Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:
1. Внести в постановление Правления Национального Банка Республики Казахстан от 28 ноября 2019 года № 217 "Об утверждении Правил предоставления микрокредитов электронным способом" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 19714) следующие изменения и дополнения:
в Правилах предоставления микрокредитов электронным способом, утвержденных указанным постановлением:
в пункте 2:
подпункт 1) изложить в следующей редакции:
"1) автоматизированная информационная система – информационная система микрокредитования, автоматизирующая предоставление микрокредитов электронным способом в организации, осуществляющей микрофинансовую деятельность;";
подпункт 6) исключить;
пункты 6, 7, 9, 34 и 35 изложить в следующей редакции:
"6. Для регистрации в личном кабинете клиент - физическое лицо вводит (прикрепляет) следующие данные:
фамилию, имя, отчество (при его наличии), указанные в документе, удостоверяющем личность, за исключением свидетельства о рождении;
индивидуальный идентификационный номер;
номер и срок действия документа, удостоверяющего личность, за исключением свидетельства о рождении;
абонентский номер устройства сотовой связи;
фотография лица в анфас на светлом фоне, с нейтральным выражением лица и закрытым ртом.
Для регистрации в личном кабинете клиент - юридическое лицо вводит (прикрепляет) следующие данные (документы в сканированном виде):
приказ о назначении руководителя исполнительного органа юридического лица или доверенность, подтверждающая полномочия лица, уполномоченного подписывать договор о предоставлении микрокредита;
фамилию, имя, отчество (при его наличии), указанные в документе, удостоверяющем личность, за исключением свидетельства о рождении, лица, уполномоченного подписывать договор о предоставлении микрокредита;
бизнес идентификационный номер клиента - юридического лица;
индивидуальный идентификационный номер лица, уполномоченного подписывать договор о предоставлении микрокредита;
номер и срок действия документа, удостоверяющего личность, за исключением свидетельства о рождении, лица, уполномоченного подписывать договор о предоставлении микрокредита;
абонентский номер устройства сотовой связи клиента - юридического лица;
фотография клиента в анфас на светлом фоне, с нейтральным выражением лица и закрытым ртом, уполномоченного подписывать договор о предоставлении микрокредита.
Организация, осуществляющая микрофинансовую деятельность, для подтверждения регистрации клиента осуществляет сверку данных, предоставленных:
клиентом - физическим лицом: фамилию, имя, отчество (при его наличии), индивидуальный идентификационный номер и фотографию клиента;
клиентом - юридическим лицом: фамилию, имя, отчество (при его наличии) и фотографию лица, указанные в документе, удостоверяющим личность, за исключением свидетельства о рождении, лица, уполномоченного подписывать договор о предоставлении микрокредита.
При регистрации клиента в личном кабинете применяется биометрическая идентификация посредством использования услуг ЦОИД или по биометрическим данным, полученным посредством устройств организации, осуществляющей микрофинансовую деятельность и электронная цифровая подпись клиента, представленная аккредитованным удостоверяющим центром Республики Казахстан.
После регистрации клиента в личном кабинете последующий допуск клиента к личному кабинету осуществляется путем генерации и (или) ввода паролей или с использованием не менее одного из аутентификационных признаков (токенов, смарт-карт, одноразовых паролей).
Внесение изменений в данные об абонентском номере устройства сотовой связи клиента или реквизитов банковского счета (за исключением предоставления микрокредитов посредством терминалов), осуществляется в личном кабинете клиента с применением биометрической идентификации посредством использования услуг ЦОИД или с использованием биометрических данных клиента, полученных при регистрации клиента посредством устройств организации, осуществляющей микрофинансовую деятельность и электронной цифровой подписи клиента, представленной аккредитованным удостоверяющим центром Республики Казахстан.
В личном кабинете не подлежат изменению данные об индивидуальном идентификационном номере или бизнес-идентификационном номере клиента.";
"7. Личный кабинет должен предоставлять клиенту возможность осуществления следующих, но не ограничиваясь ими, действий:
1) подача клиентом заявления на получение микрокредита;
2) просмотр сведений об организации, осуществляющей микрофинансовую деятельность (юридический и (или) фактический адрес, контактные телефоны, факс, адрес электронной почты и другие сведения), сведений о первом руководителе (фамилия, имя, отчество (при его наличии) организации, осуществляющей микрофинансовую деятельность;
3) просмотр договора (договоров) клиента о предоставлении микрокредита (до и после заключения договора);
4) просмотр информации о ходе и результатах рассмотрения заявления клиента на получение микрокредита;
5) просмотр информации о сумме текущей задолженности клиента по микрокредиту (микрокредитам), предстоящих и фактических платежах клиента, в том числе о сумме основного долга, вознаграждения, неустойки (штрафов, пени);
6) просмотр информации о способах погашения микрокредита клиентом;
7) обмен письмами (сообщениями) между клиентом и организацией, осуществляющей микрофинансовую деятельность.";
"9. Заключение договора о предоставлении микрокредита, внесение изменений и дополнений в договор о предоставлении микрокредита электронным способом между организацией, осуществляющей микрофинансовую деятельность, и клиентом осуществляется с применением биометрической идентификации посредством использования услуг ЦОИД или с использованием биометрических данных клиента, полученных при регистрации клиента посредством устройств организации, осуществляющей микрофинансовую деятельность и электронной цифровой подписи клиента, представленной аккредитованным удостоверяющим национальным удостоверяющим центром Республики Казахстан.
