Политика в отношении обработки персональных данных

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика TОО «ЕвроКарс» (далее — «Оператор») в отношении обработки персональных данных (далее — Политика) разработана в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения Политики.

1.3. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих в организации вопросы обработки персональных данных работников Оператора и других субъектов персональных данных.

1.4. Текст настоящей Политики размещается TОО «ЕвроКарс» в сети Интернет на веб-сайте по адресу:

citroen-kz.com

1.5. Политика обработки персональных данных у Оператора определяется в соответствии со следующими нормативными правовыми актами:

  • Конституция Республики Казахстан;
  • Трудовой кодекс Республики Казахстан;
  • Закон Республики Казахстан «О персональных данных и их защите»
  • иные нормативные правовые акты Республики Казахстан и нормативные документы уполномоченных органов государственной власти.

1.6. В целях реализации положений Политики Оператором разрабатываются соответствующие локальные правовые акты и иные документы, регламентирующие вопросы обработки персональных данных.

1.7. В настоящей Политике используются следующие основные понятия и термины:
a) Оператор — Товарищество с ограниченной ответственностью «ЕвроКарс». Юридический адрес: г. Астана, Проспект Республики, 32.
б) персональные данные — сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;;
в) субъект персональных данных — физическое лицо, к которому относятся обрабатываемые Оператором персональные данные, в том числе физическое лицо, не являющееся работником Оператора, к которому относятся обрабатываемые Оператором персональные данные, для достижения целей, определенных в главе 2 Политики;
г) обработка персональных данных — действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
д) распространение персональных данных — действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;
е) блокирование персональных данных — действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
ж) уничтожение персональных данных — действия, в результате совершения которых невозможно восстановить персональные данные;
з) обезличивание персональных данных — действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;
и) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства;
к) Cookies – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере Пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта;
л) IP-адрес – уникальный сетевой адрес, идентифицирующий устройство в интернете или локальной сети.

1.8. Основные права и обязанности Оператора.

1.8.1. Оператор имеет право:

1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;

2) поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;

3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

1.8.2. Оператор обязан:

1) организовывать обработку персональных данных в соответствии с требованиями Закона Республики Казахстан «О персональных данных и их защите»;

2) отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона Республики Казахстан «О персональных данных и их защите»;

3) сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях;

4) исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.

1.9. Субъект персональных данных имеет право:

1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

2) требовать от Оператора уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными; в любое время без объяснения причин отозвать свое согласие на обработку персональных данных. Если субъект персональных данных желает уточнения персональных данных в случае, когда персональные данные являются неполными, неточными или неактуальными, либо желает отозвать свое согласие на обработку персональных данных, субъект персональных данных должен направить официальный запрос в следующем порядке: письмо с темой «Уточнить персональные данные» или «Прекратить обработку персональных данных» на адрес электронной почты info@eurocars.kz или по адресу ТОО «ЕвроКарс», г. Астана, Проспект Республики, 32. В письме необходимо указать электронный адрес и/или почтовый адрес и номер телефона и соответствующее требование. При отзыве согласия на обработку персональных данных субъект персональных данных также отказывается от получения рекламно-информационных рассылок.

3) получать информацию о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Республики Казахстан;

4) требовать от Оператора блокирования или удаления его персональных данных, если они незаконно получены или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

5) обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

6) на осуществление иных прав, предусмотренных законодательством Республики Казахстан в сфере персональных данных.

ГЛАВА 2

ЦЕЛИ И СРОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. ТОО «ЕвроКарс», являясь оператором персональных данных, осуществляет обработку персональных данных следующих категорий субъектов:

  • родственников работников;
  • кандидатов на рабочие места;
  • работников и иных представителей Оператора;
  • работников и иных представителей контрагентов — юридических лиц;
  • контрагентов — физических лиц;
  • потребителей;
  • иных субъектов, взаимодействие которых с Оператором создает необходимость обработки персональных данных.

2.2. Обработка персональных данных  осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну.

2.3. Персональные данные обрабатываются Оператором в целях:

  • осуществление и выполнение функций, полномочий и обязанностей, возложенных на Оператора законодательством Республики Казахстан и международными договорами Республики Казахстан;
  • предоставление родственникам работников льгот и компенсаций;
  • выявление конфликта интересов;
  • рассмотрение возможности трудоустройства кандидатов;
  • ведение кадрового резерва;
  • проверка кандидатов (в том числе их квалификации и опыта работы);
  • оформление пропусков и допусков;
  • организация и сопровождение деловых поездок;
  • проведение мероприятий и обеспечение участия в них субъектов персональных данных;
  • обеспечение безопасности, сохранение материальных ценностей и предотвращение правонарушений;
  • выпуск доверенностей и иных уполномочивающих документов;
  • для дальнейшей коммуникации по заявке субъекта персональных данных;
  • ведение переговоров, заключение и исполнение договоров;
  • проверка контрагента;
  • реклама и продвижение товаров и услуг, в том числе представление информации о товарах и услугах Оператора;
  • обработка обращений с претензиями и информацией по безопасности товаров и услуг;
  • обработка обращений о негативных явлениях и побочных эффектах;
  • оценка качества удовлетворенности клиентов;
  • исполнение обязанности налогового агента;
  • оценки и анализа работы Оператора, аналитики эффективности размещения рекламы, информирования субъекта персональных данных об акциях, скидках и специальных предложениях посредством рассылок по электронной почте;
  • оформление трудовых отношений, цели, направленные на обеспечение соблюдения трудовых договоров, договоров, законов и иных нормативных правовых актов;
  • иных законных целях.

