Дербес деректерді өңдеу саясаты

1. ЖАЛПЫ ЕРЕЖЕЛЕР

Осы «ИНВИТРО-Қазақстан» ЖШС-да Дербес деректерді өңдеу саясаты (бұдан әрі – Саясат) дербес деректерді өңдеу процестерін реттейтін Қазақстан Республикасының нормативтік құқықтық актілерінің (бұдан әрі – ДДр) талаптарына сәйкес әзірленді. Саясат «ИНВИТРО-Қазақстан» ЖШС клиенттері мен жұмыскерлерінің (бұдан әрі – ДДр субъектілері) ДДр-ін «ИНВИТРО-Қазақстан» ЖШС-де (бұдан әрі – Серіктестік) өңдеу (жинау, сақтау, беру, өшіру, жою) және қорғау қағидаттарын айқындайды.

Осы Саясаттың күші автоматтандыру құралдарын пайдалана отырып, сондай-ақ осындай құралдарды пайдаланбай жүзеге асырылатын ДДр жинау, жазу, жүйелеу, жинақтау, сақтау, толықтыру (өзгерту, жаңарту), алу, пайдалану, тарату, беру (ұсыну, қол жеткізу), иесіздендіру, бұғаттау, өшіру, жою жөніндегі барлық процестерде қолданылады.

2. ДЕРБЕС ДЕРЕКТЕРДІ ӨҢДЕУ

2.1. ДДр өңдеудің қағидаттары мен мақсаттары

Серіктестікте дербес деректерді өңдеу нақты, алдын ала айқындалған және заңды мақсаттарға қол жеткізумен шектелуітиіс. Дербес деректерді жинау мақсаттарына сәйкес келмейтін дербес деректерді өңдеуге жол берілмейді.

ДДр өңдеу келесі қағидаттар негізінде жүзеге асырылады:

• адамның және азаматтың конституциялық құқықтары мен бостандықтарын сақтау;
• заңдылық;
• қолжетімділігі шектеулі дербес деректердің құпиялылығы;
• субъектілер, меншік иелері және операторлардың құқықтарының теңдігі;
• жеке тұлғаның, қоғамның және мемлекеттің қауіпсіздігін қамтамасыз ету

Серіктестікте ДДр өңдеу тек келесі мақсаттарда жүзеге асырылады:

• дербес деректер субъектісі тарапы не ол бойынша пайда алушы немесе кепіл беруші болып табылатын келісім-шарт бойынша, сондай-ақ дербес деректер субъектісінің бастамасы бойынша келісім-шарт немесе дербес деректер субъектісі пайда алушы немесе кепіл беруші болып табылатын келісім-шарт жасасу үшін міндеттемелерді орындау;
• контрагенттермен өзге де келісім-шарттар жасасу және орындау;
• қызметкерлерге жұмысқа орналасуға, еңбек міндеттерін орындауға, оқуға және мансап бойынша алға жылжуға жәрдемдесу;
• қызметкерлердің жеке қауіпсіздігін қамтамасыз ету, орындалатын жұмыстың саны мен сапасын бақылау;
• Серіктестік мүлкінің сақталуын қамтамасыз ету;
• денсаулық сақтаудағы маркетингтік қызметтер, маркетингтік зерттеулер жүргізу;
• хатшылық, редакторлық және аударма қызметтерін ұсыну;
• қоғамдық пікірді зерттеу бойынша қызмет;
• коммерциялық қызмет және басқару мәселелері бойынша кеңес беру;
• стандарттау және метрология саласындағы қызмет;
• құжат айналымын, офис-менеджментті, бренд-менеджментті ұйымдастыру және жетілдіру бойынша қызметтер көрсету;
• жарнама саласында қызмет көрсету;
• жарнама материалдарының, баспа және кәдесый өнімдерінің дизайны саласында қызметтер көрсету;
• қоғаммен байланыс (PR), өтініштерге жауап дайындау бойынша қызметтер көрсету;
• шақыруларды өңдеу орталығының қызметтерін көрсету;
• байланыс құралдары, жарнамалық-ақпараттық хабарламалар жіберу арқылы клиенттермен тікелей байланыс жасау арқылы қызметтерді жылжыту;
• www.invitro.kz сайтының жұмыс істеуін қамтамасыз ету;
• Қазақстан Республикасының заңнамасына қайшы келмейтін шаруашылық қызметтің басқа да түрлерін жүзеге асыру.

