1. Общие положения
1.1. Термины и определения
| Субъект персональных данных (Субъект) | - | физическое лицо, к которому относятся персональные данные или его законный представитель |
| Оператор обработки персональных данных (Оператор) | - | Товарищество с ограниченной ответственностью «Системный софт Казахстан» (ТОО «Сиссофт Казахстан») |
| Персональные данные | - | сведения, относящиеся к определенному или определяемому на их основании Субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе |
| Общедоступные персональные данные | - | персональные данные или сведения, на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия Субъекта |
| Обработка персональных данных | - | действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных |
| Автоматизированная обработка персональных данных | - | обработка персональных данных с помощью средств вычислительной техники |
| Распространение персональных данных | - | действия, в результате совершения которых происходит передача персональных данных, в том числе посредством масс-медиа, или предоставление доступа к персональным данным каким-либо иным способом |
| Обезличивание персональных данных | - | действия, в результате совершения которых определение принадлежности персональных данных Субъекту персональных данных невозможно |
| Блокирование персональных данных | - | действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных |
| Уничтожение персональных данных | - | действия, в результате совершения которых невозможно восстановить персональные данные |
| Конфиденциальность персональных данных | - | Деятельность Оператора, которая заключается в соблюдении требований не допускать распространения персональных данных без согласия субъекта или его законного представителя либо наличия иного законного основания |
| Работник Оператора | - | физическое лицо, состоящее с Оператором в трудовых отношениях |
Политика разработана в соответствии с требованиями Конституции Республики Казахстан, Закона Республики Казахстан от 21 мая 2013 года № 4-V «О персональных данных и их защите» (далее — «Закон о персональных данных»), иными нормативными правовыми актами в области персональных данных Республики Казахстан (далее — «РК»).
Цель Политики — обеспечить защиту прав и свобод физических лиц при обработке их персональных данных.
Политика определяет:
— перечень персональных данных, необходимый и достаточный для выполнения Оператором осуществляемых задач;
— основные принципы, цели, условия, сроки и способы обработки персональных данных,
— правовой статус участников в процессе обработки персональных данных,
— реализуемые у Оператора требования к защите персональных данных.
Оператор осуществляет обработку персональных данных на законной и справедливой основе с соблюдением следующих общих принципов:
1) соблюдения конституционных прав и свобод человека и гражданина;
2) законности;
3) конфиденциальности персональных данных ограниченного доступа;
4) равенства прав Субъектов, собственников и операторов;
5) обеспечения безопасности личности, общества и государства.
2. Условия обработки персональных данных
2.2. Перечень персональных данных, необходимый и достаточный для выполнения Оператором осуществляемых задач
| № п/п | Наименование задачи, в том числе функций, полномочий, обязанностей | Цели сбора и обработки в рамках осуществляемой задачи | Наименование персональных данных для определенной цели |
| 1. | Ведение хозяйственной деятельности | Ведение переговоров, заключение, исполнение, прекращение гражданско-правовых договоров в том числе с физическими лицами. | Персональные данные руководителей и представителей юридических лиц, а также индивидуальных предпринимателей: · фамилия, имя, отчество (при наличии); · должность · адрес электронной почты; · номер мобильного телефона · номер рабочего телефона. Для физических лиц дополнительно: · год, месяц, дата и место рождения; · документы, удостоверяющие личность; · индивидуальный идентификационный номер; · адрес постоянного места жительства и сведения о регистрации по месту жительства; · адрес фактического места жительства; · почтовые адреса; · банковские реквизиты (номер банковского счета, наименование и БИК банка. |
| 2. | Ведение кадрового делопроизводства | Оформление трудовых отношений | Информация, относящаяся к физическому лицу, указанная в трудовом договоре, личной карточке работника, документах, подтверждающих трудовую деятельность работника (в том числе в трудовой книжке), военном билете, документах, необходимых для заключения трудового договора, иных документах, полученная при заключении и в течение срока действия трудового договора, в том числе: · фамилия, имя, отчество (при наличии); · год, месяц, число и место рождения; · национальность (при указании Субъектом); · подпись; · данные документов, подтверждающих законность нахождения на территории Республики Казахстан; · банковские реквизиты (номер банковского счета, наименование и БИК банка); · данные документа об образовании, квалификации, наличии специальных знаний или профессиональной подготовки; · данные документа, подтверждающего трудовую деятельность; · данные документа, удостоверяющего личность; · индивидуальный идентификационный номер; · адрес постоянного места жительства и сведения о регистрации по месту жительства; · адрес фактического места жительства; · почтовые адреса и адреса электронной почты; · номера мобильного телефонов; · портретное изображение (фотография); · данные о семейном положении и составе семьи; · данные о воинской обязанности и воинской службе; · данные о результатах медицинского освидетельствования в соответствии со справкой № 075у (при необходимости). |
| 3. | Подбор персонала | Привлечение и отбор кандидатов для трудоустройства | Персональные данные претендентов для трудоустройства, в том числе персональные данные из единой системы учета трудовых договоров и сведений о трудовой деятельности |
| 4. | Ведение маркетинговой деятельности | Проведение Оператором мероприятий, акций, опросов, исследований, том числе информирование об этом Субъектов. | · фамилия, имя, отчество (при наличии); · адрес электронной почты; · номер мобильного телефона · наименование Компании |
| Информирование Субъекта об оказываемых услугах, о предложениях и разработке новых продуктов и услуг Оператора | · фамилия, имя, отчество (при наличии); · адрес электронной почты; · номер мобильного телефона. | ||
| 5. | Функционирование сайта Оператора, удовлетворение потребностей субъектов- посетителей сайта | Данные о технических средствах (устройствах) Субъектов-посетителей сайта: · вид операционной системы, · тип устройства (персональный компьютер, мобильный телефон, планшет), · тип браузера, · географическое положение, · IP-адрес, · дата и время доступа к Сайту · Обезличенные данные о посетителях Сайта (в т.ч. файлы «cookie») собираются и обрабатываются с помощью сервисов интернет-статистики («Яндекс. Метрика», «Google Analytics» (Гугл Аналитика) и других) |
2.3. Способы обработки персональных данных
Оператор обрабатывает персональные данные следующими способами:
1) неавтоматизированная обработка персональных данных
2) автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
3) смешанная обработка персональных данных.
