Политика в отношении обработки и защиты персональных данных

Утверждена приказом ТОО «MIG Capital Group» от 12 мая 2026 года · Редакция от 12 мая 2026 года

Настоящая Политика разработана ТОО «MIG Capital Group», БИН 250140023210 (далее — «Оператор»), и регулирует порядок сбора, обработки, хранения и защиты персональных данных пользователей сайта https://ahf.org.kz. Политика составлена в соответствии с:

• Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите»;
• Постановлением Правительства РК от 3 сентября 2013 года № 909 «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач»;
• Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2022 года № 395/НҚ «Об утверждении правил проведения мониторинга обеспечения сбора, обработки и защиты персональных данных»;
• Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан № 179/НҚ «Об утверждении правил по защите персональных данных»;
• Письмом Комитета по информационной безопасности МЦРИАП РК № ЖТ-2023-03797466 от 4 мая 2024 года.

1. Термины и определения

• Персональные данные (ПД) — сведения, относящиеся к определённому или определяемому на их основании субъекту персональных данных.
• Субъект — физическое лицо, к которому относятся персональные данные.
• Оператор — ТОО «MIG Capital Group», осуществляющее сбор, обработку и защиту персональных данных.
• Согласие — выражение свободной воли субъекта на сбор и обработку его персональных данных.
• КИБ — Комитет по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

2. Ответственное лицо за организацию обработки ПД

Приказом Оператора назначено ответственное лицо за организацию обработки персональных данных:

• ФИО: Манинова И.Г. (полные данные указаны во внутреннем приказе Оператора);
• Должность: Директор ТОО «MIG Capital Group»;
• E-mail для запросов: official@ahf.org.kz;
• Почтовый адрес: Республика Казахстан, г. Алматы.

Контактные данные ответственного лица переданы в КИБ МЦРИАП РК и используются при любом взаимодействии с регулятором, в том числе при инцидентах информационной безопасности.

3. Перечень собираемых персональных данных (необходимый и достаточный)

Перечень утверждён приказом Оператора и ограничивается данными, строго необходимыми для оформления членства в Almaty Hockey Federation и оказания связанных с ним услуг:

3.1. Идентификационные данные

• фамилия, имя, отчество (при наличии);
• дата рождения;
• индивидуальный идентификационный номер (ИИН);
• копия удостоверения личности или свидетельства о рождении (для несовершеннолетних).

3.2. Контактные данные

• номер мобильного телефона;
• адрес электронной почты;
• регион проживания.

3.3. Биометрические/изобразительные данные

• фотография субъекта (для удостоверения членства).

3.4. Медицинские данные

• медицинская справка о допуске к спортивной деятельности.

3.5. Спортивные данные (только для роли «спортсмен»)

• рост, вес;
• размер одежды и обуви;
• игровая позиция.

3.6. Платёжные сведения

• параметры транзакции (сумма, дата, валюта, способ оплаты, статус).

Полные реквизиты платёжных карт Оператору не передаются и обрабатываются непосредственно АО «Народный Банк Казахстана» в защищённой PCI DSS-сертифицированной среде.

3.7. Технические данные

• IP-адрес;
• тип браузера и операционной системы;
• идентификаторы cookie (см. Политику cookie);
• журнал страниц, посещённых пользователем на сайте.

4. Цели обработки персональных данных

1. оформление и подтверждение членства в Almaty Hockey Federation;
2. идентификация субъекта при оказании услуг и подаче заявок;
3. обработка платежей и возвратов в порядке, установленном законодательством РК;
4. информирование субъекта о мероприятиях, изменениях в условиях оказания услуг (только при наличии отдельного согласия);
5. исполнение требований законодательства Республики Казахстан;
6. обеспечение безопасности, предотвращение мошенничества и разрешение споров.

Обработка персональных данных для иных целей, не указанных в настоящем пункте, не осуществляется.

5. Правовое основание обработки

Обработка персональных данных осуществляется на основании:

• добровольного письменного согласия субъекта, оформленного на сайте путём проставления соответствующей отметки при регистрации (требование письма КИБ № ЖТ-2023-03797466 от 04.05.2024);
• необходимости исполнения договора, стороной которого является субъект (Публичный договор-оферта);
• обязанностей, предусмотренных законодательством РК.

6. Порядок получения согласия

Согласие субъекта на сбор и обработку персональных данных получается одним из следующих способов:

• электронное согласие через сайт — путём проставления галочки на форме регистрации с подтверждением ознакомления с настоящей Политикой и формой согласия («Согласие на сбор и обработку ПД»);
• собственноручно подписанное согласие — для офлайн-регистрации, по форме, утверждённой Оператором.

