ПОЛОЖЕНИЕ О КОНФИДЕНЦИАЛЬНОСТИ

У Т В Е Р Ж Д Е Н О

15.04.2025 г.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение о конфиденциальности (далее – Положение) разработано в соответствии с законодательством Республики Узбекистан, включая Закон Республики Узбекистан «О противодействии легализации доходов, полученных от преступной деятельности, финансированию терроризма и финансированию распространения оружия массового уничтожения», Правила внутреннего контроля по противодействию легализации доходов, полученных от преступной деятельности, финансированию терроризма и финансированию распространения оружия массового уничтожения для лиц, осуществляющих деятельность в области оборота крипто-активов, Правила осуществления торгов крипто-активами на крипто-бирже, и иные нормативно-правовые акты, регулирующие вопросы обработки и защиты персональных данных.

1.2. Положение определяет порядок и условия сбора, обработки, хранения, передачи и защиты персональных данных клиентов и иных участников операций, осуществляемых на крипто-бирже.

1.3. Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.4. В настоящем Положении используются следующие основные понятия:

Крипто-биржа – ООО «ASTERIUM», получившее лицензию на осуществление деятельности крипто-биржи в установленном порядке, обеспечивающее организацию торгов крипто-активами.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ) в том числе трансграничную, обезличивание, блокирование, удаление, уничтожение персональных данных.

Клиент – физическое или юридическое лицо, пользующееся услугами крипто-биржи.

Бенефициарный собственник – физическое лицо, которое в конечном итоге владеет правами собственности или контролирует клиента, в том числе юридическое лицо, в интересах которого совершается операция с денежными средствами или иным имуществом.

2. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Персональные данные собираются и обрабатываются крипто-биржей в следующих целях:

2.1.1. Идентификация и верификация клиентов и их бенефициарных собственников;

2.1.2. Установление и поддержание договорных отношений с клиентами;

2.1.3. Предоставление доступа к электронной платформе крипто-биржи;

2.1.4. Осуществление операций по покупке, продаже и/или обмену крипто-активов;

2.1.5. Проведение клиринга и взаиморасчетов по крипто-биржевым сделкам;

2.1.6. Выполнение обязательств крипто-биржи по противодействию легализации доходов, полученных от преступной деятельности, финансированию терроризма и финансированию распространения оружия массового уничтожения;

2.1.7. Исполнение требований законодательства, в том числе в части налогообложения;

2.1.8. Выявление, пресечение и предотвращение мошеннических и иных противоправных действий;

2.1.9. Коммуникация с клиентами по вопросам оказания услуг;

2.1.10. Улучшение качества предоставляемых услуг и работы электронной платформы крипто-биржи.

3. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. В зависимости от категории субъекта персональных данных, крипто-биржа может собирать и обрабатывать следующие персональные данные:

3.1.1. Для физических лиц:

• Фамилия, имя и отчество;

• Дата и место рождения;

• Идентификационный номер налогоплательщика или персональный идентификационный номер физического лица;

• Данные о гражданстве;

• Место постоянного и/или временного проживания;

• Реквизиты документа, удостоверяющего личность (номер и серия документа, дата выдачи и наименование органа, выдавшего документ);

• Номер мобильного телефона;

• Адрес электронной почты и иные контактные данные;

• Финансовые данные, необходимые для осуществления операций;

• Информация об источнике происхождения денежных средств;

• Данные о статусе публичного должностного лица (при наличии);

• Адрес крипто-кошелька;

• Информация о совершаемых операциях с крипто-активами.

3.1.2. Для индивидуальных предпринимателей:

• Все персональные данные, указанные в пункте 3.1.1;

• Сведения о государственной регистрации в качестве индивидуального предпринимателя;

• Информация о видах осуществляемой деятельности;

• Информация об имеющихся лицензиях на осуществление видов деятельности, подлежащих лицензированию.

3.1.3. Для юридических лиц:

• Полное, а также сокращенное наименование;

• Информация о государственной регистрации: дата, номер, наименование регистрирующего органа;

• Идентификационный номер налогоплательщика;

• Местонахождение (почтовый адрес);

• Информация об имеющихся лицензиях: вид деятельности, номер и дата выдачи лицензии, кем выдана, срок действия;

• Данные об идентификации физического лица, действующего от имени юридического лица;

• Информация об учредителях (акционерах, участниках) и об их долевых участиях в уставном фонде (капитале);

• Информация о величине зарегистрированного и оплаченного уставного фонда (капитала);

• Информация об органах управления (структура и персональный состав);

• Номера телефонов;

• Персональные данные бенефициарных собственников в соответствии с пунктом 3.1.1.

