Политика защиты персональных данных

1. Общие положения

1.1. Настоящая Политика защиты персональных данных (далее – Политика) ТОО «WE Partners» (ВИ Партнерз) (далее – Компания) разработана в соответствии с Законом Республики Казахстан «О персональных данных и их защите» от 21 мая 2013 года N 94-V (далее – «Закон») в целях исполнения требований действующего законодательства Республики Казахстан и устанавливает порядок сбора, обработки и защиты персональных данных Компанией.

1.2. Обработка персональных данных в Компании может осуществляться только в целях обеспечения соблюдения требований нормативных правовых актов Республики Казахстан.

1.3. Политика определяет права и обязанности субъекта персональных данных и Компании касательно подачи (отзыва) согласия на сбор, обработку персональных данных, а также порядок взаимодействия субъекта персональных данных и Компании по поводу сбора, документирования, хранения, защиты и уничтожения персональных данных.

1.4. Основные термины и определения, применяемые в настоящей Политике:

1.4.1. биометрические данные – персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность;

1.4.2. персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

1.4.3. блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;

1.4.4. накопление персональных данных – действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;

1.4.5. сбор персональных данных – действия, направленные на получение персональных данных;

1.4.6. уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные;

1.4.7. обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных клиенту невозможно;

1.4.8. база, содержащая персональные данные – совокупность упорядоченных персональных данных;

1.4.9. собственник базы, содержащей персональные данные – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право собственности базой, содержащей персональные данные;

1.4.10. оператор базы, содержащей персональные данные – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

1.4.11. защита персональных данных – комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных настоящим Политикам;

1.4.12. обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

1.4.13. использование персональных данных – действия с персональными данными, направленные на реализацию целей деятельности Компании и третьего лица;

1.4.14. хранение персональных данных – действия по обеспечению целостности, конфиденциальности и доступности персональных данных;

1.4.15. распространение персональных данных – действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;

1.4.16. субъект персональных данных (СПД) – физическое лицо, к которому относятся персональные данные и являющееся:

  • работником Компании, соискателем на замещение вакантных должностей Компании, бывшим работником Компании;
  • пользователем услуг Компании;
  • работником или соискателем на замещение вакантных должностей юридического лица (индивидуального предпринимателя), являющегося пользователем услуг Компании (работник или кандидат на работу контрагента Компании);
  • работником юридического лица (индивидуального предпринимателя), являющегося пользователем услуг Компании (работник контрагента Компании) при наличии соответствующего поручения;
  • любое иное физическое лицо, персональные данные которого стали известны Компании в силу предоставления ему со стороны Компании социальных льгот, гарантий и компенсаций;

1.4.17. третье лицо – лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных.

2. Состав персональных данных

2.1. Персональные данные составляют:

2.1.1. сведения, необходимые для надлежащей идентификации (фамилия, имя, отчество); гражданство; данные документа, удостоверяющего личность (удостоверения личности или паспорта); индивидуальный идентификационный номер; дата и данные о рождении; пол; подпись; портретное изображение и биометрические данные и пр.);

2.1.2. сведения, необходимые для поддержания связи (место регистрации, место фактического проживания или пребывания), место работы и должность; номер телефона (рабочий, сотовый), адрес электронной почты);

2.1.3. сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки; ученая степень; ученое звание; владение иностранными языками; сведения о повышении квалификации и переподготовке и т.д.;

2.14. сведения о профессиональном опыте (включающие места работы, занимаемые должности, функциональные обязанности, достижения);

2.1.5. сведения о семейном положении: состояние в браке; наличие детей и их возраст; фамилии, имена, отчества и даты рождения членов семьи, иждивенцев;

2.1.6. сведения, связанные с оказанием Компанией услуг в рамках заключенного между мною и Компанией — тексты договоров (соглашений), дополнительных соглашений к ним, заявления и согласия, переписка, правоустанавливающие документы и пр.;

2.1.7. сведения о цели и характере деловых отношений;

2.1.8. сведения о доходах, имущественном положении, наличие и (или) отсутствие судимости, привлечение к уголовной и (или) административной ответственности и т.п, информация о членствах в организациях и других сообществах, информация о наградах, патентах, публикациях, а также иная персональная информация;

2.1.9. информация об изменении и(или) дополнении вышеуказанных данных.

