Политика конфиденциальности и обработки персональных данных
- Общие положения
- Настоящий документ определяет политику ТОО «Кастомертаймз» (далее – «Оператор») в отношении обработки персональных данных и содержит основные принципы, применяемые в отношении обработки персональных данных.
- Действие настоящей Политики обработки персональных данных (далее – «Политика») распространяется на все процессы по сбору, записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении, использовании, передачи (распространении, предоставлении, доступу), обезличивании, блокировании, удалении, уничтожении персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.
- Настоящая Политика обязательна для ознакомления и исполнения всеми работниками Оператора, допущенными к обработке персональных данных, участвующими в организации процессов обработки и обеспечения безопасности персональных данных.
- Цели и задачи
- Целями настоящей Политики являются:
- обеспечение защиты персональных данных от несанкционированного доступа, утраты, неправомерного их использования или распространения;
- обеспечение соответствия законодательству Республики Казахстан действий работников Оператора, направленных на обработку персональных данных.
- Задачами настоящей Политики являются:
- определение принципов, порядка обработки персональных данных Оператора;
- определение условий обработки и способов защиты персональных данных;
- определение прав и обязанностей Оператора и субъектов персональных данных при обработке их персональных данных.
- Целями настоящей Политики являются:
- Принципы обработки персональных данных
- Обработка персональных данных осуществляется на законной и справедливой основе.
- Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Обработке подлежат только те персональные данные, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки.
- При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.
- Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- Условия обработки персональных данных
- Оператор, осуществляет обработку персональных данных следующих субъектов:
- сотрудники Оператора;
- кандидаты для приема на работу;
- акционеры/учредители Оператора, лица, связанные с сотрудниками, акционерами, учредителями (дети, в отношении которых выплачиваются алименты, жены, и т.д.)
- клиенты (потребители услуг Оператора);
- индивидуальные предприниматели – контрагенты Оператора;
- клиенты, сотрудники и представители организаций, являющихся контрагентами Оператора;
- иные физические лица, персональные данные которых обрабатываются у Оператора.
- Сроки обработки персональных данных определены с учетом:
- установленных целей обработки персональных данных;
- сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;
- При обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
- Оператор не осуществляет обработку специальных категорий персональных данных субъектов.
- Оператор не осуществляет обработку биометрических персональных данных.
- Оператор осуществляет обработку персональных данных с использованием средств автоматизации и без их использования. При этом Оператор выполняет требования к автоматизированной и неавтоматизированной обработке персональных данных.
- Оператор, осуществляет обработку персональных данных следующих субъектов:
- Права субъектов персональных данных, обрабатываемых оператором
- Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Информация должна быть предоставлена субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональных данных, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
- Субъект персональных данных имеет право требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
- Субъект персональных данных имеет право обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
-
Исполнение обязанностей оператора
- Оператор получает персональные данные от субъектов персональных данных и от третьих лиц (лиц, не являющихся субъектами персональных данных). При этом Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
- Оператор прекращает обработку персональных данных в следующих случаях:
- при наступлении условий прекращения обработки персональных данных или по истечении установленных сроков;
- по достижении целей их обработки либо в случае утраты необходимости в достижении этих целей;
- по требованию субъекта персональных данных, если обрабатываемые Оператором персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных или истечения срока действия такого согласия (если персональные данные обрабатываются Оператором исключительно на основании согласия субъекта персональных данных);
- в случае ликвидации Оператора
- Оператором для обеспечения выполнения обязанностей приняты следующие меры:
- назначено лицо, ответственное за организацию обработки персональных данных;
- изданы локальные акты по вопросам обработки и обеспечения безопасности персональных данных, а также локальные акты, устанавливающие процедуры, устранение последствий таких нарушений: Положение об обработке персональных данных; настоящая Политика; другие локальные акты по вопросам обработки и обеспечения безопасности персональных данных;
- применены правовые, организационные и технические меры по обеспечению безопасности персональных данных;
- работники Оператора, непосредственно осуществляющие обработку персональных данных.
- Оператор выполняет следующие требования к защите персональных данных:
- организован режим обеспечения безопасности помещений, в которых размещены информационные системы, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- реализовано обеспечение сохранности носителей персональных данных; руководителем Оператора утвержден документ, определяющий перечень;
- персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- используются средства защиты информации.
- Должностные лица, имеющие доступ к персональным данным, несут личную ответственность за нарушение режима защиты персональных данных в соответствии с законодательством Республики Казахстан, уставом Оператора и трудовыми договорами.
- Каждый работник Оператора, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
- Работники Оператора, которым сведения о персональных данных стали известны в силу их служебного положения, несут ответственность за их разглашение.
- Обязательства по соблюдению конфиденциальности персональных данных остаются в силе и после окончания работы с ними вышеуказанных лиц.
- За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.
- Ответственность за соблюдение вышеуказанного порядка обработки персональных данных несет работник, а также руководитель структурного подразделения, осуществляющего обработку персональных данных.