Политика конфиденциальности
Политика конфиденциальности («Политика») определяет порядок обработки и защиты персональных данных различных категорий субъектов персональных данных («субъекты»), за исключением работников, уволенных работников и родственников работников[1], Товариществом с ограниченной ответственностью «Диджидент Казахстан», адрес: Республика Казахстан, г. Алматы, ул. Сатпаева, 30А, н.п.213 («Компания»).
Политика конфиденциальности может быть изменена Компанией. Новая редакция Политики конфиденциальности вступает в силу с момента ее размещения в публичном доступе.
Цели, категории и основания обработки персональных данных
В Компании могут обрабатываться персональные данные исключительно в целях, для которых они были собраны или получены. В частности, Компания может обрабатывать персональные данные для достижения целей, указанных в Приложении 1.
Персональные данные могут обрабатываться Компанией также в иных целях, установленных утвержденным Перечнем персональных данных, обрабатываемых Компанией (далее – Перечень персональных данных).
В Перечне персональных данных для каждой цели обработки в т.ч. определены:
- категории субъектов, чьи персональные данные обрабатываются Компанией;
- перечень категорий обрабатываемых персональных данных;
- правовые основания обработки персональных данных;
- способы обработки персональных данных;
- сроки обработки (хранения) персональных данных;
- порядок уничтожения персональных данных.
Перечень персональных данных подлежит пересмотру лицом, ответственным за организацию обработки персональных данных Компании не реже одного раза в год и по мере необходимости при изменении процессов обработки персональных данных с целью обеспечения точности, достоверности и актуальности персональных данных, в том числе по отношению к целям обработки персональных данных.
Компания вправе в указанных целях вносить персональные данные в информационные системы, хранить и обрабатывать любыми не противоречащими законодательству способами. По достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством, либо иное отдельно не согласовано сторонами, обрабатываемые персональные данные подлежат уничтожению.
В Компании не обрабатываются биометрические данные, а также сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни субъектов персональных данных.
Обработка персональных данных в целях, указанных выше, осуществляется Компанией на следующих законных основаниях:
- заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект,
- с согласия субъекта персональных данных,
- для выполнения функций и обязанностей, возложенных на Компания применимым законодательством,
- для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта.
Принципы обработки персональных данных
При обработке персональных данных Компания руководствуется Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» («Закон о персональных данных»).
Компания обрабатывает персональные данные на основании следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях – и актуальность по отношению к целям обработки персональных данных, принимаются необходимые меры по удалению или уточнению неполных или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта или иного субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, согласием на обработку, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект;
- обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
- обработка персональных данных не используется в целях причинения имущественного и/или морального вреда субъектам, затруднения реализации их прав и свобод.
Условия обработки персональных данных
Обработка информации осуществляется Компанией в соответствии с настоящей Политикой, внутренними актами Компании, а также законодательством Республики Казахстан.
Обработка информации осуществляется Компанией, а также иными третьими лицами, которые привлекаются Компанией к обработке, или которым передаются персональные данные в указанных целях в соответствии с законодательством Республики Казахстан. К числу подобных третьих лиц, в частности, могут относиться:
- аффилированные бизнесы группы, в том числе их дочерние бизнесы, в целях обеспечения внутригруппового взаимодействия и корпоративного управления,
- контрагенты Компании, оказывающие услуги поддержки используемых информационных систем, хостинга, юридические, аудиторские, иные услуги, приобретаемые Компанией в указанных выше целях;
- государственные/муниципальные органы власти в случаях, установленных законодательством.
Компания имеет право привлекать третьих лиц к обработке полученных персональных данных и/или передавать им полученные данные, а также получать от них данные в указанных целях без дополнительного согласия субъекта при условии обеспечения указанными третьими лицами конфиденциальности и безопасности персональных данных при обработке. Допускается обработка персональных данных указанными третьими лицами с использованием и без использования средств автоматизации, а также совершение ими любых действий по обработке персональных данных, не противоречащих законодательству Республики Казахстан. Обработка персональных данных третьим лицом может осуществляться только на основании договора, в котором определены перечень действий (операций), которые будут осуществляться с персональными данными, и цели обработки, а также положения по обеспечению безопасности персональных данных, в том числе требования не раскрывать и не распространять персональные данные без согласия субъекта, если иное не предусмотрено законодательством Республики Казахстан.
В Компании запрещено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы.
Компания не размещает персональные данные в общедоступных источниках без письменного согласия субъекта.
