1. Общие положения
1.2. Политика Оператора в отношении обработки персональных данных определяет основные цели, принципы, условия, и способы обработки персональных данных, перечни субъектов и персональных данных, обрабатываемых Оператором, права субъектов персональных данных
· функции Оператора при обработке персональных данных, а также реализуемые у Оператора требования к защите персональных данных.
1.3. Политика направлена на обеспечение защиты прав и свобод физических лиц при обработке их персональных данных Оператором, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.
1.4. Положения настоящей Политики являются основой для разработки внутренних нормативных документов, регламентирующих у Оператора вопросы и процессы обработки персональных данных его работников и других субъектов персональных данных.
1.5. Действие настоящей Политики распространяется на все персональные данные субъектов, обрабатываемые Оператором с применением средств автоматизации и без применения таких средств.
2.1. В настоящей Политике используются следующие основные понятия:
· персональные данные –сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или)ином материальном носителе;
· Оператор обработки персональных данных – юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
· обработка персональных данных –действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
· автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
· распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
· предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
· блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
· уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и(или) в результате которых уничтожаются материальные носители персональных данных;
· обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;
· база, содержащая персональные данные - совокупность упорядоченных персональных данных;
· информационная система персональных данных – совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;>
· трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическом улицу или иностранному юридическому лицу.
· административно-хозяйственная деятельность – внутренние процессы, направленные на текущее обеспечение деятельности Оператора товарно-материальными ценностями (осуществление закупок канцтоваров, офисного оборудования, расходных материалов, хозяйственных товаров, услуг связи и т.п.); на организацию документооборота (ведение архива, библиотек, баз данных); на организацию эксплуатации зданий, помещений, территорий (содержание, уборка, оформление и ремонт помещений); на организацию рабочего процесса;
· информация – сведения(сообщения, данные) независимо от формы их представления;
· пользователь — лицо, использующее действующую автоматизированную систему либо сеть, для выполнения конкретной функции и решения стоящих перед ним задач;
· субъект персональных данных – определенное или определяемое физическое лицо, к которому относятся персональные данные;
· работник Оператора –физическое лицо, заключившее с Оператором трудовой договор;
· близкие родственники –лица, являющиеся родственниками по прямой восходящей и нисходящей линии(родители и дети, дедушки, бабушки и внуки), полнородные и неполнородные(имеющие общих отца или мать) братья и сестры;
· кандидат – претендующее на вакантную должность физическое лицо, персональные данные которого получены Оператором;
· поставщик Оператора –термин, используемый при совместном упоминании корпоративного контрагента, т.е.юридическое лицо, индивидуальный предприниматель или физическое лицо, а также иностранное юридическое лицо, заключившее или имеющее намерение заключить с Оператором договор поставки товаров или продукции, выполнения работ или об оказании услуг;
· партнер Оператора –юридическое лицо, индивидуальный предприниматель, а также физическое лицо, занимающееся в установленном законодательством Республики Казахстан порядке частной практикой, заключившее или намеревающееся заключить с Оператором договор на приобретение товаров или продукции, получение работ или услуг, выполненных или оказываемых Оператором;
· представитель партнера, поставщика – физическое лицо, персональные данные которого переданы Оператору и:
· входящее в органы управления партнера, поставщика;
· являющееся владельцем, учредителем, акционером или участником партнера, поставщика;
· действующее от имени партнера, поставщика на основании доверенности или в силу трудовых обязанностей;
· розничный клиент –физическое лицо, которое заключило с Оператором договор на приобретение товаров или продукции, получение работ или услуг, выполненных или оказываемых Оператором, включая получение услуг путем присоединения к условиям публичного договора, и персональные данные которого переданы Оператору;
· контрагент Оператора –сторона по договору с Оператором;
· общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен на основании Закона, субъектом персональных данных либо по его просьбе, в том числе данные, которые в соответствии с законодательством подлежат обязательному раскрытию или опубликованию;
· биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных;
· специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
· доступ к персональным данным – ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми Оператором, при условии сохранения конфиденциальности этих сведений;
· конфиденциальность персональных данных – обязанность лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом.
3.1. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
· Конституция Республики Казахстан;
· Трудовой кодекс Республики Казахстан;
· Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и ихзащите» (с изменениями и дополнениями по состоянию на 01.05.2023 г.)
