Политика конфиденциальности
1. Общие положения
1.1. Политика в отношении обработки и защиты персональных данных в ТОО «MODISAL» (далее – Товарищество) в лице директора Аманғали Елнұр Манасұлы, действующего(-ей) на основании свидетельства о государственной регистрации, БИН 201040011297, определяет позицию и намерения Товарищества в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
1.2. Политика в отношении обработки и защиты персональных данных (далее – Политика) разработана в соответствии с Конституцией РК, Гражданским кодексом РК, Закона Республики Казахстан «О персональных данных и их защите» и иными нормативными правовыми актами Республики Казахстан.
1.3. Данный документ направлен на доведение до сведения субъектов персональных данных позиции и намерения Товарищества в области обработки и защиты персональных данных.
1.4. Целями Политики являются определение обработки и обеспечения безопасности персональных данных.
1.5. Политика распространяется на все бизнес процессы Товарищества и обязательна к выполнению всеми сотрудниками Товарищества.
1.6. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Товариществе с применением средств автоматизации и без применения таких средств.
1.7. Политика предназначена для изучения и неукоснительного исполнения руководителями и работниками всех структурных подразделений Товарищества, а также подлежит доведению до сведения лиц, состоящих в договорных, гражданско-правовых, трудовых и иных отношениях с Товариществом, партнеров и других заинтересованных сторон.
1.8. Политика является общедоступным документом.
2. Определения
2.1. Персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.
2.2. Оператор – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных.
2.3. Обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.
2.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.5. Распространение персональных данных – действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом.
2.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.7. Блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных.
2.8. Уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные.
2.9. Обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно.
2.10. Безопасность персональных данных – защищенность персональных данных от неправомерного и/или несанкционированного и/или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2.11. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.12. Биометрические персональные данные – персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность.
2.13. Сайт – совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети Интернет. Под Сайтом в Политике понимается Сайт, расположенный в сети Интернет по адресу: www.modisal.kz.
2.14. Машинный носитель – магнитный диск, магнитная лента, лазерный диск и иные материальные носители, используемые для записи и хранения информации с помощью электронно-вычислительной техники.
3. Субъекты персональных данных
3.1. Субъектами персональных данных, обрабатываемых Товариществом, являются:
3.2. Кандидаты на вакантные должности, включая кандидатов, заполняющих анкету кандидата на Интернет-ресурсе Товарищества..
3.3. Работники Товарищества, родственники работников Товарищества, в пределах определяемых законодательством Республики Казахстан, если сведения о них предоставляются работником.
3.4. Лица, входящие в органы управления Товарищества и не являющимися работниками.
3.5. Физические лица, с которыми Товариществом заключаются договоры гражданско-правового характера.
3.6. Представители юридических лиц – контрагентов Товарищества.
3.7. Контрагенты Товарищества – индивидуальные предприниматели.
3.8. Клиенты – потребители, в том числе посетители сайта, принадлежащего Товарищества: www.modisal.kz, в том числе с целью оформления заказа на Сайте с последующей доставкой клиенту, получатели услуг по доставке, сборке и иных услуг.
3.9. Физические лица, персональные данные которых обрабатываются в интересах третьих лиц – операторов персональных данных на основании договора (поручения операторов персональных данных).
4. Цели обработки персональных данных
4.1. Товарищество осуществляет обработку персональных данных субъектов в целях осуществления возложенных на Товарищество законодательством Республики Казахстан функций, полномочий и обязанностей в соответствии с законами, в том числе, но не ограничиваясь: Гражданским кодексом РК, Налоговым кодексом РК, Трудовым кодексом РК, Кодексом РК о браке (супружестве) и семье, Законом РК «О пенсионном обеспечении в Республике Казахстан», Законом РК «О персональных данных и их защите», Законом РК «О воинской службе и статусе военнослужащих», Законом РК «О Национальном архивном фонде и архивах», Законом РК «О товариществах с ограниченной и дополнительной ответственностью», Законом РК «О защите прав потребителей», Законом РК «О бухгалтерском учете и финансовой отчетности», Законом РК «Об обязательном социальном медицинском страховании», а также операторами персональных данных, уставом и локальными актами Товарищества.
4.2. Цель обработки персональных данных Работников – соблюдение трудового, налогового и пенсионного законодательства Республики Казахстан, а именно:
4.2.1. Организации кадрового учета Товарищества, ведения кадрового делопроизводства.
4.2.2. Содействие работникам в трудоустройстве, обучении и продвижении по службе.
4.2.3. Расчет и начисление заработной платы.
4.2.4. Исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, пенсионного законодательства, заполнения первичной статистической документации.
4.2.5. Организация деловых поездок (командировок) работников.