Согласие содержит: конкретные цели обработки, исчерпывающий перечень собираемых данных, срок действия согласия, информацию о правах субъекта, включая право на отзыв согласия.

7. Передача персональных данных третьим лицам

Оператор не продаёт и не передаёт персональные данные третьим лицам, за исключением случаев, когда передача необходима для исполнения договора, предусмотрена законодательством либо осуществлена с отдельного согласия субъекта:

• АО «Народный Банк Казахстана» — параметры платёжных транзакций для проведения операций интернет-эквайринга (без полных данных платёжных карт);
• Облачные провайдеры инфраструктуры — для хранения и обработки данных в соответствии с разделом 9 настоящей Политики;
• Уполномоченные государственные органы Республики Казахстан — по их законному требованию (КИБ МЦРИАП, правоохранительные органы, суды).

8. Сроки хранения

Персональные данные хранятся в течение срока действия членства и 5 (пяти) лет после его прекращения, после чего подлежат гарантированному уничтожению, за исключением случаев, когда более длительный срок хранения установлен законодательством Республики Казахстан.

Журналы доступа к персональным данным, журналы СУБД и подтверждения полученных согласий хранятся не менее 5 лет с момента совершения соответствующих действий.

9. Место хранения и трансграничная передача

Согласно требованиям Закона РК «О персональных данных и их защите» Оператор обеспечивает хранение персональных данных граждан Республики Казахстан на территории Республики Казахстан.

До завершения миграции инфраструктуры на казахстанского облачного провайдера (запланирована на 2026 год) Оператор использует инфраструктуру Google LLC (Firebase, регион europe-west) исключительно для технического хранения учётных записей с принятием дополнительных компенсирующих мер защиты: шифрование данных «at rest» и «in transit», ограничение доступа на уровне Security Rules, аудит обращений. Каждый субъект уведомляется об этом в форме Согласия и даёт отдельное согласие на трансграничную передачу либо отказывается от такой передачи с возможностью альтернативного оформления членства в офлайн-режиме.

10. Меры защиты персональных данных

Оператор применяет правовые, организационные и технические меры, предусмотренные приказом № 179/НҚ «Об утверждении правил по защите персональных данных»:

• шифрование передаваемых данных по протоколу HTTPS (TLS 1.3) на всех страницах сайта;
• использование защищённых сервисов аутентификации и хранения с шифрованием на уровне хранилища;
• разграничение прав доступа к данным с использованием ролевой модели (Firebase Security Rules);
• проведение платежей в защищённой среде платёжного шлюза, сертифицированного по стандарту PCI DSS;
• применение технологии 3D Secure (Verified by Visa, Mastercard SecureCode) для всех онлайн-платежей;
• ведение журналов доступа, действий администраторов и платёжных транзакций;
• назначение ответственного лица за организацию обработки и защиты ПД (см. раздел 2);
• утверждение и регулярная актуализация внутренних документов: политики, перечня собираемых ПД, порядка получения согласий, мер защиты;
• инструктаж сотрудников и подрядчиков, имеющих доступ к ПД.

11. Права субъекта персональных данных

В соответствии со ст. 24 Закона РК «О персональных данных и их защите» субъект имеет право:

• знать о наличии у Оператора своих персональных данных;
• получать сведения о составе данных, источниках получения, целях и сроках обработки;
• требовать изменения и дополнения своих персональных данных при наличии оснований;
• требовать блокирования или уничтожения своих персональных данных в случае их неполноты, недостоверности либо при отзыве согласия;
• отзывать согласие на сбор и обработку персональных данных;
• обжаловать действия (бездействие) Оператора в КИБ МЦРИАП РК или в судебном порядке.

Запросы о реализации указанных прав направляются на e-mail official@ahf.org.kz. Срок рассмотрения запроса — не более 15 рабочих дней.

12. Уведомление об инцидентах информационной безопасности

В случае выявления инцидента, повлёкшего или способного повлечь неправомерный доступ к персональным данным, Оператор в течение 1 (одного) рабочего дня уведомляет КИБ МЦРИАП РК и затронутых субъектов в порядке, установленном законодательством Республики Казахстан.

13. Использование файлов cookie

Сайт использует файлы cookie и аналогичные технологии. Подробное описание состава cookie, целей их использования и порядка управления приведено в отдельном документе «Политика использования cookie».

14. Изменения Политики

Оператор вправе изменять настоящую Политику. Актуальная редакция размещается по адресу https://ahf.org.kz/ru/legal/privacy с указанием даты редакции. Существенные изменения дополнительно доводятся до субъектов через сайт и/или электронную почту.

15. Контакты

Оператор: ТОО «MIG Capital Group», БИН 250140023210
Адрес: Республика Казахстан, г. Алматы
E-mail: official@ahf.org.kz
Сайт: https://ahf.org.kz