· Закон Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации»(с изменениями и дополнениями по состоянию на 10.09.2023 г.)
3.2. В целях реализации положений Политики Оператором разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:
· Положение об обработке и защите персональных данных у Оператора;
· локальные нормативные акты и документы (приказы, инструкции, журналы, уведомления и пр.),регламентирующие и отражающие у Оператора вопросы обработки и обеспечения безопасности персональных данных.
4.1. Оператор собирает, обрабатывает и хранит только те персональные данные, которые необходимы.
4.2. Оператор осуществляет обработку персональных данных в целях:
· обеспечения соблюдения Конституции РК, законов и иных нормативных правовых актов Республики Казахстан, локальных нормативных актов Оператора;
· осуществления функций, полномочий и обязанностей, возложенных на Оператора, в том числе по предоставлению персональных данных в налоговые органы, Единый накопительный пенсионный фонд Республики Казахстан, в Государственный фонд социального страхования Республики Казахстан, в Фонд социального медицинского страхования, а также в иные органы;
· регулирования трудовых отношений с работниками Оператора (трудоустройство, обучение, контроль количества и качества выполняемой работы, обеспечение сохранности имущества и т.д.);
· ведения кадрового делопроизводства и личных дел работников Оператора, в том числе предоставления отпусков и направления их в командировки;
· привлечения и отбора кандидатов на работу;
· заключения с субъектом персональных данных любых договоров и их дальнейшего исполнения;
· оказания медицинских услуг, в том числе идентификации пациентов (заказчиков), отражения информации в медицинской документации, предоставления сведений страховым компаниям (в случае оплаты ими оказываемых услуг), предоставления установленной законодательством отчетности в отношении оказанных медицинских услуг;
· подготовки, заключения,исполнения и прекращения договоров с контрагентами;
· информирования ипроведения Оператором мероприятий, акций, опросов, исследований;
· приема предложений о партнерстве и дальнейших переговоров;
· предоставления Субъекту персональных данных информации об оказываемых Оператором услугах, информирования о предложениях и разработке новых продуктов и услуг, а также об услугах дочерних обществ Оператора;
· формирования статистической отчетности, в том числе и для предоставления в налоговые и иные органы;
· обеспечения пропускного режима в помещения Оператора;
· формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора, его дочерних обществ;
· исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Казахстан об исполнительном производстве;
· осуществления Оператором прав и законных интересов в рамках ведения административно-хозяйственной деятельности;
· регулирования трудовых и иных, непосредственно связанных с ними отношений;
· предоставления пользователю клиентской поддержки и сервиса;
· для достижения целей, предусмотренных законодательными актами РК по осуществлению и выполнению функций, полномочий и обязанностей, возложенных на Оператора законодательством РК.
4.3. Оператор не проверяет достоверность предоставленной Пользователем персональной информации и не осуществляет контроль ее актуальности. Всю ответственность, а также возможные последствия за предоставление недостоверной или не актуальной персональной информации несёт сам Пользователь.
5.1. Оператор осуществляет обработку персональных данных на законной и справедливой основе с соблюдением следующих общих принципов:
· соответствия обработки персональных данных достижению конкретным, заранее определенным и законным целям;
· недопустимости обработки персональных данных, несовместимой с целями сбора персональных данных;
· недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
· осуществления обработки только персональных данных, отвечающих целям их обработки;
· соответствия содержания, объема, характера и способа обрабатываемых персональных данных заявленным целям их обработки;
· недопустимости избыточности обрабатываемых персональных данных по отношению к целям их обработки, заявленным при сборе персональных данных;
· обеспечения при обработке персональных данных их точности, достаточности и актуальности по отношению к целям обработки персональных данных;
· обеспечения и принятия необходимых мер по удалению или уточнению неполных или неточных данных;
· хранения персональных данных в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен законодательством РК, договором, стороной которого, выгодоприобретателем или поручителем по которому, является Субъект персональных данных;
· уничтожения либо обезличивания обрабатываемых персональных данных по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом;
· обеспечения надлежащей защиты персональных данных, их конфиденциальности и безопасности обрабатываемых персональных данных.