3.2. Крипто-биржа не осуществляет сбор и обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, за исключением случаев, предусмотренных законодательством.

4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных осуществляется на основании согласия клиента на обработку его персональных данных, за исключением случаев, предусмотренных законодательством.

4.2. Согласие на обработку персональных данных может быть дано клиентом или его представителем в любой форме, позволяющей подтвердить факт его получения, включая:

• Письменную форму;

• Электронную форму при регистрации учетной записи (аккаунта);

• Конклюдентные действия при использовании электронной платформы крипто-биржи.

• Акцептом публичной оферты

• Иными способами

4.3. Крипто-биржа вправе поручить обработку персональных данных третьему лицу на основании заключаемого с этим лицом договора, при условии соблюдения таким лицом принципов и правил обработки персональных данных, предусмотренных законодательством.

4.4. Крипто-биржа осуществляет идентификацию и верификацию клиентов и бенефициарных собственников с использованием надежных источников информации и документов в соответствии с законодательством о противодействии легализации доходов, полученных от преступной деятельности, финансированию терроризма и финансированию распространения оружия массового уничтожения.

4.5. Крипто-биржа применяет усиленные меры по надлежащей проверке клиентов, отнесенных к категории высокого уровня риска, в том числе публичных должностных лиц, членов их семей и лиц, близких к публичным должностным лицам.

4.6. Крипто-биржа вправе осуществлять с согласия клиентов аудио- или видеозапись переговоров с ними, в том числе запись переписок, и хранить такую информацию не менее 5 лет.

4.7. Крипто-биржа не устанавливает отношения с:

• Несовершеннолетними лицами;

• Лицами, включенными в перечень лиц, участвующих или подозреваемых в участии в террористической деятельности либо распространении оружия массового уничтожения, в соответствии с законодательством о противодействии легализации доходов, полученных от преступной деятельности, финансированию терроризма и финансированию распространения оружия массового уничтожения.

4.8. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таких средств.

4.9. Крипто-биржа принимает необходимые меры для уточнения неполных или неточных персональных данных.

4.10. Крипто-биржа обязана регулярно (не реже одного раза в год) обновлять данные, получаемые в ходе надлежащей проверки клиентов, и поддерживать их в актуальном состоянии.

5. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Крипто-биржа вправе передавать персональные данные клиентов и иных субъектов персональных данных третьим лицам в следующих случаях:

5.1.1. Передача персональных данных в специально уполномоченный государственный орган (Департамент по борьбе с экономическими преступлениями при Генеральной прокуратуре Республики Узбекистан) о подозрительных операциях, выявленных в ходе осуществления внутреннего контроля, не позднее одного рабочего дня, следующего за днем их выявления;

5.1.2. Передача персональных данных в Национальное агентство перспективных проектов Республики Узбекистан в рамках осуществления им мониторинга и контроля за соблюдением крипто-биржей требований законодательства;

5.1.3. По запросам правоохранительных, судебных или иных государственных органов в случаях, предусмотренных законодательством;

5.1.4. В целях осуществления клиринга и взаиморасчетов по сделкам, заключенным на крипто-бирже;

5.1.5. С согласия субъекта персональных данных или в иных случаях, предусмотренных законодательством.

5.2. При передаче персональных данных третьим лицам крипто-биржа обязана:

5.2.1. Передавать персональные данные только в объеме, необходимом для достижения целей передачи;

5.2.2. Требовать от третьих лиц соблюдения конфиденциальности передаваемых персональных данных;

5.2.3. Обеспечивать безопасность передаваемых персональных данных с использованием технических и организационных мер защиты.

5.3. Предоставляя свои персональные данные крипто-бирже, клиент подтверждает свое полное и безоговорочное согласие на все виды их обработки, использования и передачи, предусмотренные законодательством о персональных данных, включая трансграничную передачу и хранение.

6. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством или договором.

6.2. Крипто-биржа обязана хранить информацию об операциях с крипто-активами, денежными средствами или иным имуществом, а также идентификационные данные и материалы по надлежащей проверке клиентов, включая деловую переписку, результаты любого проведенного анализа, в течение сроков, установленных законодательством, но не менее пяти лет после осуществления операций или прекращения отношений с клиентами.

6.3. Персональные данные хранятся в электронном виде и/или на бумажных носителях.

6.4. Электронные версии документов, содержащих персональные данные, должны архивироваться программным способом, записываться на электронные носители информации и храниться ответственным сотрудником вместе с их описью в несгораемом и опечатываемом сейфе.

