Политика конфиденциальности ioka
Последнее обновление: 25 ноября 2025 года
Редакция 1.0, утверждена Приказом № 05-О/Д от 25.11.2025 года
Настоящая Политика конфиденциальности разработана в соответствии с Законом
Республики Казахстан «О персональных данных и их защите».
Документ предназначен для использования при обработке персональных данных,
полученных при использовании мобильного приложения «ioka».
1. Общие положения
TOO "ioka fintech", БИН 191140003027 («Мы», «Компания»)
Юридический адрес: Республика Казахстан, город Алматы,
Медеуский район, улица Инженерная, дом 15, почтовый индекс 050051.
Компания, управляющая мобильным приложением «ioka» (далее –
«Мобильное приложение»), является оператором персональных данных и несет
ответственность за их обработку.
Используя мобильное приложение, Пользователь выражает согласие на сбор и
обработку своих персональных данных в соответствии с настоящей
Политикой.
2. Какие данные мы обрабатываем, их цель, основание и срок хранения?
| Категория |
Персональные данные |
Цель обработки |
Основание |
Источник |
Срок хранения |
| Аутентификация |
- Абонентский номер
- Пароль (хэширован)
- Индивидуальный идентификационный номер (ИИН)
|
Авторизация |
Согласие |
Пользователь |
В течение срока использования Мобильного приложения и в течение
5 лет после его прекращения, если иное не предусмотрено
законодательством РК
|
| Профиль |
- Имя, фамилия и отчество (при его наличии)
- Адрес электронной почты (e-mail)
- Фотография
|
Идентификация, связь |
Согласие |
Пользователь |
| Финансовые данные |
-
Реквизиты платежной карточки (номер карты, PAN, CVV, срок
действия, владелец карты)
-
Транзакционные данные – дата и время транзакции, стоимость,
валюта, позиции выбранных товаров (работ, услуг)
|
Проведение платежей |
Согласие |
Пользователь / банк (эмитент и эквайер) |
5 лет с момента осуществления платежа (предоставления согласия)
|
| Технические данные |
- IP
- Push-токен
- ID устройства
|
Аналитика, безопасность |
Законный интерес |
Система / SDK |
В течение срока использования Мобильного приложения и в течение
5 лет после его прекращения, если иное не предусмотрено
законодательством РК
|
| Техническая поддержка |
- Фамилия, имя и отчество (при его наличии)
- Абонентский номер
- Адрес электронной почты (e-mail)
- Содержимое запроса
|
Обработка запросов |
Согласие |
Пользователь |
Обработка персональных данных осуществляется на основании согласия
Пользователя, исполнения договора, а также законных интересов Компании
(в части обеспечения безопасности и аналитики).
3. К каким функциям устройства приложение запрашивает доступ?
Для корректной работы Мобильное приложение может запрашивать доступ к
отдельным функциям устройства (например, камере, хранилищу файлов,
уведомлениям и другим системным сервисам).
Перечень разрешений и целей их использования отображается перед
установкой Мобильного приложения в официальном магазине и может быть
уточнен в настройках устройства.
Все разрешения предоставляются только с согласия Пользователя и
используются исключительно для обеспечения функциональности Мобильного
приложения, указанной в интерфейсе и описании в магазине.
Пользователь может в любой момент изменить или отозвать доступы через
системные настройки устройства, что может повлиять на работу отдельных
функций Мобильного приложения.
4. Push-уведомления и аналитика
Мобильное приложение может отправлять push-уведомления, чтобы
информировать Пользователя о действиях и событиях в сервисе.
Цели уведомлений:
- подтверждение действий (регистрация, вход, транзакции);
-
системные и технические сообщения (изменения, обновления,
безопасность);
-
информационные уведомления (новые функции, лимиты, статусы операций);
- промо-акции – только при отдельном согласии Пользователя.
Пользователь может в любой момент
отключить push-уведомления через настройки телефона
(iOS / Android).
Данные для аналитики:
- технические события (запуск приложения, время сессии, ошибки);
-
обезличенные метрики использования (экраны, нажатия, взаимодействие с
интерфейсом);
-
сведения о типе устройства, операционной системе и версии приложения.
Аналитика используется исключительно для улучшения стабильности и
удобства работы Мобильного приложения и не включает персональные данные,
платежную информацию или содержимое аккаунта Пользователя.