2.1.10. сведения о фактах, событиях и обстоятельствах частной жизни СПД, позволяющие идентифицировать его, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных законодательствами Республики Казахстан случаях;

2.2. Документами, содержащими персональные данные, являются:

2.2.1. удостоверение личности, паспорт или иной документ, удостоверяющий личность, содержащий ИИН;

2.2.2. другие документы, которые в соответствии с законодательными актами Республики Казахстан содержат сведения, предназначенные для использования в целях, предусмотренных настоящей Политикой.

3. Сбор, обработка и хранение персональных данных СПД

3.1. Сбор персональных данных СПД осуществляется путем получения документов, содержащих персональные данные и формирования базы, содержащей персональные данные СПД. Сбор, обработка персональных данных осуществляются Компанией с согласия СПД или его законного представителя. Допускается сбор Компанией персональных данных посредством:

3.1.1. получения полной информации о персональных данных СПД и обработке этих данных (в том числе, автоматизированной), а также сведений о средствах связи (телефонные номера, адреса электронной почты и т.д.);

3.1.2. копирования оригиналов документов, удостоверяющих личность;

3.1.3. внесения сведений в досье СПД на бумажных и электронных носителях;

3.1.4. получения оригиналов необходимых документов, которые предусмотрены законодательными актами Республики Казахстан, содержащие сведения, предназначенные для использования Компанией в связи с осуществлением деятельности, предусмотренной уставом Компании;

3.1.5. получение персональных данных для обновления или исправления неверных, устаревших, недостоверных, неполных персональных данных, а также данных, обработанных с нарушением законодательства Республики Казахстан.

3.2. Обработка персональных данных включает получение, хранение, комбинирование, передача или любое другое использование персональных данных в пределах и объеме, предусмотренном в согласии СПД.

3.3. При обработке персональных данных в целях их защиты и обеспечения прав и свобод человека и гражданина, а также при определении объема и содержания обрабатываемых персональных данных должны строго учитываться положения Конституции и нормативно-правовых актов Республики Казахстан.

3.4. Обработка персональных данных СПД Компании осуществляется исключительно в целях:

3.4.1. соблюдения Компанией законодательства Республики Казахстан;

3.4.2. конфиденциальности персональных данных, ограниченного доступа;

3.4.3. равенства прав СПД и Компании;

3.4.4. обеспечения безопасности личности, общества и государства.

3.5. СПД и (или) его законный представитель вправе знакомиться с документами Компании, устанавливающими порядок обработки персональных данных.

3.6. Хранение персональных данных:

3.6.1. данные СПД содержатся на бумажных носителях и (или) электронных носителях;

3.6.2. доступ к персональным данным ограничен кругом лиц, определённых в пункте 4.1. настоящей Политики.

4. Доступ к персональным данным

4.1. Внутренний доступ в Компании к персональным данным имеют должностные работники, работники Компании, непосредственно использующие их в служебных целях, акционеры Компании, аудиторская компания, осуществляющая аудит Компании.

4.2. Внешний доступ сторонним организациям и (или) третьим лицам: сообщение сведений о персональных данных сторонним организациям и (или) третьим лицам разрешается при наличии письменного согласия СПД и письменного запроса, подписанного руководителем сторонней организации либо третьим лицом, запросившим такие сведения, на котором имеется виза первого руководителя Компании.

4.3. Компания вправе предоставлять доступ уполномоченным государственным органам к персональным данным в порядке и в соответствии с требованиями действующего законодательства Республики Казахстан.

5. Защита персональных данных

5.1. При передаче персональных данных с соблюдением условий, предусмотренных разделом 4 настоящей Политики, Компания обязана предупредить пользователей персональных данных об ответственности за нарушение законодательства Республики Казахстан о персональных данных и их защите.