4.2.6. Оформление доверенностей (в том числе для представления интересов Товарищества перед третьими лицами).
4.2.7. Обеспечение личной безопасности работников.
4.2.8. Контроль количества и качества выполняемой работы.
4.2.9. Обеспечение сохранности имущества.
4.2.10. Соблюдение пропускного режима в помещениях Товарищества.
4.2.11. Учет рабочего времени.
4.2.12. Пользование различного вида компенсациями, льготами в соответствии с Трудовым кодексом РК, Налоговым кодексом РК, иными нормативными правовыми актами Республики Казахстан, а также локальными нормативными актами Товарищества, коллективным договором.
4.2.13. Заключение договоров в пользу работника.
4.2.14. Обязательное страхование жизни, здоровья и/или от несчастных случаев.
4.3. Цель обработки персональных данных родственников работников Товарищества:
4.3.1.Исполнение требований законодательства Республики Казахстан.
4.3.2. Предоставление дополнительных льгот.
4.3.3. Участие в корпоративных мероприятиях.
4.4. Цель обработки персональных данных кандидатов на вакантные должности – принятие решения о возможности заключения трудового договора с лицами, претендующими на открытые вакансии.
4.5. Цель обработки персональных данных лиц, входящих в органы управления Товариществом, не являющихся работниками – выполнение требований, предусмотренных законодательством Республики Казахстан, в том числе обязательное раскрытие информации, аудит, проверка возможности совершения сделок, в том числе сделок с заинтересованностью и/или крупных сделок.
4.6. Цель обработки персональных данных контрагентов – физических лиц – заключение и исполнение договора, одной из сторон которого является физическое лицо; рассмотрение возможностей дальнейшего сотрудничества.
4.7. Цель обработки персональных данных представителей юридических лиц – контрагентов Товарищества – ведения переговоров, заключение и исполнение договоров, по которым предоставляются персональные данные работников такого юридического лица для целей исполнения договора по различным направлениям хозяйственной деятельности Товарищества.
4.8. Цель обработки персональных данных физических лиц, персональные данные которых обрабатываются в интересах третьих лиц – операторов персональных данных на основании договора (поручения операторов персональных данных), – исполнение договоров – поручений операторов персональных данных.
4.9. Цель обработки персональных данных участников бонусных программ лояльности:
4.9.1. Предоставление информации по товарам, проходящим акциям, состоянию лицевого счета.
4.9.2. Идентификация участника в программе лояльности; обеспечение процедуры учета накопления и использования бонусов.
4.9.3. Исполнение Товариществом обязательств по программе лояльности.
4.10. Цель обработки персональных данных клиентов – потребителей:
4.10.1. Исполнение договора, включая договора розничной купли-продажи, в том числе заключенного дистанционным способом на Сайте.
4.10.2. Предоставление услуг по доставке, сборке и иных услуг, а также учета оказанных потребителю услуг для осуществления взаиморасчетов.
4.10.3. Доставка заказанного товара клиенту, совершившему заказ на Сайте, возврат товара.
4.10.4. Информирование о статусе заказа.
4.10.5. Предоставление информации по товарам/услугам, проходящим акциям и специальным предложениям.
4.10.6. Анализ качества предоставляемого Товариществом услуг, улучшению качества обслуживания клиентов Товарищества.
4.10.7. Рассмотрение и удовлетворение требований потребителей, заявленных в соответствии с Законом РК «О защите прав потребителей».
4.10.8. Организация и проведение Обществом программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов и иных мероприятий.
5. Принципы и условия обработки персональных данных
5.1. При обработке персональных данных Товарищество придерживается следующих принципов:
5.1.1. Обработка персональных данных осуществляется на законной и справедливой основе.
5.1.2. Персональные данные не раскрываются третьим лицам и не распространяются без согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством Республики Казахстан.
5.1.3. Определение конкретных законных целей до начала обработки (в том числе сбора) персональных данных.
5.1.4. Ведется сбор только тех персональных данных, которые являются необходимыми и достаточными для заявленной цели обработки.
5.1.5. Объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой не допускается.
5.1.6. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
5.1.7. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных персональных данных.
5.1.8. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.1.9. Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством Республики Казахстан.
5.2. Товарищество может включать персональные данные субъектов в общедоступные источники персональных данных, при этом Товарищество берет письменное согласие субъекта на обработку его персональных данных.
5.3. Товарищество не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.
5.4. Товарищество может осуществлять обработку данных о состоянии здоровья субъекта персональных данных в следующих случаях:
5.4.1. В соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Республики Казахстан о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях.
5.4.2. Для защиты жизни, здоровья или иных жизненно важных интересов работника либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональные данные невозможно.