2.2. Дербес деректерді жинау

Др-ді жинау, жинақтау, сақтау, өзгерту, пайдалану, тарату және беру, қолданыстағы заңнамаға сәйкес ДДр субъектісінің келісімін алмай ДДр-ді өңдеуге жол берілетін жағдайларды қоспағанда, ДДр субъектісінің келісімі болған жағдайда ғана жүзеге асырылады.

2.3. Дербес деректерді сақтау

Егер ДДр-ді сақтау мерзімі заңда, ДДр субъектісі болып табылатын пайда алушы немесе кепіл беруші болып табылатын келісім-шартта белгіленбесе, ДДр-ді сақтау ДДр-ді өңдеудің тиісті мақсаттары талап еткеннен аспайтын ДДр субъектісін анықтауға мүмкіндік беретін нысанда жүзеге асырылады. Өңделетін ДДр өңдеу мақсаттарына қол жеткізгеннен кейін немесе осы мақсаттарға қол жеткізу қажеттілігі жоғалған жағдайда жойылуы не иесіздендірілуі тиіс.

Субъектілердің ДДр-і қағаз тасығышта да, электрондық түрде де өңделе алады.

2.4. Дербес деректерді үшінші тұлғаларға беру

Серіктестік ДДр-ді өңдеуді ДДр субъектісінің келісімімен үшінші тұлғаға беруге құқылы. Бұл ретте Серіктестік келісім-шартта Серіктестіктің тапсырмасы бойынша ДДр-ді өңдеуді жүзеге асыратын үшінші тұлғаны 21.05.2013 жылғы "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасының Заңында және ДДр-ді өңдеу процестерін регламенттейтін басқа да нормативтік құқықтық актілерде көзделген ДДр-ді өңдеу қағидаттары мен ережелерін сақтауға міндеттейді.

Егер Серіктестік ДДр-ді өңдеуді үшінші тұлғаға берген жағдайда, аталған тұлғаның іс-әрекеті үшін ДДр субъектісінің алдында Серіктестік жауапты болады.

Серіктестіктің тапсырмасы бойынша ДДр-ді өңдеуді жүзеге асыратын тұлға Серіктестік алдында жауапты болады. Егер заңда өзгеше көзделмесе, Серіктестік ДДр субъектісінің келісімінсіз ДДр-ді үшінші тұлғаларға ашпауға және таратпауға міндеттенеді және міндеттейді.

2.5. Дербес деректерді жою

Егер Серіктестік пен ДДр субъектісі арасындағы келісімде өзгеше көзделмесе, ДДр өңдеу мақсаттарына қол жеткізілген жағдайда, Серіктестік ДДр-ді өңдеуді тоқтатады және ДДр-ді өңдеу мақсатына қол жеткізілген күннен бастап отыз күннен аспайтын мерзімде ДДр-ді жояды.

ДДР субъектісі өз дербес деректерін жою туралы өтінішпен жүгінген жағдайда, Серіктестік осы субъектінің дербес деректерін өңдеуді тоқтатуға немесе өңдеуді тоқтатуды қамтамасыз етуге және өтініште көрсетілген дербес деректерді жоюға міндетті.

ДДр-ді жою Серіктестіктің ішкі процестеріне сәйкес жүргізіледі.

2.6. Дербес деректерді қорғау

ДДр-ді өңдеу кезінде Серіктестік ДДр-ді оларға заңсыз немесе кездейсоқ қол жеткізуден, ДДр-ді жоюдан, өзгертуден, бұғаттаудан, көшіруден, беруден, таратудан, сондай-ақ ДДр-ге қатысты өзге де заңсыз әрекеттерден қорғау үшін қажетті құқықтық, ұйымдастырушылық және техникалық шараларды қабылдайды.

