1.1. Настоящая Политика конфиденциальности и согласие на обработку персональных данных (далее – «Политика») разработаны в соответствии с законодательством Кыргызской Республики, включая нормы о персональных данных, финансовом мониторинге и противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма, а также с учётом международных стандартов FATF.

1.2. Оператором персональных данных является ОсОО «Байтэкс КейДжи», ИНН 02412202410046, лицензированный поставщик услуг виртуальных активов (ПУВА) №164, действующий на территории Кыргызской Республики.

1.3. Политика распространяется на всех пользователей сайта bytex.kg, Личного кабинета, мобильных и веб-интерфейсов ByteX KG, а также на клиентов, с которыми заключены договоры об оказании услуг по покупке, продаже и обмену виртуальных активов и сопутствующих сервисов.

1.4. Используя сервисы ByteX KG, вы подтверждаете, что ознакомлены с настоящей Политикой, понимаете её содержание и даёте своё согласие на обработку персональных данных в объёме и на условиях, изложенных ниже.

2.1. «Персональные данные» – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

2.2. «Обработка персональных данных» – любое действие (операция) или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

2.3. «Клиент / Пользователь» – физическое или юридическое лицо, использующее сервисы ByteX KG или заключившее договор с ByteX KG.

2.4. «Личный кабинет» – защищённый раздел платформы ByteX KG, доступ к которому осуществляется после регистрации и прохождения процедур KYC/AML.

2.5. Другие термины используются в значении, определённом законодательством Кыргызской Республики, а также нормативными требованиями уполномоченных государственных органов.

3.1. ByteX KG обрабатывает персональные данные на основе следующих принципов:

• законность цели и способов обработки;
• добросовестность и прозрачность обработки;
• соразмерность и минимизация данных – сбор ровно того объёма данных, который необходим для целей обработки;
• точность и актуальность персональных данных;
• ограничение сроков хранения – не дольше, чем это требуется целями обработки и законом;
• обеспечение надлежащего уровня безопасности, включая меры по защите от несанкционированного доступа, утраты, изменения и распространения;
• отделение данных, обрабатываемых для различных целей, в разумных случаях и при необходимости.

4.1. В рамках предоставления услуг ByteX KG может обрабатывать следующие категории данных:

• Идентификационные данные: фамилия, имя, отчество (при наличии), дата рождения, гражданство, пол, данные документа, удостоверяющего личность (серия, номер, кем и когда выдан, срок действия), идентификационный номер налогоплательщика или аналогичный идентификатор, адрес регистрации и проживания.
• Контактные данные: номера телефонов, адреса электронной почты, почтовые адреса, данные мессенджеров, иные указанные пользователем реквизиты для связи.
• Финансовые данные: реквизиты банковских счетов, сведения о транзакциях, сведения о происхождении средств (source of funds / source of wealth), данные о платежах и выписках, предоставленных клиентом.
• Данные для KYC/AML: анкеты, ответы на вопросы комплаенса, подтверждающие документы (справки о доходах, договоры, документы о собственности), результаты проверок по санкционным и иным спискам.
• Технические данные: IP-адрес, параметры устройства и браузера, данные cookies и аналогичных технологий, лог-файлы операций в Личном кабинете.
• Иные данные, добровольно предоставленные клиентом для целей исполнения договора и исполнения требований законодательства.

4.2. В отдельных случаях и при наличии законных оснований ByteX KG может обрабатывать биометрические данные (например, в рамках процедур удалённой идентификации и проверки likeness при восстановлении доступа или подтверждении операций). В таких случаях обрабатываются только те данные, которые необходимы для идентификации, и на основании отдельного согласия/условий.

5.1. ByteX KG обрабатывает персональные данные клиентов и пользователей для следующих целей:

• заключение и исполнение договоров по предоставлению услуг по покупке, продаже, обмену и хранению виртуальных активов, а также сопутствующих финтех-сервисов;
• проведение процедур KYC/AML, идентификация и верификация клиентов, оценка и управление рисками, выполнение требований законодательства о противодействии легализации (отмыванию) доходов и финансированию терроризма;
• обработка платежей, зачисление средств на расчётный счёт ByteX KG, проведение расчётов по операциям и формирование документов (квитанций, отчётов, актов и т.д.);
• ведение внутренних учётных систем, журналов операций, логов безопасности и систем мониторинга для целей защиты сервиса и доказательственной базы при спорах;
• информационное обслуживание клиентов, включая отправку уведомлений о статусе операций, изменениях условий обслуживания, рисках и важных событиях;
• улучшение качества продуктов и интерфейсов (в том числе посредством анализа обезличенных или агрегированных данных);
• исполнение требований уполномоченных государственных органов и регуляторов, а также исполнение судебных актов и законных требований третьих лиц;
• маркетинговые и аналитические цели – только при наличии отдельного согласия клиента и с возможностью в любой момент отказаться от таких коммуникаций.