6.5. Документы на бумажных носителях, содержащие персональные данные, хранятся в специально обустроенном помещении или в несгораемом и опечатываемом сейфе с ограниченным доступом.

6.6. Крипто-биржа обеспечивает резервное копирование всех данных о совершенных клиентами сделках (операциях) по завершении каждого дня.

7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Крипто-биржа принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2. К таким мерам относятся:

7.2.1. Назначение ответственного сотрудника за организацию обработки и защиты персональных данных;

7.2.2. Издание внутренних документов, определяющих политику крипто-биржи в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства;

7.2.3. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных, включая:

• Определение угроз безопасности персональных данных при их обработке;

• Применение средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства;

• Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;

• Установление правил доступа к персональным данным;

• Контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

7.2.4. Обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;

7.2.5. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

7.2.6. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

7.3. Доступ к персональным данным клиентов имеют только те сотрудники крипто-биржи, которым такой доступ необходим для выполнения их должностных обязанностей.

7.4. Сотрудники крипто-биржи, имеющие доступ к персональным данным, обязаны:

• Не разглашать персональные данные, полученные в процессе выполнения своих функций;

• Не использовать полученную информацию в личных целях или интересах третьих лиц;

• Обеспечивать сохранность и возврат документов, полученных в ходе осуществления внутреннего контроля;

• Соблюдать требования настоящего Положения и иных локальных актов крипто-биржи в области защиты персональных данных.

8. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Субъект персональных данных имеет право:

8.1.1. На получение информации, касающейся обработки его персональных данных;

8.1.2. На уточнение, блокирование или уничтожение его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

8.1.3. На отзыв своего согласия на обработку персональных данных, если такое согласие было дано;

8.1.4. На обжалование действий или бездействия крипто-биржи в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

8.1.5. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

8.1.6. Другие права, предусмотренные законодательством.

8.2. Субъект персональных данных вправе обратиться в крипто-биржу с запросом о предоставлении ему информации об обработке его персональных данных. Крипто-биржа обязана предоставить такую информацию в течение 15 дней с момента получения запроса.

9. УВЕДОМЛЕНИЕ О НАРУШЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. В случае обнаружения нарушения безопасности персональных данных, которое привело или может привести к неправомерному доступу, уничтожению, изменению, блокированию, копированию, предоставлению, распространению персональных данных, крипто-биржа обязана:

9.1.1. Незамедлительно принять меры по устранению нарушения и минимизации возможного ущерба;

9.1.2. Уведомить уполномоченный орган по защите прав субъектов персональных данных о нарушении в порядке, установленном законодательством;

9.1.3. Уведомить субъектов персональных данных, чьи персональные данные были затронуты нарушением, если такое нарушение создает высокий риск нарушения их прав и свобод.

9.2. Уведомление о нарушении безопасности персональных данных должно содержать информацию о характере нарушения, возможных последствиях и мерах, принятых для устранения нарушения и минимизации возможного ущерба.

10. ОТВЕТСТВЕННОСТЬ

10.1. Крипто-биржа и ее сотрудники несут ответственность за нарушение требований законодательства о персональных данных и настоящего Положения в соответствии с законодательством Республики Узбекистан.

10.2. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, могут быть привлечены к дисциплинарной, административной, гражданско-правовой или уголовной ответственности в порядке, установленном законодательством.

10.3. Руководитель крипто-биржи и ответственный сотрудник за нарушение настоящего Положения несут ответственность в соответствии с законодательством.

11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

11.1. Настоящее Положение вступает в силу с момента его утверждения руководителем крипто-биржи.

11.2. Крипто-биржа вправе вносить изменения и дополнения в настоящее Положение. Новая редакция Положения вступает в силу с момента ее утверждения руководителем крипто-биржи, если иное не предусмотрено новой редакцией Положения.

11.3. Действующая редакция Положения должна быть размещена на официальном сайте крипто-биржи в открытом доступе.

11.4. В случае изменения законодательства Республики Узбекистан в области персональных данных и противодействия легализации доходов, полученных от преступной деятельности, финансированию терроризма и финансированию распространения оружия массового уничтожения, настоящее Положение применяется в части, не противоречащей такому законодательству, до внесения соответствующих изменений.

11.5. Вопросы, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Республики Узбекистан.

Настоящий документ является интеллектуальной собственностью ООО «ASTERIUM». Любое копирование, распространение или использование данного документа полностью или частично без письменного разрешения ООО «ASTERIUM» запрещено и преследуется по закону.

© ООО «ASTERIUM», 2025 г.