесіздендіруге,
бұғаттауға және жоюға бағытталған іс-әрекеттер.
Оператор – дербес деректерді жинауды, өңдеуді және
қорғауды жүзеге асыратын Компания.
Дербес деректер субъектісі – Пайдаланушы, дербес
деректер жататын жеке тұлға.
Құрылғының рұқсаттары – мобильді операциялық жүйенің
(iOS/Android) мобильді қосымшаға құрылғы функциялары мен деректеріне
(мысалы, камера, микрофон, геолокация, фото/файлдар, Bluetooth,
хабарландырулар) қол жеткізуіне мүмкіндік беретін жүйелік баптаулары.
Рұқсаттар мобильді қосымша арқылы сұралады және Пайдаланушы оларды кез
келген уақытта құрылғы баптауларында өзгерте алады.
Трансшекаралық беру – дербес деректерді шет
мемлекеттердің аумағына беру.