Международная версия сайта
besins_logo_2023_white.png
Back
  1. Главная страница
  2. >
  3. Политика конфиденциальности

Политика об обработке и защите персональных данных Безен Хелскеа Чехия с.р.о., действующей через свое представительство в Казахстане (далее – Компания)

 

1. Общие положения по политике защиты персональных данных

1.1. Целью данной Политики по защите персональных данных (далее – «Политика») является:

  • определение порядка обработки и защиты персональных данных работников Компании и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий Компании;
  • обеспечение защиты прав и свобод человека и гражданина;
  • защита прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц и работников, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.2. Данная Политика разработана в соответствии:

  • Конституцией Республики Казахстан;
  • Гражданским Кодексом Республики Казахстан;
  • Трудовым Кодексом Республики Казахстан;
  • Налоговым Кодексом Республики Казахстан;
  • Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите»;
  • Законом Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации»;
  • Законом Республики Казахстан от 28 февраля 2007 года № 234-III «О бухгалтерском учете и финансовой отчетности»;
  • и другими нормативными правовыми актами, действующими на момент разработки данной Политики.

1.3. Политика подлежит опубликованию на сайте Компании для обеспечения неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных к сведениям о реализуемых требованиях к защите персональных данных.

1.4. Субъекты персональных данных, чьи данные обрабатываются Компанией, должны ознакомиться самостоятельно с данной Политикой, размещенной на сайте Компании. Работники Компании знакомятся с данной Политикой под роспись.

1.5. Ответственность за создание системы по соблюдению законодательства по защите персональных данных несет исполнительный орган Компании. Ответственность за соблюдение требований законодательства данной Политики и иных внутренних актов Компании, регулирующих порядок обработки персональных данных, несут должностные лица Компании в пределах своих полномочий по обработке персональных данных.

1.6. Данная Политика вступает в действие с даты ее утверждения приказом исполнительного органа и действует до его отмены.

2. Термины и определения

2.1. В целях настоящей Политики используются следующие основные понятия:

  • «Автоматизированная Обработка Персональных Данных» – обработка персональных данных с помощью средств вычислительной техники;
  • «Актуальная Угроза Безопасности Персональных Данных» – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного доступа к Персональным Данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение Персональных Данных, а также иные неправомерные действия при их обработке в Информационной Системе Персональных Данных;
  • «Акты Работодателя» – акты Работодателя, содержащие нормы трудового права, принятые в пределах компетенции Работодателя в соответствии с трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, коллективными договорами, соглашениями;
  • «Биометрические Данные» – Персональные Данные, которые характеризуют физиологические и биологические особенности Субъекта Персональных Данных;
  • «Блокирование Персональных Данных» – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространение, обезличивания и уничтожения Персональных Данных;
  • «Деловые Партнеры» – работники юридических лиц, с которыми у Компании деловые отношения, и физические лица, заключившие гражданско-правовой договор с Компанией; деловой партнер – физическое лицо, индивидуальный предприниматель или юридическое лицо, которое заключает с Компанией любой гражданско-правовой договор (т.е. совершает сделку). Компания в данной сделке может выступать как заказчик или как исполнитель, это не меняет отнесения данного лица к категории Деловой Партнер. К ним отнесены, в частности: тренеры; дистрибьюторы; организаторы мероприятий с участием специалистов здравоохранения; пациентские организации; профессиональные ассоциации специалистов здравоохранения; получатели пожертвований и спонсорских взносов; иные физические лица, индивидуальные предприниматели или юридические лица, заключившие гражданско-правовой договор с Компанией; субъекты обращения лекарственных средств – физические лица, осуществляющие деятельность при обращении лекарственных средств; должностные лица – Работники Компании, уполномоченные осуществлять обработку Персональных Данных Субъектов Персональных Данных и несущие все установленные законодательством виды ответственности за нарушение порядка обработки и сохранности Персональных Данных;
  • «Информационная Система Персональных Данных» или «Автоматизированная База Данных» – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • «Компания» или «Работодатель» или «Оператор» – компания Безен Хелскеа Чехия с.р.о., действующая через свое представительство в Казахстане, юридическое лицо, учрежденное и действующее в соответствии с законодательством страны учреждения, самостоятельно или совместно с другими юридическими и физическими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • «Обработка» или «Обработка Персональных Данных» – действия, направленные на накопление; хранение; изменение; дополнение; использование; распространение; обезличивание; блокирование; и уничтожение Персональных Данных; Компания обрабатывает Персональные Данные следующих категорий Субъектов Персональных Данных: Работники; Работники СЗ; родственники и иные члены семей Работников; Соискатели;
  • «Персональные Данные» – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
  • «Предоставление Персональных Данных» – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • «Работники» – физические лица, заключившие трудовой договор с Работодателем (включая бывших работников);
  • «Работники СЗ» – работники сферы здравоохранения – руководители, заместители руководителей медицинских и фармацевтических организаций, руководители структурных подразделений, иные руководители, врачи, фармацевты, средний медицинский (фармацевтический) персонал, научные работники, педагогические работники;
  • «Распространение Персональных Данных» – действия, в результате совершения которых происходит передача Персональных Данных, в том числе посредством средств массовой информации, или предоставление доступа к персональным данным каким-либо иным способом;
  • «Сбор» или «Сбор Персональных Данных» – действия, направленные на получение Персональных Данных;
  • «Соискатели» – кандидаты, выразившие своими действиями желание, чтобы их кандидатура была рассмотрена Работодателем для трудоустройства в Компанию;
  • «Субъект» или «Субъект Персональных Данных» – физическое лицо, к которому относятся Персональные Данные;
  • «Трансграничная Передача Персональных Данных» – передача Персональных Данных на территорию иностранных государств;
  • «Уничтожение Персональных Данных» – действия, в результате совершения которых невозможно восстановить Персональные Данные;
  • «Уровень Защищенности Персональных Данных» – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности Персональных Данных при их обработке в Информационных Системах Персональных Данных.