Меры по обеспечению безопасности персональных данных
Компания обязуется принимать необходимые правовые, организационные и технические меры для защиты получаемых персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, представления, распространения персональных данных, иных неправомерных действий в отношении персональных данных, и соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных и иными соответствующими нормативными актами.
К мерам обеспечения безопасности ПД в Компании относятся, в том числе, следующие:
- учет обрабатываемых в Компании категорий и перечня персональных данных, категорий субъектов, персональные данные которых обрабатываются, сроков хранения и порядка уничтожения таких персональных данных;
- учет машинных носителей персональных данных и информационных систем Компании, в которых обрабатываются персональные данные;
- определение необходимого уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных Компании;
- определение угроз безопасности персональных данных при их обработке в информационных системах;
- определение и внедрение перед введением новых процессов обработки персональных данных и новых информационных систем персональных данных технических и организационных мер, обеспечивающих защиту персональных данных;
- осуществление и документирование оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о Персональных данных, соотношение указанного вреда и принимаемых Компанией мер;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета действий, совершаемых с персональными данными в информационных системах;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- обнаружение фактов несанкционированного доступа к персональным данным и других инцидентов, принятие мер по ликвидации и митигации последствий;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- учет должностей работников Компании, доступ которых к персональным данным, обрабатываемым как с использованием, так и без использования средств автоматизации, необходим для выполнения служебных (трудовых) обязанностей;
- обеспечение ознакомления под роспись работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Казахстан о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой и иными локальными актами Компании по вопросам обработки и защиты персональных данных, обучение работников Компании;
- контроль и оценка эффективности применяемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- осуществление регулярного внутреннего контроля/аудита соответствия обработки и обеспечения безопасности персональных данных действующему законодательству Республики Казахстан в области обработки и обеспечения безопасности персональных данных.
В Компании назначено лицо, ответственное за организацию обработки персональных данных.
Во внутренних документах, обязательных для исполнения всеми работниками Компании, а также в соответствующих соглашениях с партнерами, контрагентами и прочими третьими лицами в части, их касающейся, определяются:
- процедуры предоставления доступа к информации;
- процедуры внесения изменений в персональные данные с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки;
- процедуры уничтожения либо блокирования персональных данных в случае необходимости выполнения такой процедуры;
- процедуры обработки обращений и субъектов персональных данных (их законных представителей) для случаев, предусмотренных Законом о персональных данных, в частности порядок подготовки информации о наличии персональных данных, относящихся к конкретному субъекту, информации, необходимой для предоставления возможности ознакомления субъектом (его законными представителями) с его персональными данными, а также процедуры обработки обращений об уточнении персональных данных, их блокировании или уничтожении, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки;
- процедуры обработки запроса уполномоченного органа по защите прав субъектов персональных данных;
- процедуры получения согласия субъекта персональных данных на обработку Персональных данных;
- процедуры передачи персональных данных третьим лицам;
- процедуры работы с материальными носителями персональных данных;
- процедуры, необходимые для осуществления уведомления уполномоченного органа по защите прав субъектов персональных данных в сроки, установленные Законом о персональных данных.
При сборе персональных данных Компания обеспечивает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных граждан Республики Казахстан с использованием баз данных, находящихся на территории Республики Казахстан.
Права субъектов персональных данных и контакты по вопросам обработки персональных данных
При обработке персональных данных субъекты вправе:
- запросить информацию, касающуюся обработки их персональных данных,
- потребовать уточнения, уничтожения или блокирования их персональных данных, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки,
- отозвать предоставленные Компании согласия на обработку персональных данных,
- обжаловать действия Компании в административном или судебном порядке.
В случае возникновения любых вопросов и обращений касательно обработки персональных данных, в частности для отзыва согласия на обработку персональных данных, субъект вправе обратиться по адресу электронной почты info@digident.com либо направить письменное обращение по адресу: Республика Казахстан, г. Алматы, ул. Сатпаева, 30А, н.п.213.
Компания отвечает на запросы субъектов в сроки, установленные Республики Казахстан.
[1] Информация об обработке персональных данных в иных целях и/или иных категорий субъектов персональных данных доводится Компанией до субъектов персональных данных путем ознакомления с иными локальными нормативными актами, в частности Положением об обработке персональных данных, доступными в офисе Компании или предоставляемые Компанией в ином порядке.
Политику необходимо разместить в футере сайта, где сейчас предусмотрена формулировка и ссылка на Политику.
Приложение к Политике конфиденциальности