5. Кому и какие данные могут быть переданы, цель передачи, основание и
меры защиты?
| Кому передается |
Персональные данные |
Цель передачи |
Основание |
Меры защиты |
| Банки второго уровня РК |
- Фамилия, имя и отчество (при его наличии)
- Индивидуальный идентификационный номер (ИИН)
- Абонентский номер
- Адрес электронной почты (e-mail)
-
Транзакционные данные – дата и время транзакции, стоимость,
валюта, позиции выбранных товаров (работ, услуг)
-
Реквизиты платежной карточки (PAN, срок действия, владелец
карты и CVV только в момент авторизации транзакции)
|
Осуществление платежей |
Договор |
Организационные меры:
- Ограничение доступа к персональным данным.
-
Допуск к обработке персональных данных только уполномоченных
сотрудников и контрагентов, подписавших соглашение о
конфиденциальности (условия о конфиденциальности).
Технические меры:
-
Осуществление передачи данных только по защищенным каналам
связи с использованием технологий шифрования (SSL/TLS).
-
Обработка данных в соответствии со стандартом PCI DSS.
-
Использование серверов, защищенных от несанкционированного
доступа, и с ограниченным доступом авторизованными лицами.
|
|
Поставщики товара (работ, услуг), чьи товары (работы, услуги)
оплачивает Пользователь
|
- Фамилия, имя и отчество (при его наличии)
- Индивидуальный идентификационный номер (ИИН)
- Абонентский номер
- Адрес электронной почты (e-mail)
-
Транзакционные данные – дата и время транзакции, стоимость,
валюта, позиции выбранных товаров (работ, услуг)
|
Договор |
|
Международные платежные системы (например, Visa или Mastercard)
|
-
Транзакционные данные – дата и время транзакции, стоимость,
валюта
-
Реквизиты платежной карточки (PAN, срок действия, владелец
карты и CVV только в момент авторизации транзакции)
|
Правила МПС |
| Государственные органы |
- Фамилия, имя и отчество (при его наличии)
- Индивидуальный идентификационный номер (ИИН)
- Абонентский номер
- Адрес электронной почты (e-mail)
-
Транзакционные данные – дата и время транзакции, стоимость,
валюта, позиции выбранных товаров (работ, услуг)
-
Реквизиты платежной карточки (PAN, срок действия, владелец
карты)
- IP
- Push-токен
- ID устройства
- Содержимое запроса
|
Соблюдение требований законодательства РК |
Законодательство РК и запрос |
Организационные меры:
- Ограничение доступа к персональным данным.
-
Передача персональных данных только на основании официальных
запросов, оформленных в соответствии с законодательством РК.
-
Допуск к обработке и передаче персональных данных только
уполномоченных сотрудников, подписавших соглашение о
конфиденциальности (условия о конфиденциальности).
-
Регистрация и документирование всех случаев передачи данных
государственным органам.
Технические меры:
-
Осуществление передачи данных только по защищенным каналам
связи с использованием технологий шифрования (SSL/TLS).
-
Проверка подлинности запросов посредством электронной
подписи и официальных каналов связи.
-
Обработка данных в соответствии со стандартом PCI DSS.
-
Использование серверов, защищенных от несанкционированного
доступа, и с ограниченным доступом авторизованных лиц.
|
6. Трансграничная передача данных
В целях проведения и авторизации платежных операций персональные данные
Пользователя (ФИО, реквизиты карты, данные транзакций) могут
передаваться в Международные платежные системы (далее – «МПС») Visa,
Mastercard, UnionPay и иные партнерские организации.
Передача осуществляется на защищенные сервера, расположенные в странах,
обеспечивающих надлежащий уровень защиты данных, включая США,
Великобританию, Бельгию, Сингапур и Китай с соблюдением требований
законодательства РК.
МПС сертифицированы по стандарту PCI DSS и ISO/IEC 27001. Передача
данных осуществляется по зашифрованным каналам связи (TLS) и только в
объеме, необходимом для проведения транзакций.
Компания заключает договоры и применяет стандартные договорные положения
(Standard Contractual Clauses) либо иные правовые механизмы,
обеспечивающие защиту персональных данных в соответствии с требованиями
законодательства РК.
7. Как хранятся и защищаются данные?
Персональные данные хранятся на серверах, расположенных на территории
РК, а также в защищенных облачных хранилищах, обеспечивающих уровень
безопасности не ниже установленного законодательством РК и
международными стандартами.