3. Принципы защиты персональных данных, принятые в Компании

3.1. Обработка Персональных Данных должна осуществляться на законной и справедливой основе.

3.2. Обработка Персональных Данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается Обработка Персональных Данных, несовместимая с целями Сбора Персональных Данных. Цели Обработки Персональных Данных отражаются в Актах Работодателя, с которыми Субъект Персональных Данных знакомится до предоставления своих Персональных Данных, а также в согласиях Субъектов Персональных Данных (оформляемых в случае требований законодательства).

3.3. Не допускается объединение баз данных, содержащих Персональные Данные, обработка которых осуществляется в целях, несовместимых между собой. Для соблюдения данного принципа в Компании применяются различные информационные системы, позволяющие разделить доступ должностных лиц/работников к тем или иным Персональным Данным, а также процедуры предоставления доступа к Персональным Данным субъектов, необходимым должностным лицам/работникам для осуществления своих трудовых функций.

3.4. Обработке подлежат только Персональные Данные, которые отвечают целям их обработки. Персональные Данные, которые Компания имеет право обрабатывать, отражаются в Актах Работодателя, с которыми субъект Персональных Данных знакомится до предоставления своих Персональных Данных, а также в согласиях субъектов Персональных Данных (оформляемых в случае требований законодательства).

3.5. Содержание и объем обрабатываемых Персональных Данных должны соответствовать заявленным целям обработки Персональных Данных и требованиям законодательства. Обрабатываемые Персональные Данные не должны быть избыточными по отношению к заявленным целям их обработки. В случае предоставления избыточных данных самим субъектом Персональных Данных Компания имеет право:

  • отказать в их принятии;
  • уничтожить в присутствии Субъекта Персональных Данных.

3.6. При Обработке Персональных Данных Компания обеспечивает точность Персональных Данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям Обработки Персональных Данных. Компания предпринимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных Персональных Данных.

3.7. Хранение Персональных Данных осуществляется в форме, позволяющей определить Субъекта Персональных Данных, не дольше, чем этого требуют цели Обработки Персональных Данных, если срок хранения Персональных Данных не установлен законодательством, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект Персональных Данных.

3.8. Обрабатываемые Персональные Данные уничтожаются по достижении целей Обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

3.9. Компания для соблюдения требований законодательства знакомит Субъекта Персональных Данных со сроками, в течение которых Персональные Данные, предоставляемые согласно законодательству, будут храниться в Компании.

3.10. Компания проводит анализ соответствия процессов Обработки Персональных Данных в Информационных Системах Персональных Данных Компании в случае:

  • создания/внедрения новых информационных систем;
  • внесения изменений в технологические процессы, существующие в информационных системах;
  • изменения нормативной базы, затрагивающей принципы и (или) процессы Обработки Персональных Данных в Информационных Системах Персональных Данных Компании.