5.2. Обработка персональных данных допускается в случаях:
· согласия субъекта персональных данных на обработку его персональных данных;
· предоставления субъектом персональных данных (либо по его просьбе) доступа неограниченному кругу лиц к персональным данным;
o наличия необходимости для достижения целей, предусмотренных Законом, для осуществления и выполнения функций, полномочий и обязанностей, возложенных на Оператора законодательством РК;
o участия субъекта персональных данных в гражданском, административном, уголовном и арбитражном судопроизводстве, а также для исполнения судебных актов, подлежащих исполнению в соответствии с законодательством РК;
o исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому, является или будет являться субъект персональных данных, а также при заключении договора по инициативе самого субъекта персональных данных;
o осуществления обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РК;
o для осуществления прав и законных интересов Оператора или третьих лиц.
6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Оператор осуществляет обработку следующих категорий субъектов персональных данных:
6.1. физических лиц, являющихся соискателями на замещение вакантных должностей – с согласия субъектов персональных данных, в составе и в сроки, необходимые для принятия Оператором решения о приеме либо отказе в приеме на работу, а также для формирования кадрового резерва;
6.2. физических лиц, входящих в органы управления Оператора – с согласия субъектов персональных данных,
· составе и в сроки, необходимые для достижения предусмотренных законодательством РК целей, для осуществления и выполнения возложенных законодательством РК на Оператора функций, полномочий и обязанностей;
6.3. физических лиц, состоящих в трудовых отношениях с Оператором – в составе и в сроки, необходимые для достижения предусмотренных законодательством РК целей, для осуществления и выполнения возложенных законодательством РК на Оператора функций, полномочий и обязанностей, для формирования кадрового резерва, а также для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в целях предоставления страхования;
6.4. физических лиц, являющихся родственниками работников Оператора – с согласия субъектов персональных данных, в составе и в сроки, необходимые для осуществления и выполнения возложенных законодательством РК на Оператора функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, а также для заключения и исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому, является субъект персональных данных, в том числе, и в целях предоставления страхования;
6.5. Прочие клиенты и контрагенты Оператора (физические лица);
6.6. иностранных сотрудников Оператора (в дальнейшем – «экспатов») – с согласия субъектов персональных данных, в составе и в сроки, необходимые для достижения предусмотренных законодательством РК целей, для осуществления и выполнения возложенных законодательством РК на Оператора функций, полномочий и обязанностей, для оказания содействия экспатам при оформлении приглашений, виз и для постановки на миграционный учет,получения разрешения на работу, патента, для формирования кадрового резерва, а также для заключения и исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому, является субъект персональных данных, в том числе, и в целях предоставления страхования;
6.7. родственников экспатов Оператора – с согласия субъектов персональных данных, в составе и в сроки, необходимые для достижения предусмотренных законодательством РК целей, осуществления и выполнения возложенных законодательством РК на Оператора функций,полномочий и обязанностей, для оказания содействия при оформлении приглашений,виз и для постановки на миграционный учет, осуществления прав и законных интересов Оператора, а также для заключения и исполнения договора, сторонойкоторого, либо выгодоприобретателем или поручителем по которому, является субъект персональных данных, в том числе в целях предоставления страхования;
6.8. физических лиц, являющихся представителями существующих и потенциальных клиентов и контрагентов Оператора
· с согласия субъектов персональных данных, в составе и в сроки, необходимые для осуществления взаимодействия с поставщиками;
6.9. Пациенты и законные представители пациентов;
6.10. физических лиц, получающих доход от Оператора, но не состоящих с ним в трудовых отношениях – в составе и в сроки,необходимые для осуществления и выполнения возложенных законодательством РК на Оператора функций, полномочий и обязанностей;
6.11. физических лиц, являющихся представителями партнеров – с согласия субъектов персональных данных, в составе и в сроки, необходимые для осуществления взаимодействия с партнерами;
6.12. физических лиц, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о персональных данных;
6.13. физических лиц, выразивших согласие на обработку Оператором их персональных данных или физических лиц, обработка персональных данных которых необходима Оператору для достижения целей,предусмотренных законодательством РК, для осуществления и выполнения полномочий и обязанностей, возложенных законодательством РК на Оператора.