5.2. Правовыми основаниями обработки персональных данных являются:

• заключение и исполнение договоров между ByteX KG и клиентом;
• выполнение обязанностей, возложенных на ByteX KG законодательством Кыргызской Республики и требованиями уполномоченных органов;
• законные интересы ByteX KG, связанные с обеспечением безопасности сервиса, защитой прав и законных интересов компании и клиентов, предотвращением мошенничества и злоупотреблений;
• согласие субъекта персональных данных – в случаях, когда такое согласие требуется законодательством или выбранной моделью обработки.

6.1. Персональные данные могут поступать в ByteX KG из следующих источников:

• непосредственно от клиента при регистрации, заполнении анкет, загрузке документов и использовании сервиса;
• от банков и платёжных организаций при проведении платежей и идентификации транзакций;
• от внешних провайдеров KYC/AML и систем проверки документов, санкционных и иных списков (в рамках заключённых договоров и при соблюдении требований к защите данных);
• из открытых и общедоступных источников, если это не нарушает закон и необходимо для выполнения требований по ПОД/ФТ и управлению рисками.

6.2. ByteX KG не осуществляет скрытый сбор персональных данных и не использует данные, полученные незаконным путём.

7.1. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если более длительный срок хранения не предусмотрен законодательством Кыргызской Республики или международными стандартами по финансовому мониторингу.

7.2. Как правило, ByteX KG хранит данные клиента в течение срока действия договора и не менее установленного законом срока после его прекращения. Для целей финансового мониторинга и отчётности такой срок может составлять до 5 (пяти) и более лет, если это прямо предусмотрено нормативными актами.

7.3. По истечении сроков хранения персональные данные подлежат удалению или обезличиванию таким образом, чтобы исключалась возможность идентификации субъекта без непропорциональных усилий.

8.1. ByteX KG может передавать персональные данные третьим лицам исключительно в следующих случаях:

• банкам и платёжным организациям – для проведения платежей, возвратов, расследования спорных операций;
• провайдерам KYC/AML-сервисов – для проведения идентификации, верификации и скрининга клиентов;
• аудиторам, консультантам и иным профессиональным советникам – в объёме, необходимом для оказания соответствующих услуг и при условии соблюдения режима конфиденциальности;
• уполномоченным государственным органам и регуляторам – при наличии законного основания и в объёме, предусмотренном законодательством;
• иным лицам – на основании отдельного согласия субъекта персональных данных либо в случаях, предусмотренных законом.

8.2. При передаче данных третьим лицам ByteX KG обеспечивает заключение договоров, содержащих требования по защите и конфиденциальности персональных данных не ниже уровня, предусмотренного действующим законодательством и внутренними политиками ByteX KG.

8.3. В случаях, когда обработка или хранение персональных данных осуществляется за пределами Кыргызской Республики (трансграничная передача), ByteX KG обеспечивает соблюдение требований законодательства о трансграничной передаче данных и, при необходимости, получает отдельное согласие субъекта персональных данных.

9.1. Субъект персональных данных имеет право:

• получать информацию о наличии у ByteX KG своих персональных данных и способах их обработки;
• запрашивать доступ к своим персональным данным и получать их копии, за исключением случаев, когда это ограничено законом или правами третьих лиц;
• требовать уточнения, обновления или исправления своих персональных данных, если они являются неполными или неточными;
• требовать блокирования или удаления персональных данных при наличии оснований, предусмотренных законодательством;
• отозвать согласие на обработку персональных данных – в части обработки, основанной исключительно на согласии, если иное не вытекает из закона или обязательных требований по ПОД/ФТ;
• возражать против обработки персональных данных для целей прямого маркетинга;
• обращаться с жалобами в ByteX KG и/или в уполномоченные государственные органы в случае нарушения своих прав.

9.2. Для реализации своих прав субъект персональных данных может направить обращение в ByteX KG по контактам, указанным на сайте bytex.kg в разделе «Контакты». ByteX KG вправе запросить дополнительные сведения и документы, подтверждающие личность заявителя.

10.1. Как лицензированный поставщик услуг виртуальных активов, ByteX KG обязан осуществлять мероприятия по идентификации клиентов, мониторингу операций и управлению рисками в соответствии с законодательством Кыргызской Республики и международными стандартами FATF.