4. Обязанности Компании при Сборе и иной обработке Персональных Данных

4.1. При Обработке Персональных Данных Компания обязана предоставить Субъекту Персональных Данных по его запросу информацию, касающуюся обработки его персональных данных, в том числе содержащую:

  • подтверждение факта Обработки Персональных Данных Компанией;
  • цели Обработки Персональных Данных;
  • применяемые Компанией способы Обработки Персональных Данных;
  • сведения о лицах (за исключением работников Компании), которые имеют доступ к Персональным Данным или которым могут быть раскрыты Персональные Данные на основании договора с Компанией или на основании законодательства;
  • обрабатываемые Персональные Данные, относящиеся к соответствующему Субъекту Персональных Данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством;
  • сроки Обработки Персональных Данных, в том числе сроки их хранения;
  • порядок осуществления Субъектом Персональных Данных прав, предусмотренных действующим законодательством;
  • информацию об осуществленной или о предполагаемой Трансграничной Передаче Персональных Данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего Обработку Персональных Данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные действующим законодательством.

4.2. Если в соответствии с законодательством Предоставление Персональных Данных и (или) получение Компанией согласия на Обработку Персональных Данных являются обязательными, Компания обязана разъяснить Субъекту Персональных Данных юридические последствия отказа предоставить его Персональные Данные и (или) дать согласие на их Обработку.

4.3. Если Персональные Данные получены не от Субъекта Персональных Данных, Компания, до начала Обработки таких Персональных Данных, обязана предоставить Субъекту Персональных Данных следующую информацию:

  • наименование и адрес Компании;
  • цель Обработки Персональных Данных;
  • перечень Персональных Данных;
  • предполагаемых пользователей Персональных Данных;
  • установленные законодательством права Субъекта Персональных Данных;
  • источник получения Персональных Данных.

4.4. Компания освобождается от обязанности предоставить Субъекту Персональных Данных сведения, предусмотренные данной Политикой, если:

  • Субъект Персональных данных уведомлен об осуществлении Обработки его Персональных Данных Компанией;
  • Персональные Данные получены Компанией на основании законодательства или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект Персональных Данных;
  • Обработка Персональных Данных, разрешенных Субъектом Персональных Данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных законодательством Республики Казахстан;
  • Компания осуществляет Обработку Персональных Данных для статистических или иных исследовательских целей, для осуществления научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы Субъекта Персональных Данных;
  • предоставление Субъекту Персональных Данных сведений нарушает права и законные интересы третьих лиц.

4.5. При Сборе Персональных Данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Компания обязана обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных Данных граждан Республики Казахстан с использованием баз данных, находящихся на территории Республики Казахстан, за исключением случаев, прямо предусмотренных действующим законодательством.

4.6. Компания обязана при получении соответствующего запроса сообщить Субъекту Персональных Данных или его представителю информацию о наличии Персональных Данных, относящихся к соответствующему Субъекту Персональных Данных, а также предоставить возможность ознакомления с этими Персональными Данными при обращении Субъекта Персональных Данных или его представителя либо в течение 10 (десяти) рабочих дней с даты получения запроса Субъекта Персональных Данных или его представителя, если иное не предусмотрено законодательством Республики Казахстан.

4.7. Если иной срок не предусмотрен законодательством, в срок, не превышающий 7 (семи) рабочих дней со дня предоставления Субъектом Персональных Данных или его представителем сведений, подтверждающих, что Персональные Данные являются неполными, неточными или неактуальными, Компания обязана внести в них необходимые изменения.

4.8. Если иной срок не предусмотрен законодательством, в срок, не превышающий 7 (семи) рабочих дней со дня представления Субъектом Персональных Данных или его представителем сведений, подтверждающих, что такие Персональные Данные являются незаконно полученными или не являются необходимыми для заявленной цели Обработки, Компания обязана уничтожить такие Персональные Данные.

4.9. Компания обязана уведомить Субъекта Персональных Данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым Персональные Данные этого субъекта были переданы.

4.10. В случае выявления неправомерной Обработки Персональных Данных при обращении Субъекта Персональных Данных или его представителя либо по запросу Субъекта Персональных Данных или его представителя либо уполномоченного органа по защите прав Субъектов Персональных Данных Компания обязана осуществить блокирование неправомерно обрабатываемых Персональных Данных, относящихся к этому Субъекту Персональных Данных, или обеспечить их блокирование (если Обработка Персональных Данных осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки.