Автоматизированная обработка персональных данных осуществляются посредством объектов информатизации, размещенных на территории Республики Казахстан.
2.4. Сроки обработки персональных данных
Обработка персональных данных Субъектов осуществляется до достижения целей обработки персональных данных или срока, указанного в согласии на сбор и обработку персональных данных, если иное не предусмотрено законодательством Республики Казахстан.
Персональные данные, срок обработки (хранения) которых истек, а также при прекращении правоотношений между Субъектом и Оператором должны быть уничтожены, если иное не предусмотрено законодательством Республики Казахстан.
Хранение персональных данных после прекращения их обработки допускается только в случае их обезличивания.
2.5. Согласие Субъекта на сбор, обработку персональных данных. Отзыв такого согласия
Предоставление согласия
Субъект дает согласие на сбор, обработку персональных данных письменно либо иным способом, позволяющим подтвердить получение согласия.
Субъект соглашается с условиями Политики, в том числе с передачей персональных данных трансгранично и/или третьим лицам путем проставления отметки о согласии в диалоговом окне сайта Оператора «Я даю согласие на обработку персональных данных».
При несогласии с условиями Политики часть специального (индивидуального) функционала Сайта может быть недоступна.
Отзыв согласия
Субъект может в любой момент отозвать свое согласие на сбор, обработку персональных данных, направив Оператору уведомление на электронный адрес info@syssoft-group.kz с пометкой «Отзыв согласия на обработку персональных данных», за исключением следующих случаев:
— это противоречит законам РК,
— при наличии неисполненного обязательства.
В случае отзыва Субъектом персональных данных согласия на обработку, Оператор уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
При невозможности уничтожения персональных данных в течение установленного срока, Оператор осуществляет их блокирование с последующим уничтожением в течение шести месяцев.
В случае отзыва согласия Субъектом, Оператор вправе продолжить обработку персональных данных без такого согласия в случаях, предусмотренных п. 2.6 Политики и законодательством РК.
2.6. Трансграничная передача персональных данных
Трансграничная передача персональных данных — передача персональных данных на территорию иностранных государств.
Трансграничная передача может осуществляться только если эти государства обеспечивают защиту персональных данных. Персональные данные Субъекта могут быть переданы третьим лицам исключительно в целях, указанных в разделе 2 Политики и при условии, что они взяли на себя обязательство обеспечить конфиденциальность и защиту полученных персональных данных.
Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:
1) наличия согласия Субъекта на трансграничную передачу его персональных данных;
2) предусмотренных международными договорами, ратифицированными Республикой Казахстан;
3) предусмотренных законами Республики Казахстан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения;
4) защиты конституционных прав и свобод человека и гражданина, если получение согласия Субъекта невозможно.
2.7. Правила обработки и использования «cookies»
Оператор вправе использовать технологию «cookies» («куки»). Cookies — данные, которые автоматически могут передаваться Оператору в процессе использования Сайта с помощью установленного на устройстве Субъекта программного обеспечения, в том числе указанные в п. 2.2. Политики. Файлы «сookies» не содержат конфиденциальную информацию и используются для того, чтобы запоминать предпочтения и настройки Субъекта, а также для сбора аналитических данных о посещениях Сайта.
Использование Сайта означает, что Субъект соглашается с использованием всех файлов «cookies» и аналитических данных о посещениях Сайта, а также на их передачу третьим лицам.
Субъект вправе ограничить или запретить использование технологии «cookies» путем применения соответствующих настроек своего браузера, что в некоторых случаях может привести к ограниченной функциональности Сайта.
Оператор получает информацию об IP-адресе Субъекта-посетителя и сведения о том, по ссылке с какого Интернет-сайта он пришел. Данная информация не используется для установления личности посетителя Сайта.
