Защита персональных данных

ПОЛИТИКА ТОО «Veritate Kazakhstan» 


В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ


1. Общие положения
1.1. Настоящая Политика (далее - Политика) определяет общие принципы и порядок обработки персональных данных и меры по обеспечению их безопасности в Товарищества с ограниченной ответственностью «Veritate Kazakhstan» (далее - Товарищество).
1.2. Политика разработана в соответствии с Законом Республики Казахстан от 21 мая 2013 года N 94-V «О персональных данных и их защите», другими законодательными и нормативными правовыми актами, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.
1.3. В Политике используются следующие термины и определения:
   • биометрические данные – персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность;
   • персональные данные (ПД) – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
   • блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
   • накопление персональных данных – действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;
   • сбор персональных данных – действия, направленные на получение персональных данных;
   • уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные;
   • обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;
   • база, содержащая персональные данные (далее – база), – совокупность упорядоченных персональных данных;
   • собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
   • оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
   • защита персональных данных – комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных действующим законодательством;
   • уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;
   • сервис обеспечения безопасности персональных данных – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов с субъектом, включая получение от субъекта согласия на сбор, обработку персональных данных или их передачу третьим лицам, в том числе путем реализации данного взаимодействия собственниками и (или) операторами самостоятельно;
   • обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
   • использование персональных данных – действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;
   • хранение персональных данных – действия по обеспечению целостности, конфиденциальности и доступности персональных данных;
   • распространение персональных данных – действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;
   • субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные;
   • третье лицо – лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных.

2. Статус Товарищества и категории субъектов, персональные данные которых обрабатываются Товариществом
2.1. Товарищество является оператором в отношении персональных данных следующих категорий физических лиц:
работников Товарищества (и, при необходимости, ПД родственников работников), с которыми у Товарищества заключены или были заключены трудовые договоры, включая бывших работников, с которыми трудовые договоры расторгнуты (далее - Работники);
   • соискателей вакантных должностей Товарищества (кандидаты на трудоустройство в Товарищество), представивших свои резюме или анкеты, содержащие персональные данные, лично или через специализированные организации по подбору персонала (кадровые агентства), в том числе через специализированные сайты в сети интернет (далее - Соискатели);
   • работников контрагентов Товарищества для предоставления доступа к необходимым информационным системам Товарищества (далее – Работники контрагентов);
   • контрагентов-индивидуальных предпринимателей, оказывающих Товариществу возмездные услуги в соответствии с договорами гражданско-правового характера (далее - Контрагенты-индивидуальные предприниматели);
   • покупателей продукции Товарищества (далее - Покупатели), физические лица, осуществляющие покупки в интернет-магазине Товарищества;
   • неавторизованных (анонимных) посетителей сайта  Veritate-cosmetics.kz , заходящих на сайт с целью просмотра продукции Товарищества (далее – Пользователи);
   • представителей субъектов персональных данных, обращающихся в Товарищество по поручению и от имени субъектов персональных данных (далее - Представители субъектов);
   • посетителей Товарищества для обеспечения возможности их прохода на охраняемую территорию Товарищества, контроля их убытия из охраняемых помещений (далее - Посетители).
2.2. Товарищество является лицом, осуществляющим предоставление персональных данных другим операторам в соответствии с требованиями законодательства, к которым относятся без ограничения:
   • органы власти и государственные внебюджетные фонды, страховые организации;
   • операторы связи, которым сообщаются сведения о пользователях корпоративных услуг связи (фиксированная и мобильная телефония, доступ в сеть Интернет) в соответствии с требованиями законодательства;
   • военные комиссариаты, которым персональные данные предоставляются (передаются) в случаях, предусмотренных законодательством. При этом органам власти, государственным внебюджетным фондам, операторам связи, военным комиссариатам и профсоюзным органам персональные данные предоставляются (передаются) в объеме, определенном законодательством, соответствующими органами власти и государственными внебюджетными фондами в пределах их полномочий. Специального согласия субъектов на такую передачу персональных данных не требуется.

3. Принципы сбора, обработки и защиты персональных данных
3.1. Сбор, обработка и защита персональных данных осуществляются в соответствии с принципами:
3.1.1. соблюдения конституционных прав и свобод человека и гражданина;
3.1.2. законности;
3.1.3. конфиденциальности персональных данных ограниченного доступа;
3.1.4. равенства прав субъектов, собственников и операторов;
3.1.5. обеспечения безопасности личности, общества и государства.