4.11. В случае выявления неточных Персональных Данных при обращении Субъекта Персональных Данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав Субъектов Персональных Данных Компания обязана осуществить блокирование Персональных Данных, относящихся к этому Субъекту Персональных Данных, или обеспечить их блокирование (если Обработка Персональных Данных осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки, если блокирование Персональных Данных не нарушает права и законные интересы Субъекта Персональных Данных или третьих лиц.

4.12. В случае подтверждения факта неточности Персональных Данных Компания на основании сведений, представленных Субъектом Персональных Данных или его представителем либо уполномоченным органом по защите прав субъектов Персональных Данных, или иных необходимых документов обязана уточнить Персональные Данные либо обеспечить их уточнение (если Обработка Персональных Данных осуществляется другим лицом, действующим по поручению оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений, если иной срок не предусмотрен законодательством и снять блокирование персональных данных.

4.13. В случае выявления неправомерной Обработки Персональных Данных, осуществляемой Компанией или лицом, действующим по поручению Компании, Компания в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, если иной срок не предусмотрен законодательством, обязана прекратить неправомерную Обработку Персональных Данных или обеспечить прекращение неправомерной Обработки Персональных Данных лицом, действующим по поручению Компании.

4.14. В случае, если обеспечить правомерность Обработки Персональных Данных невозможно, Компания в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, если иной срок не предусмотрен законодательством, обязана уничтожить такие Персональные Данные или обеспечить их уничтожение.

4.15. Об устранении допущенных нарушений или об уничтожении Персональных Данных Компания обязана уведомить Субъекта Персональных Данных или его представителя, а в случае, если обращение Субъекта Персональных Данных или его представителя либо запрос уполномоченного органа по защите прав Субъектов Персональных Данных были направлены уполномоченным органом по защите прав Субъектов Персональных Данных, также указанный орган.

4.16. В случае достижения цели Обработки Персональных Данных Компания обязана прекратить Обработку Персональных Данных или обеспечить ее прекращение (если Обработка Персональных Данных осуществляется другим лицом, действующим по поручению Компании) и уничтожить Персональные Данные или обеспечить их уничтожение (если Обработка Персональных Данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий 30 (тридцати) дней с даты достижения цели Обработки Персональных Данных, если иной срок не предусмотрен законодательством или договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект Персональных Данных, иным соглашением между Компанией и Субъектом Персональных Данных либо если Компания не вправе осуществлять Обработку Персональных Данных без согласия Субъекта Персональных Данных на основаниях, предусмотренных действующим законодательством.

4.17. В случае отзыва Субъектом Персональных Данных согласия на Обработку его Персональных Данных Компания обязана прекратить их Обработку или обеспечить прекращение такой Обработки (если Обработка Персональных Данных осуществляется другим лицом, действующим по поручению Компании) и в случае, если сохранение Персональных Данных более не требуется для целей Обработки Персональных Данных, уничтожить Персональные Данные или обеспечить их уничтожение (если Обработка Персональных Данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иной срок не предусмотрен законодательством или договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект Персональных Данных, иным соглашением между Компанией и Субъектом Персональных Данных либо если Компания не вправе осуществлять Обработку Персональных Данных без согласия Субъекта Персональных Данных на основаниях, предусмотренных действующим законодательством.

4.18. В случае обращения Субъекта Персональных Данных к Компании с требованием о прекращении Обработки Персональных Данных Компания обязан в срок, не превышающий 10 (десяти) рабочих дней с даты получения Компанией соответствующего требования, если иной срок не предусмотрен законодательством, прекратить их Обработку или обеспечить прекращение такой Обработки (если такая Обработка осуществляется лицом, осуществляющим Обработку Персональных Данных), за исключением случаев, предусмотренных законодательством.

4.19. В случае отсутствия возможности уничтожения Персональных Данных в течение установленного срока Компания осуществляет блокирование таких Персональных Данных или обеспечивает их блокирование (если Обработка Персональных Данных осуществляется другим лицом, действующим по поручению Компании) и обеспечивает уничтожение Персональных Данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен действующим законодательством.

5. Организация и контроль обеспечения защиты персональных данных

5.1. Компания предпринимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных действующим законодательством.