5.2. Защита персональных данных в Компании обеспечивается следующим образом:

5.2.1. персональные данные Клиентов хранятся в металлических шкафах, в соответствии с требованиями действующего законодательства Республики Казахстан;

5.2.2. ограниченного доступа работников и третьих лиц к персональным данным;

5.2.3. соблюдением в Компании требований законодательства о персональных данных и их защите.

5.3. Защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Компании в порядке, установленном законодательством Республики Казахстан.

5.4. Ответственное подразделение Компании организует и обеспечивает подписание с СПД согласия на сбор, обработку и хранение персональных данных либо в письменной форме, приведенной в Приложении № 1 к настоящей Политике, в случае личного обращения СПД в Компанию, либо в электронной форме, приведенной в Приложении № 2 к настоящей Политике, в случае использования СПД сайта Компании wepartners.kz.

6. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

6.1. В случае нарушения Компанией или иными лицами, имеющими доступ к персональным данным, норм, регулирующих получение, обработку, хранение, передачу и защиту персональных данных, они несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Республики Казахстан.

7. Права и обязанности СПД

7.1. СПД имеет право:

7.1.1. знать о наличии у Компании, а также третьего лица своих персональных данных, включая информацию, а также получать информацию, содержащую:

  • подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
  • перечень персональных данных;
  • сроки обработки персональных данных, в том числе сроки их хранения;

7.1.2. требовать от Компании изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;

7.1.3. требовать от Компании, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;

7.1.4. требовать от Компании, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных нормативными правовыми актами Республики Казахстан;

7.1.5. дать согласие (отказать) Компании на распространение своих персональных данных в общедоступных источниках персональных данных;

7.1.6. отозвать согласие на сбор, обработку персональных данных, кроме случаев, предусмотренных пунктом 7.3 настоящего Положения.

7.1.7. на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;

7.1.8. на осуществление иных прав, предусмотренных Законом и иными нормативно-правовыми актами Республики Казахстан.

7.2. СПД обязан представлять свои персональные данные в случаях, установленных нормативными правовыми актами Республики Казахстан.

7.3. СПД не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства.

8. Права и обязанности Компании

8.1. Компания имеет право осуществлять сбор, обработку персональных данных в порядке, установленном нормативными правовыми актами Республики Казахстан.

8.2. Компания обязана:

8.2.1. утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач, если иное не предусмотрено законами Республики Казахстан;

8.2.2. принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;

8.2.3. соблюдать законодательство Республики Казахстан о персональных данных и их защите;

8.2.4. принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных нормативными правовыми актами Республики Казахстан;

8.2.5. представлять доказательство о получении согласия СПД на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;

8.2.6. сообщать информацию, относящуюся к СПД, в течение трех рабочих дней со дня получения обращения Клиента, если иные сроки не предусмотрены нормативно-правовыми актами Республики Казахстан;

8.2.7. в случае отказа предоставить информацию СПД в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ, если иные сроки не предусмотрены нормативно-правовыми актами Республики Казахстан;

8.2.8. в течение одного рабочего дня:

  • изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
  • блокировать персональные данные, относящиеся к СПД, в случае наличия информации о нарушении условий их сбора, обработки;
  • уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан;
  • снять блокирование персональных данных в случае не подтверждения факта нарушения условий сбора, обработки персональных данных.

9. Заключительные положения

9.1. Вопросы, не урегулированные настоящей Политикой, регулируются в соответствии с действующими законодательствами Республики Казахстан, все изменения или дополнения к настоящей Политике утверждаются Директором Компании.

9.2. В случае, если при изменении законодательства Республики Казахстан отдельные нормы настоящей Политики вступают в противоречие с действующим законодательством Республики Казахстан, эти нормы Политики утрачивают силу и до момента внесения изменений в настоящую Политику необходимо руководствоваться действующим законодательством Республики Казахстан.

9.3. Во всем остальном, что не предусмотрено Политикой, должностные лица и иные работники структурных подразделений Компании руководствуются нормами законодательства Республики Казахстан и иными внутренними документами Компании.

9.4. Настоящая Политика пересматривается и обновляется по мере необходимости.

9.5. Все приложения к Политике являются ее неотъемлемой частью и подлежат обязательному соблюдению и использованию в процессе деятельности Компании.