10.2. Для этих целей ByteX KG может:

• проводить углублённую проверку клиента (enhanced due diligence), запрашивая подтверждающие документы и дополнительные сведения;
• анализировать операции клиента, сопоставляя их с профилем и заявленными источниками доходов;
• использовать специализированные внешние системы для скрининга по санкционным, террористическим и иным рисковым спискам;
• приостанавливать операции, отказывать в их проведении или прекращать отношения с клиентом, если выявлены признаки подозрительной деятельности;
• направлять информацию о подозрительных операциях в уполномоченные органы в случаях и порядке, предусмотренных законом.

10.3. Обработка персональных данных для целей KYC/AML является обязательной и не может быть прекращена по простому отзыву согласия, если иное не допускается законодательством.

11.1. Сайт и интерфейсы ByteX KG могут использовать файлы cookies и аналогичные технологии (пиксели, web-beacons и т.п.) для:

• обеспечения корректной работы сервисов и сохранения сессии пользователя;
• защиты от мошенничества и несанкционированного доступа;
• анализа использования сервиса и улучшения пользовательского опыта;
• показа релевантной информации и уведомлений.

11.2. Пользователь может ограничить или отключить использование cookies в настройках браузера, однако в этом случае часть функциональности сервиса может быть недоступна.

12.1. ByteX KG применяет организационные и технические меры защиты персональных данных, соответствующие характеру и уровню рисков, включая, но не ограничиваясь:

• использование защищённых каналов передачи данных и криптографических средств;
• разграничение прав доступа к системам и данным по принципу «необходимого знания»;
• ведение журналов действий пользователей и сотрудников, системный контроль доступа;
• регулярное тестирование и оценку эффективности мер по обеспечению безопасности;
• обучение сотрудников требованиям конфиденциальности и информационной безопасности;
• выбор и аудит поставщиков услуг с учётом их соответствия требованиям защиты данных.

12.2. Несмотря на предпринимаемые меры, ни один способ передачи данных через Интернет или способ их электронного хранения не может быть гарантированно безопасным. Клиент также обязан соблюдать разумные меры предосторожности, в том числе не передавать свои учетные данные и не использовать скомпрометированные устройства.

13.1. Сервисы ByteX KG ориентированы на совершеннолетних пользователей, обладающих полной дееспособностью в соответствии с законодательством страны своего проживания.

13.2. ByteX KG сознательно не собирает и не обрабатывает персональные данные лиц, не достигших возраста, установленного для заключения подобных договоров. При обнаружении таких случаев данные подлежат удалению или обработке в соответствии с требованиями закона.

14.1. Нажимая кнопку регистрации, входя в Личный кабинет, ставя отметку (чекбокс) о согласии с условиями сервиса, а также продолжая использовать сервисы ByteX KG, вы подтверждаете, что:

• ознакомлены с настоящей Политикой, её содержание вам понятно;
• даёте ByteX KG своё согласие на обработку персональных данных в объёме, целях и на условиях, указанных в данной Политике;
• подтверждаете законность источников предоставляемых данных и их достоверность.

14.2. Согласие предоставляется на срок действия договорных отношений с ByteX KG и на период хранения данных, предусмотренный законодательством и настоящей Политикой.

14.3. Вы вправе отозвать согласие на обработку персональных данных, обратившись в ByteX KG по указанным на сайте контактам. При этом вы уведомлены, что:

• отзыв согласия не влияет на законность обработки, осуществлённой до момента отзыва;
• отзыв согласия может сделать невозможным дальнейшее оказание услуг;
• отдельные данные могут продолжать обрабатываться в объёме и сроки, требуемые законом (в том числе для целей KYC/AML и финансовой отчётности).

15.1. ByteX KG вправе вносить изменения в настоящую Политику в одностороннем порядке в случаях:

• изменения законодательства Кыргызской Республики или международных стандартов;
• изменения продуктов, сервисов и внутренних процедур ByteX KG;
• по требованию уполномоченных государственных органов или регуляторов;
• в иных случаях, когда это необходимо для корректной и безопасной работы сервиса.

15.2. Актуальная редакция Политики всегда доступна на сайте bytex.kg. Продолжая пользоваться сервисами после изменения Политики, вы подтверждаете своё согласие с обновлённой редакцией.

16.1. По вопросам обработки персональных данных, реализации прав субъекта персональных данных, а также по инцидентам, связанным с конфиденциальностью и безопасностью данных, вы можете обратиться в ByteX KG по контактам, указанным на сайте bytex.kg в разделе «Контакты».

16.2. ByteX KG рассмотрит обращение в разумный срок и предоставит ответ в порядке, предусмотренном действующим законодательством.