5.2. Компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством. Для реализации таких мер Компания:

  • назначает лицо, ответственное за организацию Обработки Персональных Данных;
  • издает Акты Работодателя, определяющие политику Компании в отношении Обработки Персональных Данных, Акты Работодателя по вопросам обработки Персональных Данных, определяющих для каждой цели Обработки Персональных Данных категории и перечень обрабатываемых Персональных Данных, категории Субъектов Персональных Данных, Персональные Данные которых обрабатываются, способы, сроки их Обработки и хранения, порядок уничтожения Персональных Данных при достижении целей их Обработки или при наступлении иных законных оснований, а также Акты Работодателя, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Республики Казахстан, устранение последствий таких нарушений;
  • применяет правовые, организационные и технические меры по обеспечению безопасности Персональных Данных;
  • осуществляет внутренний контроль и (или) аудит соответствия Обработки Персональных Данных требованиям действующего законодательства, требованиям к защите Персональных Данных, Политике Компании в отношении Обработки Персональных Данных, Актам Работодателя;
  • оценивает вред, который может быть причинен Субъектам Персональных Данных в случае нарушения требований действующего законодательства, соотносит указанный вред и принимаемые Компанией меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством;
  • знакомит Работников, непосредственно осуществляющих Обработку Персональных Данных, с положениями законодательства Республики Казахстан о персональных данных, в том числе требованиями к защите Персональных Данных, документами, определяющими Политику Компании в отношении Обработки Персональных Данных, Актами Работодателя по вопросам Обработки Персональных Данных, и (или) обучает указанных Работников.

5.3. Система защиты Персональных Данных является частью общей системы обеспечения информационной безопасности Компании.

5.4. Ответственность за создание системы защиты Персональных Данных, обрабатываемых в Компании, несет исполнительный орган Компании.

5.5. Лица, ответственные за функционирование Информационной Системы Персональных Данных, несут ответственность за необеспечение сохранности и защиты Персональных Данных, обрабатываемых в Информационных Системах Персональных Данных.

5.6. Общий контроль за соблюдением законодательства и Политики осуществляет лицо, ответственное за организацию Обработки Персональных Данных в Компании.

5.7. Руководители структурных подразделений несут ответственность за соблюдение установленных в Компании требований по защите Персональных Данных Работников своего подразделения.

5.8. Руководители структурных подразделений получают указания непосредственно от исполнительного органа и руководителя отдела по работе с персоналом и подотчетны по вопросам организации процесса Обработки Персональных Данных данным лицам.

5.9. Лицо, ответственное за организацию Обработки Персональных Данных в Компании, обязано:

  • осуществлять внутренний контроль за соблюдением Работниками законодательства Республики Казахстан о Персональных Данных, Актов Работодателя, включая данную Политику по вопросам защиты персональных данных;
  • доводить до сведения Работников положения законодательства Республики Казахстан о персональных данных, Актов Работодателя по вопросам обработки персональных данных, требований к защите персональных данных;
  • организовывать прием и обработку обращений и запросов Субъектов Персональных Данных или их представителей и (или) осуществлять контроль за приемом и Обработкой таких обращений и запросов.

При этом Лицо, ответственное за организацию Обработки Персональных Данных в Компании, вправе делегировать свои полномочия руководителям структурных подразделений.

5.10. Должностные лица (Работники Компании), допущенные к Обработке Персональных Данных, несут персональную ответственность за соблюдение требований Актов Работодателя по работе с Персональными Данными лиц, к которым они имеют доступ.

5.11. Принципы и требования по обеспечению безопасности Персональных Данных распространяются на все возможные формы существования информации, такие как:

  • физические поля (электрические, акустические, электромагнитные, оптические и т.п.);
  • носители (электронные – магнитные и оптические (CD и DVD) накопители, съемные жесткие диски и флэш-накопители, бумажные носители);
  • на все возможные форматы представления Персональных Данных, такие как:
    • документы;
    • голос;
    • изображения;
    • файлы;
    • почтовые сообщения;
    • базы данных;
    • записи базы данных;
    • другие информационные массивы.

5.12. Целью создания системы защиты Персональных Данных является исключение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения Персональных Данных, а также иных неправомерных действий, путем обеспечения:

  • конфиденциальности;
  • целостности;
  • доступности;
  • невозможности отказа от авторства;
  • учета;
  • аутентичности;
  • адекватности.

