Политика по обработке и обеспечению безопасности персональных данных

1. Общие положения


Настоящая политика по обработке и обеспечению безопасности персональных данных (далее - Политика) составлена в соответствии с требованиями Закона Республики Казахстан «О персональных данных и их защите», законодательством Республики Казахстан об информатизации, иных нормативных правовых актов Республики Казахстан и определяет порядок сбора, обработки персональных данных и меры по обеспечению их безопасности ТОО «BCC-HUB» (далее - Организация).

Настоящая политика Организации в отношении обработки персональных данных применяется ко всей информации, которую Организация может получить от различных категорий субъектов, посещающих Интернет-ресурс Организации: bcchub.kz, а также иные Интернет-ресурсы Организации, которые ссылаются на данную Политику.

Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, предоставленных через Интернет-ресурсы Организации и (или) собранных с использованием таких Интернет-ресурсов, относящиеся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).


2. Основные понятия, используемые в Политике


  • Защита персональных данных - комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных настоящим Законом Республики Казахстан «О персональных данных и их защите»;
  • Интернет-ресурс - электронный информационный ресурс Организации, расположенный по ссылке: bcchub.kz, технология его ведения и (или) использования, функционирующий в открытой информационно-коммуникационной сети, а также организационная структура, обеспечивающая информационное взаимодействие;
  • Использование персональных данных - действия с персональными данными, направленные на реализацию целей деятельности Организации;
  • Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • Персональные данные - персональные данные - сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные н Интернет-ресурсе;
  • Пользователь - любой посетитель Интернет-ресурса;
  • Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • Субъект персональных данных (далее - субъект) - физическое лицо, к которому относятся персональные данные;
  • Сбор персональных данных - действия, направленные на получение персональных данных;
  • Третье лицо - лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных.
  • Уничтожение персональных данных - действия, в результате совершения которых невозможно восстановить персональные данные;

2. Обработка персональных данных


Организация осуществляет обработку персональных данных через Интернет-ресурс следующими способами:

  • Персональные данные, предоставляемые пользователями: Обработка персональных данных осуществляется автоматически на Интернет-ресурсе с помощью сервисов, которые запускаются только при вводе своих данных.

Организация обрабатывает персональные данные пользователя только в случае их заполнения и/или отправки пользователем самостоятельно через специальные веб-формы, расположенные на Интернет-ресурсе. Заполняя соответствующие формы и/или отправляя свои персональные данные Организации, пользователь выражает свое согласие на обработку своих персональных данных Организацией, а также с настоящей Политикой.

  • Обработка персональных данных осуществляется автоматически на Интернет-ресурсе с помощью сервисов, которые запускаются только при вводе своих данных.

Перечень персональных данных:

  • фамилия, имя, отчество;
  • год, месяц, дата и место рождения;
  • гражданство;
  • пол;
  • сведения воинской обязанности и воинской службе;
  • сведения об образовании, квалификации, наличии специальных знаний или профессиональной подготовки;
  • сведения о трудовом стаже;
  • сведения о занимаемых ранее должностях и стаже работы (копия трудовой книжки);
  • адрес постоянного места жительства;
  • адрес фактического места жительства;
  • почтовые адреса и адреса электронной почты;
  • номера телефонов;
  • другие данные, указанные пользователем самостоятельно в резюме.

В отношении зарегистрированных пользователей на Интернет-ресурсе могут собираться сведения об использовании портов на устройствах пользователей с целью выявления подозрительной активности и защиты личных кабинетов пользователей. Данные могут быть получены с помощью различных методов, например, файлов cookies и файловых веб-маяков и др.

Организация может использовать сторонние интернет-сервисы (технологии третьих лиц) для организации сбора и обработки статистических персональных данных, сторонние интернет-сервисы обеспечивают хранение полученных данных на собственных серверах. Организация не несет ответственности за локализацию серверов сторонних интернет-сервисов. При этом такие сторонние интернет-сервисы (технологии третьих лиц), установленные на интернет-ресурсе и используемые Организацией, могут устанавливать и считывать cookie-файлы браузеров конечных пользователей Интернет-ресурса, или использовать сетевые маячки (web beacons) для сбора информации в процессе рекламной деятельности на Интернет-ресурсе. Порядок сбора и использования данных, собираемыми такими сторонними интернет-сервисами (технологиями третьих лиц), определяется самостоятельно этими сторонними интернет-сервисами, которые непосредственно несут ответственность за соблюдение данного порядка и использование собираемых ими данных, в том числе эти сторонние интернет-сервисы отвечают и обеспечивают выполнение требований применимого законодательства, в том числе законодательства о персональных данных РК.

Организация не проводит сопоставление информации, предоставляемой пользователем самостоятельно и позволяющей идентифицировать субъекта персональных данных, со статистическими персональными данными, полученными в ходе применения подобных пассивных методов сбора информации.


3. Принципы обработки и хранения персональных данных


Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых в Организацией персональных данных соответствуют заявленным целям обработки.

При обработке персональных данных в Организации обеспечивается точность персональных данных, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных. Организация принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных, или неточных персональных данных.

Организация в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РК о персональных данных. При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

Сроки обработки персональных данных определяются в соответствии с целями, для которых они были собраны.


4. Права и обязанности субъекта персональных данных


Организация обязана:

  • утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых Организацией задач, если иное не предусмотрено законами Республики Казахстан;
  • принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;
  • соблюдать законодательство Республики Казахстан о персональных данных и их защите;
  • принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных Законом о персональных данных и иными нормативными правовыми актами Республики Казахстан;

Субъект персональных данных имеет право:

  • получать информацию, содержащую:
  • подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
  • перечень персональных данных;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • требовать от Организации изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
  • требовать от Организации блокирования или уничтожения своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
  • обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
  • Субъект обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.

5. Защита персональных данных


Персональные данные подлежат защите, которая гарантируется государством и осуществляется в порядке, определяемом уполномоченным органом.

Сбор и обработка персональных данных осуществляются только в случаях обеспечения их защиты.

Целью защиты персональных данных является защита персональных данных, путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:

  1. реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
  2. обеспечения их целостности и сохранности;
  3. соблюдения их конфиденциальности;
  4. реализации права на доступ к ним;
  5. предотвращения незаконного их сбора и обработки.

С целью поддержания деловой репутации и обеспечения выполнения требований законодательства РК, Организация считает важнейшими задачами обеспечение легитимности обработки персональных данных в бизнес-процессах Организации и обеспечение надлежащего уровня безопасности, обрабатываемых в Организации персональных данных. Организация требует от иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РК.

Организация добивается того, чтобы все реализуемые ею мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства РК по вопросам обработки персональных данных.

Организация обязана принимать необходимые меры по защите персональных данных в соответствии Законом, определяемым предотвращение несанкционированного доступа к персональным данным и принятие мер, восстановление персональных данных, ограничение доступа к персональным данным, регистрацию и учет действий с персональными данными, а также контроль и оценку эффективности применяемых мер по обеспечению безопасности персональных данных.

Каждый работник Организации, непосредственно осуществляющий обработку персональных данных, ознакамливается с требованиями законодательства РК по обработке и обеспечению безопасности персональных данных, настоящей Политикой и другими актами Организации по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.

В случае нарушения законодательства Республики Казахстан о персональных данных и их защите, работник Организации несет ответственность в соответствии с законами Республики Казахстан.