Политика конфиденциальности

Политика в отношении обработки персональных данных

1 ВВЕДЕНИЕ

1.1 Настоящий документ определяет политику ТОО «ЭСПА ЭДК» (далее – Компания) в отношении обработки персональных данных (далее – ПДн).

1.2 Настоящая Политика разработана в соответствии с Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите», а также иными нормативно-правовыми актами Республики Казахстан в области защиты и обработки персональных данных.

1.3 Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передачи (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.

2 ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Сбор, обработка и защита персональных данных осуществляются в соответствии с принципами:

1)     соблюдения конституционных прав и свобод человека и гражданина;

2)     законности;

3)     конфиденциальности персональных данных ограниченного доступа;

4)     равенства прав субъектов, собственников и операторов;

5)     обеспечения безопасности личности, общества и государства.

3 УСЛОВИЯ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите».

Условия сбора, обработки персональных данных и особенности сбора, обработки персональных данных из общедоступных источников:

1)     Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом уполномоченным органом, за исключением случаев, предусмотренных пунктом 5 настоящей статьи и статьей 9 настоящего Закона.

2)     Сбор, обработка персональных данных умершего (признанного судом, безвестно отсутствующим или объявленного умершим) субъекта осуществляются в соответствии с законодательством Республики Казахстан.

3)     Распространение персональных данных в общедоступных источниках допускается при наличии согласия субъекта или его законного представителя.

4)     Требования пункта 3 настоящей статьи не распространяются на обладателей информации в случаях публикации информации, обязанность размещения которой установлена законами Республики Казахстан.

5)     Допускается повторный сбор, обработка и распространение третьими лицами персональных данных, опубликованных на основании пунктов 3 и 4 настоящей статьи, при условии наличия ссылки на источник информации.

6)     Обработка персональных данных в виде трансграничной передачи персональных данных, за исключением случаев, предусмотренных статьей 16 настоящего Закона, распространения персональных данных в общедоступных источниках, а также их передачи третьим лицам осуществляется при условии согласия субъекта.

7)     Особенности сбора, обработки персональных данных в электронных информационных ресурсах, содержащих персональные данные, устанавливаются в соответствии с законодательством Республики Казахстан об информатизации с учетом положений настоящего Закона.

8)     Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

9)     Не подлежат обработке персональные данные, содержание и объем которых являются избыточными по отношению к целям их обработки.

3.2  Субъект дает (отзывает) согласие на сбор, обработку персональных данных письменно, посредством негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия.

3.3 Субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства.

3.4 Собственники и (или) операторы, третьи лица в целях оптимизации процедур по получению согласия субъекта или его законного представителя на сбор и (или) обработку персональных данных в случае отсутствия взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, вправе использовать негосударственные сервисы.

Посредством негосударственного сервиса обеспечиваются:

1)     предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку персональных данных;

2)     уведомление субъекта о действиях с его персональными данными (просмотр, изменение, дополнение, передача, блокирование, уничтожение);

3)     уведомление субъекта о доступе третьих лиц к его персональным данным.

3.5 Доступ к персональным данным

1)     Доступ к персональным данным определяется условиями согласия субъекта или его законного представителя, предоставленного собственнику и (или) оператору на их сбор и обработку, если иное не предусмотрено законодательством Республики Казахстан.

2)     Доступ к персональным данным должен быть запрещен, если собственник и (или) оператор, и (или) третье лицо отказываются принять на себя обязательства по обеспечению выполнения требований настоящего Закона или не могут их обеспечить.

3)     Обращение (запрос) субъекта или его законного представителя относительно доступа к своим персональным данным подается собственнику и (или) оператору письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.

4)     Отношения между собственником и (или) оператором, и (или) третьим лицом относительно доступа к персональным данным регулируются законодательством Республики Казахстан.

5)     Третьи лица могут получать персональные данные, содержащиеся в объектах информатизации государственных органов и (или) государственных юридических лиц, через веб-портал "электронного правительства" при условии согласия субъекта, подтвержденного через государственный сервис.

3.6 Конфиденциальность персональных данных

1)     Собственники и (или) операторы, а также третьи лица, получающие доступ к персональным данным ограниченного доступа, обеспечивают их конфиденциальность путем соблюдения требований не допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания.

2)     Лица, которым стали известны персональные данные ограниченного доступа в связи с профессиональной, служебной необходимостью, а также трудовыми отношениями, обязаны обеспечивать их конфиденциальность.

3)     Конфиденциальность биометрических данных устанавливается законодательством Республики Казахстан.

3.7 Накопление и хранение персональных данных

1)     Накопление персональных данных производится путем сбора персональных данных, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом.

2)     Хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, находящейся на территории Республики Казахстан.

3)     Срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством Республики Казахстан.