5.13. Предотвращение несанкционированного (в том числе и случайного) и незаконного доступа к Информационным Системам Персональных Данных, технологиям и информационным ресурсам, результатом которого может стать уничтожение, модификация, искажение, копирование, распространение, блокирование Персональных Данных, требует применения комплекса правовых, организационных, организационно-технических мер защиты с использованием средств защиты информации.

5.14. К основным мерам в области обеспечения безопасности Персональных Данных относится:

  • определение Угроз Безопасности Персональных Данных и информационных технологий, используемых в Информационных Системах Персональных Данных;
  • применение организационных и технических мер по обеспечению безопасности Персональных Данных при их обработке в Информационных Системах Персональных Данных, необходимых для выполнения требований к защите Персональных Данных, исполнение которых обеспечивает установленные законодательством уровни защищенности Персональных Данных;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценка эффективности принимаемых мер по обеспечению безопасности Персональных Данных до ввода в эксплуатацию Информационной Системы Персональных Данных;
  • учет машинных носителей Персональных Данных;
  • обеспечение работоспособного функционирования компьютерной техники с Персональными Даннами в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований Информационных Систем Персональных Данных и средств защиты информации;
  • обеспечение обнаружения фактов несанкционированного доступа к Персональным Данным и принятия мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на Информационные Системы Персональных Данных и по реагированию на компьютерные инциденты в них;
  • разработка (актуализация) документации по системе защиты Персональных Данных;
  • эксплуатация системы защиты Персональных Данных в соответствии с документацией на нее;
  • учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
  • обеспечение восстановления Персональных Данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к Персональным Данным, обрабатываемым в Информационной Системе Персональных Данных Компании, а также обеспечение регистрации и учета всех действий, совершаемых с Персональными Данными в Информационной Системе Персональных Данных;
  • контроль за принимаемыми мерами по обеспечению безопасности Персональных Данных и уровней защищенности Информационных Систем Персональных Данных;
  • уничтожение Персональных Данных в установленном порядке;
  • оптимизация информационных и бизнес-процессов Обработки Персональных Данных;
  • управление взаимодействиями с внешними контрагентами по вопросам Обработки Персональных Данных;
  • обучение персонала по вопросам защиты Персональных Данных;
  • реагирование на нештатные ситуации, расследование нештатных ситуаций, возникающих при Обработке Персональных Данных.

5.15. Копирование и составление выписок из документов, содержащих Персональные Данные, разрешается исключительно в рабочих целях с письменного разрешения руководителя структурного подразделения.

5.16. Обслуживание помещения (уборка или различный ремонт помещения, инженерно-технического оборудования) проводится обслуживающим персоналом только в присутствии и под присмотром хотя бы одного из Работников, имеющего право самостоятельно находиться в помещении. В случае, если возможность присмотра отсутствует, то носители информации о Персональных Данных должны быть защищены от несанкционированного доступа (например, размещения носителей только в запираемых шкафах и др. способами, обеспечивающими отсутствие несанкционированного доступа).

5.17. Работники подразделения, обеспечивающие контроль действий обслуживающего персонала в помещении, обязаны не допускать несанкционированных действий в отношении Информационной Системы Персональных Данных, бумажных и магнитных носителей информации и т.п., содержащих Персональные Данные.

5.18. Капитальный и (или) иной ремонт, продолжительный по времени и требующий высвобождения рабочей площади помещения, может проводиться и без присмотра, однако при этом в обязательном порядке:

  • носители информации, содержащие Персональные Данные, должны быть вынесены из ремонтируемого помещения в другое контролируемое помещение;
  • по окончании ремонта должны быть сменены ключи и (или) коды доступа в помещение (если таковые предоставлялись третьим лицам, осуществляющим такой ремонт).

5.19. Для сохранения целостности и доступности Персональных Данных, а также для обеспечения непрерывности бизнес-процессов, связанных с Обработкой Персональных Данных, Компания организовывает мероприятия по резервному копированию Персональных Данных.

5.20. В Компании также реализуются следующие требования к защите Персональных Данных:

  • организован режим обеспечения безопасности помещений, в которых размещены Информационные Системы Персональных Данных, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  • реализовано обеспечение сохранности носителей информации о Персональных Данных;
  • утвержден документ, определяющий перечень лиц, доступ которых к Персональным Данным, обрабатываемым в Информационной Системе Персональных Данных, необходим для выполнения ими трудовых обязанностей;
  • используются средства защиты информации о Персональных Данных.