3. Меры оператора по защите персональных данных
1) разработка и утверждение Оператором документов, определяющих политику в отношении сбора, обработки и защиты персональных данных.
2) разработка типовых форм документов в отношении сбора, обработки и защиты персональных данных.
3) заключение договоров о соблюдении конфиденциальности в отношении персональных данных с третьими лицами, которые имеют доступ к таким персональным данным.
1) организация режима безопасности помещений, в которых размещены носители персональных данных, для исключения возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
2) разделение персональных данных на общедоступные и ограниченного доступа;
3) определение мест хранения носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных;
4) определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ в рамках выполнения ими трудовых обязанностей;
5) назначение ответственного лица за организацию сбора и обработки персональных данных, оформленного соответствующим документом Оператора;
6) осуществление внутреннего аудита за деятельностью по обработке персональных данных;
7) ознакомление работников с Политикой и другими документами, направленными на защиту персональных данных, принятыми Оператором.
1) использование специализированных технических и программных средств, которые блокируют несанкционированный доступ к персональным данным.
2) оповещение уполномоченного органа об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным.
3) обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных.
4) обеспечивают ведение журнала событий систем управления базами.
5) обеспечивают ведение журнала действий Субъектов, имеющих доступ к персональным данным ограниченного доступа.
6) применяют средства контроля целостности персональных данных ограниченного доступа.
7) обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан.
8) обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа.
9) применяют средства идентификации и (или) аутентификации Субъектов при работе с персональными данными ограниченного доступа.
4. Права и обязанности Оператора и Субъекта персональных данных
4.1. Права и обязанности Оператора
1) утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан.
2) утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных.
3) принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан.
4) соблюдать законодательство Республики Казахстан о персональных данных и их защите.
5) предоставлять по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения Оператором требований Закона о персональных данных.
6) принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных Законом о персональных данных и иными нормативными правовыми актами Республики Казахстан.
7) представлять доказательство о получении согласия Субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан.
8) по обращению Субъекта сообщать информацию, относящуюся к нему, в сроки, предусмотренные законодательством Республики Казахстан.
9) в случае отказа в предоставлении информации Субъекту представить мотивированный ответ в сроки, предусмотренные законодательством Республики Казахстан.
10) в течение одного рабочего дня:
— изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
— блокировать персональные данные, относящиеся к Субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
— уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом о персональных данных и иными нормативными правовыми актами Республики Казахстан;
— снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных;
— c момента обнаружения нарушения безопасности персональных данных уведомить уполномоченный орган о таком нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии);
11) предоставлять безвозмездно Субъекту возможность ознакомления с персональными данными, относящимися к данному Субъекту.
12) назначить лицо, ответственное за организацию обработки персональных данных.
13) Оператор вправе осуществлять сбор, обработку персональных данных в порядке, установленном Законом о персональных данных и иными нормативными правовыми актами Республики Казахстан.
4.2. Права и обязанности Субъекта
1) знать о наличии у Оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
— подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
— перечень персональных данных;
— сроки обработки персональных данных, в том числе сроки их хранения;
2) требовать от Оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами.
3) требовать от Оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных.
4) требовать от Оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом о персональных данных и иными нормативными правовыми актами Республики Казахстан.
5) отозвать согласие на сбор, обработку, распространение в общедоступных источниках, передачу третьим лицам и трансграничную передачу персональных данных, кроме случаев, когда такой отзыв противоречит законодательству РК или субъект имеет неисполненное обязательство.
6) дать согласие (отказать) Оператору на распространение своих персональных данных в общедоступных источниках персональных данных.
7) на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда.
8) на осуществление иных прав, предусмотренных Законом о персональных данных и иными законами Республики Казахстан.
9) Субъект обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.
4.3. Лицо, ответственное за организацию обработки персональных данных, обязано:
1) осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Республики Казахстан о персональных данных и их защите, в том числе требований к защите персональных данных.
2) доводить до сведения работников Оператора положения законодательства Республики Казахстан о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных.
3) осуществлять контроль за приемом и обработкой обращений Субъектов.
5. Заключительные положения
Политика является обязательной для исполнения всеми работниками участвующими в процессах обработки и обеспечения защиты персональных данных.
Оператор имеет право в любой момент в одностороннем порядке вносить изменения в Политику без предварительного согласования с Субъектом. Такие изменения вступают в силу с момента размещения новой редакции Политики на сайте Оператора.
Субъект обязан самостоятельно отслеживать изменения путем ознакомления с актуальной редакцией Политики на сайте Оператора https://syssoft-group.kz.
Политика подлежит изменению, дополнению в следующих случаях:
1) при изменении законодательства Республики Казахстан в области персональных данных и их защите;
2) при изменении целей обработки персональных данных;
3) при применении новых технологий сбора, обработки и защиты персональных данных (в т.ч. передачи и хранении);
4) в иных случаях.