Предоставление микрокредита электронным способом осуществляется путем перевода денег с банковского счета организации, осуществляющей микрофинансовую деятельность, на банковский счет (платежную карточку) клиента, а также посредством выдачи клиенту наличных денег через терминал или кассу и (или) перевода микрокредита по заявлению заемщика на банковский счет юридического лица, с которым у организации, осуществляющей микрофинансовую деятельность, заключен договор, предусматривающий оплату за приобретаемый товар или выполненные работы, услуги заемщиком.
В случае невозможности идентификации принадлежности банковского счета или платежной карты клиенту перевод денег не осуществляется.
Перевод микрокредита по заявлению заемщика на банковский счет юридического лица, с которым у организации, осуществляющей микрофинансовую деятельность, заключен договор, предусматривающий оплату за приобретаемый товар или выполненные работы, услуги заемщиком, осуществляется с применением биометрической идентификации посредством использования услуг ЦОИД или с использованием биометрических данных клиента, полученных при регистрации клиента посредством устройств организации, осуществляющей микрофинансовую деятельность.
Предоставление заемщику микрокредита через кассу осуществляется путем проведения визуальной идентификации клиента, получающего наличные деньги, с документом, удостоверяющим его личность (за исключением свидетельства о рождении) либо данными, подтверждающими (идентифицирующими) личность клиента, полученными посредством сервиса цифровых документов, а также предоставления доверенности, подтверждающей полномочия лица, уполномоченного на получение денег, в случае предоставления микрокредита клиенту – юридическому лицу.";
"34. Организация, осуществляющая микрофинансовую деятельность, обеспечивает безопасное хранение электронных сообщений и иных документов, предоставленных клиенту и полученных от него, а также полученных в ходе биометрической идентификации клиента данных с соблюдением их целостности и конфиденциальности в течение не менее пяти лет после прекращения обязательств сторон по договору о предоставлении микрокредита.
Хранение электронных сообщений, данных и иных документов осуществляется в том формате, в котором они были сформированы, отправлены клиенту или получены от него.";
"35. При биометрической идентификации обеспечивается защита от использования статичного изображения или видеозаписи для подделки биометрических данных клиента путем проверки выполнения клиентом в ходе биометрической идентификации неповторяющихся последовательностей контрольных движений.";
дополнить пунктами 36 и 37 следующего содержания:
"36. В случае наличия у организации, осуществляющей микрофинансовую деятельность, информации о незаконном распространении персональных данных клиента микрофинансовая организация реализует дополнительные меры безопасности, включая, но не ограничиваясь:
1) повторную биометрическую идентификацию клиента;
2) проверку принадлежности клиенту его абонентского номера путем сверки индивидуального идентификационного номера клиента с индивидуальным идентификационным номером владельца абонентского номера в базе данных оператора мобильной связи или получения информации о принадлежности клиенту данного абонентского номера путем сверки индивидуального идентификационного номера клиента в базе номеров мобильных телефонов клиентов посредством веб-портала "электронного правительства";
3) проверочный звонок на указанный клиентом абонентский номер устройства сотовой связи клиента с информированием клиента о похищении его персональных данных и рекомендацией по установлению клиентом добровольного отказа на оформление кредитов.
"37. В случае предоставления доступа третьим лицам к автоматизированной информационной системе или размещения серверных мощностей организации, осуществляющей микрофинансовую деятельность, в сторонних центрах обработки данных (использования внешних сервисов обработки и(или) хранения данных) организацией, осуществляющей микрофинансовую деятельность, предпринимаются следующие меры обеспечения информационной безопасности:
1) отражение в соответствующем соглашении, договоре с третьим лицом требований по защите автоматизированных информационных систем организации, осуществляющей микрофинансовую деятельность, и права проверки организацией, осуществляющей микрофинансовую деятельность исполнения таких требований, а также условий о возмещении ущерба, возникшего вследствие нарушения информационной безопасности и работоспособности автоматизированных информационных систем;
2) исключение возможности доступа третьих лиц к информации, передача которой третьим лицам не допускается в соответствии с гражданским, банковским законодательством Республики Казахстан, законодательством Республики Казахстан о микрофинансовой деятельности, законодательством Республики Казахстан о персональных данных и их защите. Для этих целей применяется метод хранения информации в зашифрованном виде с раскрытием информации на стороне организации, осуществляющей микрофинансовую деятельность. При этом ключ шифрования хранится в организации, осуществляющей микрофинансовую деятельность.".
2. Департаменту информационной и кибербезопасности Агентства Республики Казахстан по регулированию и развитию финансового рынка в установленном законодательством Республики Казахстан порядке обеспечить:
1) совместно с Юридическим департаментом Агентства Республики Казахстан по регулированию и развитию финансового рынка государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;
2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;
3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент Агентства Республики Казахстан по регулированию и развитию финансового рынка сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.
3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.
4. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
|
Председатель Агентства Республики Казахстан по регулированию и развитию финансового рынка |
М. Абылкасымова |