5.4.3. Для установления или осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия;
5.4.4. В соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
5.4.5. В иных случаях, предусмотренных законодательством о персональных данных.
5.5. Товарищество не осуществляет трансграничную передачу персональных данных.
5.6. Товарищество вправе осуществлять передачу персональных данных третьим лицам в случаях, предусмотренных законодательством Республики Казахстан.
5.7. Товарищество вправе поручить обработку персональных данных субъектов персональных данных третьим лицам на основании заключаемого с этими лицами договора.
5.8. Лица, осуществляющие обработку персональных данных на основании заключаемого с Товариществом договора (поручения оператора), обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные законодательством РК. Для каждого третьего лица в договоре определяются перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, указываются требования к защите обрабатываемых персональных данных в соответствии с законодательством РК.
5.9. В целях исполнения требований действующего законодательства РК и своих договорных обязательств обработка персональных данных в Товариществе осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.10. В Товариществе запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством РК.
6. Права субъектов персональных данных
6.1. Субъект, персональные данные которого обрабатываются Товариществом, имеет право:
6.1.1. знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
- подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
- перечень персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения;
6.1.2. требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
6.1.3. требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
6.1.4. требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных нормативными правовыми актами Республики Казахстан;
6.1.5. отозвать согласие на сбор, обработку персональных данных, кроме случаев, предусмотренных Законом РК;
6.1.6. дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
6.1.7. на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
6.1.8. на осуществление иных прав, предусмотренных законами Республики Казахстан.
6.2. Субъект обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.
7. Обязанности Товарищества
7.1. утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан;
7.2. принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;
7.3. соблюдать законодательство Республики Казахстан о персональных данных и их защите;
7.4. принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных нормативными правовыми актами Республики Казахстан;
7.5. представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;
7.6. сообщать информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан;
7.7. в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан;
7.8. в течение одного рабочего дня:
7.8.1. изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
7.8.2. блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
7.8.3. уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных иными нормативными правовыми актами Республики Казахстан;
7.8.4. снять блокирование персональных данных в случае не подтверждения факта нарушения условий сбора, обработки персональных данных.
7.9. Работники Товарищества обязаны:
7.9.1. Ознакомиться с Политикой и внутренними документами, регламентирующими процесс обработки персональных данных, и выполнять требования этих документов.
7.9.2. Обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей.
7.9.3. Не разглашать персональные данные, к которым был получен доступ в рамках исполнения своих трудовых обязанностей.
7.9.4. Информировать работодателя о фактах разглашения (уничтожения, искажения) персональных данных.
8. Персональные данные, обрабатываемые Товариществом
8.1. Данные, полученные при осуществлении трудовых отношений.
8.2. Данные, полученные для осуществления отбора кандидатов на работу.
8.3. Данные, полученные при осуществлении гражданско-правовых отношений.
9. Основные требования к обработке персональных данных
9.1. Обработка персональных данных в Товариществе должна осуществляться с согласия субъекта персональных данных кроме случаев, когда такое согласие не требуется или же по поручению, в тех случаях когда Товарищество не является оператором персональных данных субъектов.
9.2. В случаях предусмотренных законодательством, обработка персональных данных осуществляется с согласия субъекта персональных данных, оформляемого в соответствии с законодательством Республики Казахстан.
9.3. В Товариществе ведется учет работников, допущенных к обработке персональных данных.
10. Требования к защите персональных данных
10.1. Товарищество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
11. Сроки обработки (хранения) персональных данных
11.1. Сроки обработки (хранения) персональных данных определяются исходя из целей обработки персональных данных, в соответствии со сроком действия договора с субъектом персональных данных, требованиями законов, требованиями операторов персональных данных, по поручению которых Товарищество осуществляет обработку персональных данных, основными правилами работы архивов организаций, сроками исковой давности.
Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено законом. Хранение персональных данных после прекращения их обработки допускается только после их обезличивания
12. Заключительные положения
12.1. Политика может быть пересмотрена в любом из следующих случаев:
12.1.1. при изменении законодательства Республики Казахстан в области обработки и защиты персональных данных;
12.1.2. в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики;
12.1.3. по решению руководства Товарищества;
12.1.4. при изменении целей обработки персональных данных;
12.1.5. при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);
12.1.6. при применении новых технологий обработки и защиты персональных данных (в т. ч. передачи, хранения);
12.1.7. при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Товарищества.
12.2. В случае неисполнения положений Политики Товарищество и ее работники несут ответственность в соответствии с действующим законодательством Республики Казахстан.
12.3. Контроль исполнения требований Политики осуществляется лицами, ответственными за организацию обработки персональных данных Товарищества, а также за безопасность персональных данных.