6.14. В отношении категории, указанной в пункте 6.1, 6.2, 6.3 (за исключением членов семьи работников), обрабатываются:
· фамилия, имя, отчество;
· дата и место рождения;
· адреса места жительства и регистрации;
· контактный телефон;
· гражданство;
· образование;
· профессия, должность;
· стаж работы;
· семейное положение, наличие детей;
· серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
· данные страхового свидетельства государственного пенсионного страхования;
· идентификационный номер налогоплательщика;
· табельный номер;
· сведения о доходах;
· сведения о воинском учете;
· сведения о судимостях;
· сведения о повышении квалификации, о профессиональной переподготовке;
· сведения о наградах (поощрениях), почетных званиях;
· сведения о социальных гарантиях;
· сведения о состоянии здоровья, влияющие на выполнение трудовой функции.
6.15. Персональные данные родственников работников обрабатываются в объеме, переданном работником и необходимом для предоставления гарантий и компенсаций работнику, предусмотренных трудовым законодательством:
· фамилия, имя, отчество;
· дата и место рождения;
· серия и номер документа, удостоверяющего личность,сведения о выдаче указанного документа и выдавшем его органе;
· серия и номер свидетельства о рождении ребенка, сведения о выдаче указанного документа и выдавшем его органе;
· серия и номер свидетельства о заключении брака, сведения о выдаче указанного документа и выдавшем его органе.
6.16. В отношении пациентов обрабатываются:
· фамилия, имя, отчество;
· пол;
· возраст;
· дата и место рождения;
· адреса места жительства и регистрации;
· серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
· данные страхового свидетельства государственного пенсионного страхования;
· гражданство;
· данные о состоянии здоровья, в том числе биометрические персональные данные;
· семейное и социальное положение;
· контактный телефон;
· адрес электронной почты;
· реквизиты полиса обязательного медицинского страхования;
· реквизиты полиса (договора) добровольного медицинскогострахования;
· тип занятости;
· место работы;
· должность.
6.17. В отношении категорий, указанных впунктах 6.5 и 6.8, обрабатываются:
· фамилия, имя, отчество;
· пол;
· возраст;
· дата и место рождения;
· адреса места жительства и регистрации;
· контактный телефон;
· адрес электронной почты;
· серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе.
6.18. В отношении законных представителей или представителей по доверенности указанных лиц обрабатываются:
· фамилия, имя, отчество;
· пол;
· возраст;
· дата и место рождения;
· адреса места жительства и регистрации;
· контрактный телефон;
· адрес электронной почты;
· серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
· сведения о документе, который подтверждает полномочия представителя.
7.1. Субъект персональных данных имеет право:
· получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Законодательством о персональных данных;
· требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также если используются в целях, не заявленных ранее при предоставлении согласия на обработку персональных данных;
· отозвать свое согласие на обработку персональных данных;
· принимать предусмотренные законом меры по защите своих прав и законных интересов;
· получать для реализации своих прав и законных интересов от Оператора сведения, касающиеся обработки его персональных данных, при обращении к Оператору и при направлении запроса лично или с помощью представителя, с обязательным указанием в таком запросе необходимых сведений, предусмотренных Законом.
7.2. Субъекты, персональные данные которых обрабатываются Оператором, обязаны:
· сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные,состав которых установлен законодательством Республики Казахстан и локальными нормативными документами Оператора в объеме, необходимом для цели обработки;
· сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
7.3. Оператор вправе:
· обрабатывать персональные данные Субъекта персональных данных в соответствии с заявленной целью;
· требовать от Субъект аперсональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных Законодательством о персональных данных;
· ограничить доступ Субъекта персональных данных к его персональным данным в случае, если доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Республики Казахстан;
· обрабатывать общедоступные персональные данные физических лиц;
· в целях внутреннего информационного обеспечения Оператора, создавать внутренние справочные материалы, в которые, с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения,адрес, абонентский номер, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных;
· осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Республики Казахстан;
· поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора.
7.4. Оператор, обрабатывающий персональные данные субъектов персональных данных, обязан:
· обрабатывать персональные данные, полученные в установленном действующим законодательством порядке;
· рассматривать обращения субъекта персональных данных (законного представителя субъекта персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы;
· осуществлять оперативное и архивное хранение документов Оператора, содержащих персональные данные субъектов персональных данных, в соответствии с требованиями законодательства Республики Казахстан.
· при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение,уточнение (обновление, изменение), извлечение персональных данных граждан РК с использованием баз данных, находящихся на территории Республики Казахстан, за исключением случаев, указанных в Законе.