3.8 Изменение и дополнение персональных данных

Изменение и дополнение персональных данных осуществляются собственником и (или) оператором на основании обращения (запроса) субъекта или его законного представителя либо в иных случаях, предусмотренных законами Республики Казахстан.

3.9 Использование персональных данных должно осуществляться собственником, оператором и третьим лицом только для ранее заявленных целей их сбора.

3.10 Распространение персональных данных

1)     Распространение персональных данных допускается при условии согласия субъекта или его законного представителя, если при этом не затрагиваются законные интересы иных физических и (или) юридических лиц.

2)     Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.

3.11 Трансграничная передача персональных данных

1)     Трансграничная передача персональных данных – передача персональных данных на территорию иностранных государств.

2)     В соответствии с настоящим Законом трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения этими государствами защиты персональных данных.

3)     Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:

·         наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных;

·         предусмотренных международными договорами, ратифицированными Республикой Казахстан;

·         предусмотренных законами Республики Казахстан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения;

·         защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно.

4)     Трансграничная передача персональных данных на территорию иностранных государств может быть запрещена или ограничена законами Республики Казахстан.

5)     Особенности трансграничной передачи служебной информации об абонентах и (или) пользователях услуг связи определяются Законом Республики Казахстан "О связи".

3.12 Обезличивание персональных данных

1)     При сборе, обработке персональных данных для проведения статистических, социологических, научных, маркетинговых исследований собственник и (или) оператор, а также третье лицо, передающие персональные данные, обязаны их обезличить в соответствии с правилами сбора, обработки персональных данных.

2)     При сборе, обработке персональных данных для осуществления аналитики данных в целях реализации государственными органами деятельности обезличивание персональных данных осуществляется оператором информационно-коммуникационной инфраструктуры "электронного правительства" в соответствии с требованиями по управлению данными, утвержденными уполномоченным органом по управлению данными, за исключением случаев, когда обезличивание персональных данных произведено собственником и (или) оператором.

3.13 Уничтожение персональных данных

Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом:

1)     по истечении срока хранения в соответствии с пунктом 2 статьи 12 настоящего Закона;

2)     при прекращении правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом;

3)     при вступлении в законную силу решения суда;

4)     при выявлении сбора и обработки персональных данных без согласия субъекта или его законного представителя, за исключением случаев, предусмотренных пунктом 5 статьи 7 и статьей 9 настоящего Закона;

5)     в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан.

3.14 Сообщение о действиях с персональными данными

1)     При наличии условия об уведомлении субъекта о передаче его персональных данных третьему лицу собственник и (или) оператор в течение десяти рабочих дней уведомляют об этом субъекта или его законного представителя, если иное не предусмотрено законами Республики Казахстан.

2)     Требования пункта 1 настоящей статьи не распространяются на случаи:

·         выполнения государственными органами своих функций, предусмотренных законодательством Республики Казахстан, а также осуществления деятельности частными нотариусами, частными судебными исполнителями и адвокатами;

·         осуществления сбора и обработки персональных данных в статистических, социологических или научных целях.

4 ОБЯЗАННОСТИ КОМПАНИИ

В соответствии с требованиями Закона Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» Компания обязана:

1)     Собственник и (или) оператор имеют право осуществлять сбор, обработку персональных данных в порядке, установленном настоящим Законом и иными нормативными правовыми актами Республики Казахстан.

2)     Собственник и (или) оператор обязаны:

·         утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан;

·         утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных;

·         принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;

·         соблюдать законодательство Республики Казахстан о персональных данных и их защите;

·         предоставлять по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований настоящего Закона;

·         принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;

·         представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;

·         по обращению субъекта сообщать информацию, относящуюся к нему, в сроки, предусмотренные законодательством Республики Казахстан;

·         в случае отказа в предоставлении информации субъекту или его законному представителю представить мотивированный ответ в сроки, предусмотренные законодательством Республики Казахстан;

·         в течение одного рабочего дня:

-         изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;

-         блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;

-         уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;

-         снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных;

·         предоставлять безвозмездно субъекту или его законному представителю возможность ознакомления с персональными данными, относящимися к данному субъекту;

·         назначить лицо, ответственное за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами.

·         Действие подпункта 10) части первой настоящего пункта не распространяется на обработку персональных данных в деятельности судов.

3)     Лицо, ответственное за организацию обработки персональных данных, обязано:

·         осуществлять внутренний контроль за соблюдением собственником и (или) оператором и его работниками законодательства Республики Казахстан о персональных данных и их защите, в том числе требований к защите персональных данных;

·         доводить до сведения работников собственника и (или) оператора положения законодательства Республики Казахстан о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных;

·         осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей.
5 МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

5.1 При обработке персональных данных Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.2 Обеспечение безопасности персональных данных достигается, в частности:
• определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Республики Казахстан уровни защищенности персональных данных;
• применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• учетом машинных носителей персональных данных;
• обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
• восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.