Политика конфиденциальности

1. Общие положения

Настоящая Политика обработки персональных данных (далее – «Политика») разработана в соответствии с Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (далее – «Закон РК о персональных данных»). Политика определяет порядок обработки персональных данных и меры по обеспечению их безопасности в ТОО «INBUILD» (далее – «Оператор») с целью защиты прав и свобод физических лиц при обработке их персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну.

Оператор обеспечивает открытый и неограниченный доступ к настоящей Политике в соответствии с требованиями законодательства Республики Казахстан.

1.1. Основные понятия

• Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
• Блокирование персональных данных – временное прекращение обработки персональных данных (кроме случаев, когда обработка необходима для уточнения).
• Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных, а также информационных технологий и технических средств, обеспечивающих их обработку.
• Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту без использования дополнительной информации.
• Обработка персональных данных – любое действие или совокупность действий с персональными данными (с использованием средств автоматизации или без них), включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
• Оператор – государственный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки и состав персональных данных.
• Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
• Предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
• Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц, включая обнародование или размещение в сети Интернет.
• Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, иностранному юридическому или физическому лицу.
• Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе или на материальных носителях.

2. Принципы и условия обработки персональных данных

2.1. Принципы обработки персональных данных

Обработка персональных данных у Оператора осуществляется в соответствии со следующими принципами: законность, справедливая основа, соответствие конкретным законным целям, недопущение обработки данных, несовместимой с целями их сбора, а также соблюдение точности, полноты и актуальности обрабатываемых данных.

2.2. Условия обработки персональных данных

Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:

• Согласие субъекта персональных данных на обработку.
• Необходимость обработки для достижения целей, предусмотренных законодательством РК.
• Необходимость обработки для осуществления правосудия.
• Необходимость обработки для исполнения договора, стороной которого является субъект персональных данных.
• Необходимость обработки для осуществления прав и законных интересов Оператора либо третьих лиц.
• Обработка общедоступных персональных данных или обязательное раскрытие таких данных по закону.
• Первоначально персональные данные граждан РК собираются и обрабатываются на территории Республики Казахстан.

2.3. Конфиденциальность персональных данных

Оператор, его сотрудники, а также лица, получившие доступ к персональным данным, обязаны не раскрывать и не распространять такие данные без согласия субъекта данных, если иное не предусмотрено законодательством.

2.4. Общедоступные источники персональных данных

В целях информационного обеспечения у Оператора могут создаваться общедоступные источники (справочники, адресные книги и пр.) при условии письменного согласия субъекта персональных данных. По требованию субъекта либо уполномоченного органа такие сведения должны быть исключены из общедоступных источников.

2.5. Биометрические персональные данные

Биометрические персональные данные (сведения о физиологических и биологических особенностях субъекта, позволяющие установить его личность) могут обрабатываться только при наличии письменного согласия субъекта, если иное не предусмотрено законом.

2.6. Поручение обработки персональных данных

Оператор вправе поручить обработку персональных данных другому лицу на основании договора при наличии согласия субъекта данных или если это допускается законом.

2.7. Трансграничная передача персональных данных

Оператор обязан убедиться в том, что иностранное государство, на территорию которого осуществляется передача персональных данных, обеспечивает адекватную защиту их прав. В противном случае требуется письменное согласие субъекта либо исполнение договора, стороной которого является субъект.

3. Права субъекта персональных данных

3.1. Согласие на обработку

Субъект данных самостоятельно принимает решение о предоставлении своих персональных данных и даёт согласие на их обработку. Согласие может быть дано в любой форме, позволяющей подтвердить факт его получения, если иное не установлено законодательством.

3.2. Права субъекта персональных данных

Субъект персональных данных имеет право:

• Получать информацию об обработке его персональных данных.
• Требовать уточнения, блокирования или уничтожения таких данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не нужны для заявленных целей обработки.
• Требовать прекращения обработки персональных данных для продвижения товаров или услуг без предварительного согласия субъекта.
• Обжаловать действия или бездействие Оператора в уполномоченный орган или в судебном порядке.
• На возмещение убытков и (или) компенсацию морального вреда, если это предусмотрено законом.

Запрещается принятие исключительно автоматизированных решений, затрагивающих права и интересы субъекта, за исключением случаев, предусмотренных законом или при наличии письменного согласия субъекта.

4. Обеспечение безопасности персональных данных

Оператор принимает необходимые правовые, организационные и технические меры в соответствии с законодательством Республики Казахстан для защиты персональных данных от несанкционированного доступа. К таким мерам относятся:

• Назначение ответственных за организацию обработки и защиты персональных данных.
• Ограничение круга лиц, имеющих доступ к персональным данным.
• Ознакомление сотрудников с требованиями законодательства и внутренними документами.
• Определение угроз безопасности персональных данных, формирование моделей угроз.
• Разработка и внедрение системы защиты персональных данных.
• Регистрация и учёт действий пользователей в информационных системах персональных данных.
• Использование антивирусных средств, межсетевых экранов и иных инструментов защиты.
• Организация пропускного режима в помещениях, где размещены серверы и другие технические средства.

5. Заключительные положения

Иные права и обязанности Оператора, касающиеся обработки персональных данных, определяются законодательством Республики Казахстан. Сотрудники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность в порядке, установленном законами.