2.4. Обработка персональных данных производится в срок, достаточный для достижения конкретных, заранее заявленных законных целей. Персональные данные будут обрабатываться, пока согласие не будет отозвано, или же срок обработки не прекратит свое действие.

ГЛАВА 3

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ

3.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разд. 2 Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.2. Оператор может обрабатывать перечисленные персональные данные следующих категорий субъектов персональных данных.

3.2.1. Кандидаты для приема на работу к Оператору:

  • фамилия, имя, отчество;
  • пол;
  • гражданство;
  • дата и место рождения;
  • контактные данные;
  • сведения об образовании, опыте работы, квалификации;
  • иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.

3.2.2. Работники и бывшие работники Оператора:

  • фамилия, имя, отчество;
  • пол;
  • гражданство;
  • дата и место рождения;
  • изображение (фотография);
  • паспортные данные;
  • адрес регистрации по месту жительства;
  • адрес фактического проживания;
  • контактные данные;
  • индивидуальный идентификационный номер;
  • сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
  • семейное положение, наличие детей, родственные связи;
  • сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
  • данные о регистрации брака;
  • сведения о воинском учете;
  • сведения об инвалидности;
  • сведения об удержании алиментов;
  • сведения о доходе с предыдущего места работы;
  • иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

3.2.3. Члены семьи работников Оператора:

  • фамилия, имя, отчество;
  • степень родства;
  • год рождения;
  • иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

3.2.4. Клиенты и контрагенты Оператора (физические лица):

  • фамилия, имя, отчество;
  • дата и место рождения;
  • паспортные данные;
  • адрес регистрации по месту жительства;
  • контактные данные;
  • индивидуальный идентификационный номер;
  • номер расчетного счета, банковские данные;
  • иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.

3.2.5. Представители (работники) клиентов и контрагентов Оператора (юридических лиц):

  • фамилия, имя, отчество;
  • паспортные данные;
  • контактные данные;
  • занимаемая должность;
  • иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.

3.3. Обработка Оператором биометрических персональных данных (например, фотографии) осуществляется в соответствии с законодательством Республики Казахстан.

3.4. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Республики Казахстан.

ГЛАВА 4

ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Если в установленных законодательством Республики Казахстан случаях основным условием обработки персональных данных является получение согласия соответствующего субъекта персональных данных, такое согласие может быть получено в письменной форме, в виде электронного документа или в иной электронной форме (указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты; проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе; с использованием других способов, позволяющих установить факт получения согласия субъекта персональных данных).

4.2. Субъект персональных данных при даче своего согласия Оператору указывает свои фамилию, собственное имя, отчество (если таковое имеется), дату рождения, индивидуальный идентификационный номер, а в случае отсутствия такого номера — номер документа, удостоверяющего его личность. Если цели обработки персональных данных не требуют обработки информации, эта информация не подлежит обработке Оператором при получении согласия субъекта персональных данных.

4.3. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Казахстан. Передача персональных данных уполномоченным государственным органам дознания и организациям осуществляется в соответствии с требованиями законодательства Республики Казахстан.

4.4. Оператор вправе поручить обработку персональных данных от имени Оператора или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора. Договор должен содержать цели обработки персональных данных; перечень действий, которые будут совершаться с персональными данными уполномоченным лицом; обязанности по соблюдению конфиденциальности персональных данных; меры по обеспечению защиты персональных данных.

Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Оператора необходимо получение согласия субъекта персональных данных, такое согласие получает Оператор.

4.5. В целях внутреннего информационного обеспечения Оператор может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

4.6. Доступ к обрабатываемым Оператором персональным данным разрешается только работникам Оператора, занимающим должности, включенные в перечень должностей структурных подразделений Оператора, при замещении которых осуществляется обработка персональных данных.

4.7. На сайтах Оператора Оператор вправе использовать технологию «Сookies». «Cookies» не содержат конфиденциальную информацию и не передаются третьим лицам. Оператор получает информацию об IP-адресе пользователей сайтов и сведения о том, по ссылке с какого интернет-сайта он пришел. Данная информация не используется для установления личности посетителя.

4.8. Оператор осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).

4.9. Обработка персональных данных в Организации осуществляется следующими способами:

  • с использованием средств автоматизации;
  • без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).

ГЛАВА 5

МЕРЫ, ПРИНИМАЕМЫЕ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Меры, необходимые и достаточные для обеспечения выполнения обязанностей оператора, предусмотренных законодательством Республики Казахстан в области персональных данных, включают:

  • предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
  • разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
  • получение согласий субъектов персональных данных на обработку их персональных данных, передачу персональных данных третьим лицам, в том числе трансграничную передачу персональных данных, за исключением случаев, предусмотренных законодательством Республики Казахстан;
  • назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных у Оператора;
  • издание документов, определяющих политику Оператора в отношении обработки персональных данных;
  • ознакомление работников, непосредственно осуществляющих обработку персональных данных у Оператора с положениями законодательства о персональных данных;
  • установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
  • обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Оператора в отношении обработки персональных данных, до начала такой обработки;
  • прекращение обработки персональных данных при отсутствии оснований для их обработки;
  • незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
  • осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
  • ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
  • осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

5.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами Оператора, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

5.3. Внутренний контроль за соблюдением структурными подразделениями Оператора законодательства Республики Казахстан и локальных правовых актов Организации в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных у Оператора.

5.4. Ответственность за нарушение требований законодательства Республики Казахстан и нормативных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Казахстан.