Данные сохраняются в зашифрованном виде, доступ к ним имеют только
уполномоченные сотрудники в пределах служебной необходимости.
Меры защиты данных:
-
ограничение доступа к персональным данным на основе принципа
необходимости;
-
использование современных технологий шифрования при хранении и
передаче данных;
- регулярное проведение аудитов информационной безопасности;
-
применение организационных и технических мер, соответствующих
требованиям системы управления информационной безопасностью (СУИБ), а
также международных стандартов ISO/IEC 27001 и PCI DSS.
8. Права Пользователя
Пользователь вправе:
-
знать о наличии у Компании персональных данных Пользователя, получать
информацию, содержащую подтверждение факта, цели, источников, способов
сбора и обработки персональных данных; перечень персональных данных;
сроки обработки персональных данных, в том числе сроки их хранения;
-
требовать от Компании изменения и дополнения персональных данных
Пользователя при наличии подтверждающих документов;
- требовать блокирование персональных данных Пользователя;
- требовать уничтожение персональных данных Пользователя;
- отозвать согласие на сбор и обработку персональных данных;
-
ограничить использование своих данных, получить их копию или перенести
в другой сервис, возразить против обработки данных, а также
потребовать, чтобы решения, затрагивающие его (например,
автоматические проверки или отклонения операций), принимались с
участием человека;
-
иные права, предусмотренные Законом РК «О персональных данных и их
защите».
9. Порядок удаления данных и отзыва согласия
Пользователь имеет право запросить уничтожение своих персональных
данных, направив обращение в Компанию по контактным данным, указанным в
настоящей Политике.
В случае отказа в уничтожении персональных данных Пользователь вправе
обратиться в уполномоченный государственный орган по защите прав
субъектов персональных данных.
Компания уничтожает персональные данные в следующих случаях:
- истечение срока хранения или достижение цели обработки;
- отзыв Пользователем согласия на обработку персональных данных;
-
обращение Пользователя с запросом на уничтожение персональных данных,
если иное не предусмотрено законодательством РК;
-
установление факта обработки данных с нарушением законодательства;
-
вступившее в силу решение суда или уполномоченного органа об
уничтожении данных.
Порядок уничтожения персональных данных:
-
Персональные данные удаляются из всех баз данных Компании и резервных
копий с использованием специализированного программного обеспечения,
исключающего возможность их восстановления.
-
Материальные носители, содержащие персональные данные, подлежат
безвозвратному уничтожению.
-
Уничтожение персональных данных осуществляется в срок не позднее 30
календарных дней с момента достижения цели обработки или получения
запроса Пользователя, если иное не предусмотрено законодательством РК.
10. Контактные данные и ответственное лицо (DPO)
По вопросам обработки и защиты персональных данных, а также для
направления запросов, отзывов согласия или жалоб, Пользователь может
обратиться в Компанию по контактному email и телефону:
support@ioka.kz
+7 701 540 18 02
Ответственное лицо (DPO): руководитель Компании.
Обращения рассматриваются в срок, установленный законодательством РК.
В случае несогласия с ответом Компании или бездействием по запросу
Пользователь вправе обратиться в уполномоченный государственный орган по
защите прав субъектов персональных данных.
11. Изменения и актуализация политики
Мы оставляем за собой право изменять настоящую Политику
конфиденциальности в любое время в соответствии с требованиями
законодательства РК.
Дата последнего обновления указывается внизу документа.
12. Термины и определения
Персональные данные — информация, относящаяся к
определенному или определяемому на их основании Пользователю,
зафиксированная на электронном, бумажном и (или) ином материальном
носителе.
Обработка - действия, направленные на накопление,
хранение, изменение, дополнение, использование, распространение,
обезличивание, блокирование и уничтожение персональных данных.
Оператор - Компания, осуществляющая сбор, обработку и
защиту персональных данных.
Субъект персональных данных – Пользователь, физическое
лицо, к которому относятся персональные данные.
Разрешения устройства – системные настройки мобильной
операционной системы (iOS/Android), предоставляющие приложению доступ к
функциям и данным устройства (например, камера, микрофон, геолокация,
фото/файлы, Bluetooth, уведомления). Разрешения запрашиваются
приложением и могут быть в любой момент изменены пользователем в
настройках устройства.
Трансграничная передача - передача персональных данных
на территорию иностранных государств.