7.5. Предоставление по запросам субъекта персональных данных или его представителя сведений, касающихся обработки его персональных данных, осуществляется Оператором в соответствии с требованиями Закона, а именно:
· сведения предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя;
· сведения предоставляются субъекту персональных данных или его представителю Оператором в доступной форме, без содержания в таких сведениях персональных данных,относящихся к другим субъектам персональных данных, за исключением случаев наличия законных оснований для раскрытия таких персональных данных;
· при отсутствии в обращении либо запросе субъекта персональных данных всех необходимых реквизитов документа, удостоверяющих личность субъекта персональных данных или его представителя, сведений, подтверждающих участие субъекта персональных данных в отношениях с Оператором, либо сведений, иным образом подтверждающих фактобработки персональных данных Оператором, а также подписи субъекта персональных данных или его представителя, Оператором направляется мотивированный отказ в соответствии с требованиями Закона. Запрос может быть подан письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.
· в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем данных, подтверждающих неполноту, неточность или неактуальности персональных данных, а также то, что такие персональные данные являются незаконно полученными или не являющимися необходимыми для заявленной цели обработки, Оператор вносит необходимые изменения в такие персональные данные или уничтожает их;
· в случае отзыва субъектом персональных данных согласия на обработку его персональных данных,Оператор прекращает их обработку, обеспечивает прекращение такой обработки(обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) или уничтожает персональные данные (сохранение персональных данных более не требуется для целей их обработки) в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
· в случае отсутствия возможности уничтожения персональных данных в течение установленного срока,Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (обработка персональных данных осуществляется другим лицом,действующим по поручению Оператора), а также обеспечивает уничтожение персональных данных в срок, не превышающий шесть месяцев, если иной срок не установлен законодательством РК;
· в случае отзыва субъектом персональных данных согласия на обработку его персональных данных,Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных частью Законом.
8. Порядок и условия обработки персональных данных
8.1 Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных.
8.2. Оператор не вправе обрабатывать персональные данные субъекта персональных данных без его письменного согласия,за исключением случаев, предусмотренных статьей 9 закона «О персональных данных и их защите».
8.3. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа,подписанного в соответствии с законом электронной подписью.
8.4. Письменное согласие субъектаперсональных данных должно включать:
· фамилию, имя, отчество;
· адрес субъекта персональных данных;
· номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
· наименование и адрес Оператора;
· цель обработки персональных данных;
· перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
· перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
· срок, в течение которого действует согласие;
· способ его отзыва;
· подпись субъекта персональных данных.
8.5. Обработка персональных данных осуществляется Оператором следующими способами:
· неавтоматизированная обработка персональных данных;
· автоматизированная обработка персональных данныхс передачей полученной информациипо информационно-телекоммуникационным сетям или без таковой;
· смешанная обработка персональных данных.
8.6. Оператор организует обработку персональных данных в следующем порядке:
1) назначает ответственного за организацию обработки персональных данных, устанавливает перечень лиц, имеющих доступ к персональным данным;
2) издает настоящую Политику, локальные акты по вопросам обработки персональных данных;
3) применяет правовые, организационные и технические мер по обеспечению безопасности персональных данных;
4) осуществляет внутренний контроль и (или)аудит соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных,настоящей Политике, локальным актам Оператора;
5) осуществляет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, определяет соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным законом;
6) знакомит работников Оператора,непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Казахстан о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политики, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
8.7. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры, втом числе:
1) определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные законом уровни защищенности персональных данных;
3) применяет прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;
4) оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учитывает машинные носители персональных данных;
6) обнаруживает факты несанкционированного доступа к персональным данным и принимает меры;
7) восстанавливает персональные данные,модифицированные или уничтоженные вследствие несанкционированного доступа кним;
8) устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.
8.8. При обработке персональных данных Оператор выполняет, в частности, сбор, запись, систематизацию,накопление, хранение, уточнение (обновление, изменение), извлечение,использование, передачу (распространение, предоставление, доступ),обезличивание, блокирование, удаление, уничтожение персональных данных.
8.9. В целях обеспечения сохранности и конфиденциальности персональных данных все операции с персональными данными должны выполняться только работниками Оператора, осуществляющими данную работу в соответствии с трудовыми обязанностями.