4. Условия сбора, обработки персональных данных
4.1. Сбор, обработка персональных данных осуществляются Товариществом, с согласия субъекта или его законного представителя.
4.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
4.3. Не подлежат обработке персональные данные, содержание и объем которых являются избыточными по отношению к целям их обработки.
4.4. Целями обработки персональных данных Товариществом являются:
   • в отношении Работников, в том числе бывших (и, при необходимости, ПД родственников работников) - исполнение заключенных трудовых договоров, в том числе содействие в обучении и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, расчет и выплата заработной платы, иных вознаграждений, расчет и перечисление налогов и страховых взносов; предоставление Работникам дополнительных услуг за счет работодателя (пенсионное страхование, перечисление доходов на платежные карты работников); выполнение требований нормативных правовых актов органов государственного статистического учета; предоставление работникам льгот и гарантий, предусмотренных законодательством для лиц, имеющих (усыновивших) детей, лиц с семейными обязанностями; выполнение требований Трудового кодекса РК об информировании родственников о несчастных случаях;
   • в отношении Соискателей – подбор лиц, наиболее полно соответствующих требованиям Товарищества;
   • в отношении Работников контрагентов – заключение и исполнение договоров с контрагентами, предоставление доступа к необходимым информационным системам Компании;
   • в отношении Контрагентов-индивидуальных предпринимателей - заключение и исполнение гражданско-правовых договоров в целях реализации продукции, исполнение договорных обязательств Товарищества;
   • в отношении Покупателей интернет-магазина Товарищества с целью предоставления возможности приобрести продукцию;
   • в отношении Пользователей, посетителей сайта  Veritate-cosmetics.kz- с целью облегчения посетителям навигации по сайту, получения аналитических данных о посещениях и улучшения работы сайта;
   • в отношении Представителей субъектов - выполнение Товариществом действий по поручению представителей субъектов персональных данных;
   • в отношении Посетителей - обеспечение возможности прохода в охраняемые помещения Товарищества, контроль их убытия из охраняемых помещений.

5. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных
5.1. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, в форме электронного документа или посредством сервиса обеспечения безопасности персональных данных либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.
5.2. Субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства.
5.3. Субъект вправе дать согласие на сбор, обработку персональных данных через кабинет пользователя при регистрации на сайте Товарищества путем их предоставления.

6. Доступ к персональным данным
6.1. Доступ к персональным данным определяется условиями согласия субъекта или его законного представителя, предоставленного собственнику и (или) оператору на их сбор и обработку.
6.2. Обращение (запрос) субъекта или его законного представителя относительно доступа к своим персональным данным подается собственнику и (или) оператору письменно.
6.3. Отношения между собственником и (или) оператором, и (или) третьим лицом относительно доступа к персональным данным регулируются законодательством Республики Казахстан.

7. Конфиденциальность персональных данных
7.1. Товарищество, получающее доступ к персональным данным ограниченного доступа, обеспечивают их конфиденциальность путем соблюдения требований не допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания.

8. Накопление и хранение персональных данных
8.1. Накопление персональных данных производится путем сбора персональных данных, необходимых и достаточных для выполнения задач, осуществляемых Товариществом.
8.2. Хранение персональных данных осуществляется Товариществом в соответствии с законодательством РК.
8.3. Срок хранения персональных данных определяется датой достижения целей их сбора и обработки.

9. Изменение и дополнение персональных данных
9.1. Изменение и дополнение персональных данных осуществляются Товариществом на основании обращения (запроса) субъекта или его законного представителя либо в иных случаях, предусмотренных законами Республики Казахстан.

10. Использование персональных данных
10.1. Использование персональных данных должно осуществляться Товариществом только для ранее заявленных целей их сбора.

11. Распространение персональных данных
11.1. Распространение персональных данных допускается, если при этом не нарушаются права и свободы субъекта, а также не затрагиваются законные интересы иных физических и (или) юридических лиц.
11.2. Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.

12. Трансграничная передача персональных данных
12.1. Трансграничная передача персональных данных – передача персональных данных на территорию иностранных государств.
12.2. В соответствии действующим законодательством трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения этими государствами защиты персональных данных.
12.3. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться при наличии согласия субъекта или его законного представителя на трансграничную передачу его персональных данных;

13. Обезличивание персональных данных
13.1. При сборе, обработке персональных данных для проведения статистических, социологических, научных, маркетинговых исследований Товарищество обезличивает в соответствии с правилами сбора, обработки персональных данных.
    
14. Уничтожение персональных данных
14.1. Персональные данные подлежат уничтожению Товариществом:
14.1.1. по истечении срока хранения;
14.1.2. при прекращении правоотношений между субъектом и Товариществом;
14.1.3. при вступлении в законную силу решения суда;
14.1.4. в иных случаях, установленных действующим законодательством Республики Казахстан.

15. Гарантия защиты персональных данных
15.1. Персональные данные подлежат защите, которая гарантируется государством и осуществляется в порядке, определяемом Правительством Республики Казахстан.
15.2. Сбор и обработка персональных данных осуществляются только в случаях обеспечения их защиты.

16. Права и обязанности субъекта
16.1. Субъект имеет право:
16.1.1. знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
   • подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
   • перечень персональных данных;
   • сроки обработки персональных данных, в том числе сроки их хранения;
16.1.2. требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
16.1.3. требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
16.1.4. требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
16.1.5. отозвать согласие на сбор, обработку персональных данных, кроме случаев, предусмотренных действующим законодательством;
16.1.6. дать согласие Товариществу на распространение своих персональных данных в общедоступных источниках персональных данных;
16.1.7. на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
16.2. Субъект обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.

17. Права и обязанности Товарищества
17.1. Собственник и (или) оператор имеют право осуществлять сбор, обработку и трансграничную передачу персональных данных в порядке, установленном действующим законодательством Республики Казахстан.
17.2. Товарищество обязано:
17.2.1. утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач;
17.2.2. принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных;
17.2.3. соблюдать законодательство Республики Казахстан о персональных данных и их защите;
17.2.4. принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
17.2.5. представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;
17.2.6. сообщать информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан;
17.2.7. в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан;
17.2.8. в течение одного рабочего дня:
   • изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
   • блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
   • уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
   • снять блокирование персональных данных в случае не подтверждения факта нарушения условий сбора, обработки персональных данных;