6. Права Субъектов Персональных Данных

6.1. Субъект Персональных Данных имеет право:

  • знать о наличии у собственника и (или) Оператора, а также третьего лица своих Персональных Данных, а также получать информацию, содержащую:
    • подтверждение факта, цели, источников, способов Сбора и Обработки Персональных Данных;
    • перечень Персональных Данных;
    • сроки Обработки Персональных Данных, в том числе сроки их хранения.
  • требовать от собственника и (или) Оператора изменения и дополнения своих Персональных Данных при наличии оснований, подтвержденных соответствующими документами;
  • требовать от собственника и (или) Оператора, а также третьего лица блокирования своих Персональных Данных в случае наличия информации о нарушении условий Сбора, Обработки Персональных Данных;
  • требовать от собственника и (или) Оператора, а также третьего лица уничтожения своих Персональных Данных, Сбор и Обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных иными нормативными правовыми актами Республики Казахстан;
  • отозвать согласие на Сбор, Обработку, распространение в общедоступных источниках, передачу третьим лицам и Трансграничную Передачу Персональных Данных, кроме случаев, предусмотренных законодательством;
  • дать согласие (отказать) собственнику и (или) Оператору на распространение своих Персональных Данных в общедоступных источниках персональных данных;
  • на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
  • на осуществление иных прав, предусмотренных законодательством Республики Казахстан.

6.2. Субъект Персональных Данных вправе требовать от Компании уточнения его Персональных Данных, их блокирования или уничтожения в случае, если Персональные Данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели Обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3. Субъект Персональных Данных имеет право отправить в Компанию запрос на предоставление необходимых Субъекту Персональных Данных сведений, содержащих информацию об Обработке его Персональных Данных. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта Персональных Данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта Персональных Данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт Обработки Персональных Данных Компанией, подпись Субъекта Персональных Данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Республики Казахстан.

6.4. Субъект Персональных Данных имеет право на получение информации, касающейся Обработки его Персональных Данных, как указано в данной Политике.

6.5. Право Субъекта Персональных Данных на доступ к его Персональным Данным может быть ограничено в соответствии с законодательством Республики Казахстан, в том числе если доступ Субъекта Персональных Данных к его Персональным Данным нарушает права и законные интересы третьих лиц.

6.6. Обработка Персональных Данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия Субъекта Персональных Данных.

6.7. Если Субъект Персональных Данных считает, что Компания осуществляет Обработку его Персональных Данных с нарушением требований действующего законодательства или иным образом нарушает его права и свободы, Субъект Персональных Данных вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав Субъектов Персональных Данных или в судебном порядке.

6.8. Субъект Персональных Данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7. Акты Работодателя по защите Персональных Данных в Компании

7.1. Акты Работодателя - совокупность внутренних актов Компании, описывающих порядок Обработки Персональных Данных должностными лицами/работниками Компании.

7.2. Система Актов Работодателя включает следующие акты:

  • Данную Политику;
  • Положение по защите Персональных Данных работников и лиц, чьи данные обрабатываются в связи с трудовыми отношениями с Работодателем;
  • Положение по защите Персональных Данных Субъектов Персональных Данных, чьи данные обрабатываются в связи с деловыми отношениями с Компанией.

7.3. Компания может в рамках своих полномочий и в рамках системы Актов Работодателя издавать и иные Акты Работодателя, которые будут регулировать отдельные вопросы Обработки Персональных Данных, обязанности и права отдельных структурных подразделений и должностных лиц/работников.

7.4. Акты Работодателя не содержат положения, ограничивающие права Субъектов Персональных Данных, а также не возлагают на Компанию не предусмотренные законодательством полномочия и обязанности.

7.5. Ответственные лица в сфере работы с Персональными Данными определяются в отдельных Актах Работодателя, указанных в п.7.2. данной Политики, а также в иных Актах Работодателя и распорядительных документах Компании.

7.6. Субъекты Персональных Данных, перечень Персональных Данных, обрабатываемые Компанией, действия, которые осуществляются с Персональными Данными, определяются:

  • законодательством Республики Казахстан;
  • Актами Работодателя;
  • согласиями Субъектов Персональных Данных.

7.7. При изменении законодательства Акты Работодателя актуализируются с учетом новых требований законодательства.