8.10. Оператор получает персональные данные непосредственно от субъектов персональных данных или их представителей,наделенных соответствующими полномочиями. Согласия субъекта на получение его персональных данных от третьих лиц не требуется в случаях, когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде при заключении договора с Оператором, а также в случаях,установленных законом.
8.11. Запрещается хранение документов с персональными данными и их копий на рабочих местах и (или) в открытом доступе,оставлять шкафы (сейфы) открытыми в случае выхода работника из рабочего помещения.
8.12. В электронном виде документы,содержащие персональные данные, разрешается хранить в специализированных базах данных или в специально отведенных для этого директориях с ограничением иразграничением доступа. Копирование таких данных запрещено.
8.13. При увольнении работника, имеющего доступ к персональным данным, прекращении доступа к персональным данным,документы и иные носители, содержащие персональные данные, сдаются работниками своему непосредственному руководителю.
9. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
9.1. Обработка персональных данных в информационных системах осуществляется после реализации организационных и технических мер по обеспечению безопасности персональных данных, определенных с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
· 9.2. Обеспечение безопасности при обработке персональных данных, содержащихся в информационных системах органов и подведомственных организаций, осуществляется в соответствии с Законом Республики Казахстан от 24 ноября 2015 года № 418-V«Об информатизации» (с изменениями и дополнениями по состоянию на 10.09.2023 г.)
9.3. Уполномоченному работнику, имеющему право осуществлять обработку персональных данных в информационных системах,предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями,предусмотренными должностными обязанностями работника.
9.4. Информация может вноситься как в автоматическом режиме при получении персональных данных с официального сайта в сети интернет, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
9.5. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах органов, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.
9.6. В случае выявления нарушений порядка обработки персональных данных уполномоченными работниками незамедлительно принимаются меры по установлению причин нарушений и их устранению.
9.7. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
· идентификация и аутентификация субъектов доступа иобъектов доступа;
· управление доступом субъектов доступа к объектам доступа;
· ограничение программной среды;
· защита машинных носителей информации, на которых хранятся (или) обрабатываются персональные данные;
· регистрация событий безопасности;
· антивирусная защита;
· обнаружение (предотвращение) вторжений;
· контроль (анализ) защищенности персональных данных;
· обеспечение целостности информационной системы и персональных данных;
· обеспечение доступности персональных данных;
· защита среды виртуализации и технических средств;
· защита информационной системы, ее средств, систем связи и передачи данных;
· выявление инцидентов (одного события или группы событий),которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
· управление конфигурацией информационной системы и системы защиты персональных данных.
9.8. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование,предоставление, распространение персональных данных, а также иные неправомерные действия.
10. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ ИУНИЧТОЖЕНИЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
10.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения Оператора,сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
5) обрабатываемые персональные данные,относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество иадрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
10.2. Указанные выше сведения должны быть предоставлены субъекту персональных данных Оператором в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
10.3. Сведения, указанные в пункте 10.1,предоставляются субъекту персональных данных или его представителю Оператором При обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа,удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения,подтверждающие участие субъекта персональных данных в отношениях с Оператором(номер договора, дата заключения договора, условное словесное обозначение и(или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством.
10.4. В случае если сведения, указанные в пункте 10.1, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 9.1, и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.5. Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 10.1, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте9.4, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями,указанными в пункте 10.1, должен содержать обоснование направления повторного запроса.
10.6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 10.4 и 10.5. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
10.7. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя.
10.8. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
10.9. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения.
10.10. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные.
10.11. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
10.12. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.
10.13. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
10.14. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение(если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
10.15. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных,обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных,также указанный орган.
10.16. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок,не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого,выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом«О персональных данных» или другими федеральными законами.
10.17. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом.
10.18. В случае отсутствия возможности уничтожения персональных данных в течение указанных сроков Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом,действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен законами.
11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
11.1. Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте Оператора.
11.2. Политика подлежит актуализации в случае внесения изменений в законодательные акты и нормативные документы по обработке и защите персональных данных.
11.3. Положения настоящей Политики являются обязательными для исполнения всеми работниками, имеющими у Оператора доступ к персональным данным и/или участвующими в организации процессов обработки и обеспечения безопасности персональных данных.
11.4. Ответственность за нарушение требований законодательства Республики Казахстан и нормативных актов Оператора в сфере обработки и защиты персональных данных, определяется в соответствии с действующим законодательством РК.