ДДр қауіпсіздігі қамтамасыз етіледі:

• ДДр ақпараттық жүйелерінде (бұдан әрі – ДДрА) өңдеу кезінде ДДр қауіпсіздігіне төнетін қатерлерді айқындаумен;
• орындалуы Қазақстан Республикасының заңнамасында белгіленген ДДр-ді қорғау деңгейін қамтамасыз ететін ДДр-ді қорғауға қойылатын талаптарды орындау үшін қажетті ДДр-ді ДДрА-да өңдеу кезінде оның қауіпсіздігін қамтамасыз ету жөніндегі ұйымдастырушылық және техникалық шараларды қолдану арқылы;
• ДДрА пайдалануға берілгенге дейін ДДр қауіпсіздігін қамтамасыз ету бойынша қабылданып жатқан шаралардың тиімділігін бағалау арқылы;
• ДДр-ға рұқсатсыз қол жеткізу фактілерін анықтау және қажетті шараларды қабылдау арқылы;
• рұқсат етілмеген қол жеткізу салдарынан түрлендірілген немесе жойылған ДДр-ді қалпына келтірумен;
• ДДрА-да өңделетін ДДр-ға қол жеткізу қағидаларын белгілеумен, сондай-ақ ДДрА-да ДДр-ға қол жеткізуді тіркеуді қамтамасыз етумен;
• ДДр қауіпсіздігін қамтамасыз ету және ДДрА қорғалу деңгейін қамтамасыз ету бойынша қабылданатын шараларды бақылау арқылы;
• басқа да тәсілдермен.

2.7. Дербес деректерді өңдеудің құқықтық негіздері

Дербес деректерді өңдеудің құқықтық негізі оларды орындау үшін және соған сәйкес Серіктестік дербес деректерді өңдеуді жүзеге асыратын құқықтық актілердің жиынтығы болып табылады:

• 07.07.2020 ж. «Халық денсаулығы және денсаулық сақтау жүйесі туралы» Қазақстан Республикасы Кодексінің 273-бабы;
• 2015 жылғы 23 қарашадағы Қазақстан Республикасы Еңбек кодексінің 22-бабы 1-тармағының 24-тармақшасы, 23-бабы 2-тармағының 24-тармақшасы;
• Серіктестіктің жарғылық құжаттары;
• Серіктестік пен дербес деректер субъектісі арасында жасалатын келісім-шарттар;
• дербес деректерді өңдеуге келісім.

2.8. Өңделетін дербес деректердің көлемі мен санаттары, дербес деректер субъектілерінің санаттары

Өңделетін дербес деректердің мазмұны мен көлемі өңдеудің мәлімделген мақсаттарына сәйкес келуі тиіс. Өңделетін дербес деректер оларды өңдеудің мәлімделген мақсаттарына қатысты артық болмауы тиіс.

Дербес деректер субъектілерінің санаттарына келесілер жатады:

• Серіктестіктің (заңды тұлғалардың) клиенттері мен контрагенттерінің өкілдері/қызметкерлері;
• Серіктестіктің клиенттері мен контрагенттері;
• Серіктестік қызметкерлері.

Субъектілердің санаттары шеңберінде және нақты мақсаттарға қатысты арнайы және биометриялық дербес деректерді өңдеу жағдайлары:

• дербес деректердің арнайы санаттары – денсаулық жағдайы туралы ақпарат;
• биометриялық дербес деректер – қызметкерлердің фотосуреттері.

2.9. Дербес деректерді өңдеу тәртібі мен шарттары

Дербес деректермен жасалатын іс-әрекеттер тізбесі, оператор пайдаланатын дербес деректерді өңдеу тәсілдерінің жалпы сипаттамасы: жинау, жазу, жүйелеу, жинақтау, сақтау, нақтылау (жаңарту), өзгерту, толықтыру, алу, пайдалану, тарату, беру, иесіздендіру, бұғаттау, өшіру, жою.

Жоғарыда аталған дербес деректерді өңдеу заңды тұлғаның ішкі желісі бойынша, интернет желісі бойынша беріле отырып, аралас өңдеу жолымен жүзеге асырыла алады.

Дербес деректерді үшінші тұлғаларға беру, шарты үшінші тұлғаның дербес деректерді өңдеу кезінде олардың қауіпсіздігін (оның ішінде дербес деректердің құпиялылығын) қамтамасыз ету міндеті болып табылатын келісім-шарттың, сондай-ақ «Дербес деректер және оларды қорғау туралы» Қазақстан Республикасы Заңының 22-бабының 1-тармағында көзделген шаралардың негізінде ғана жүзеге асырылады.

Дербес деректерді өңдеуді тоқтату шарттары:

• дербес деректерді өңдеу мақсаттарына қол жеткізу;
• субъект, меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға арасындағы құқықтық қатынастар тоқтатылған кезде;
• сот шешімі заңды күшіне енген кезде;

Дербес деректерді сақтауды жүзеге асыру кезінде Серіктестік «Дербес деректер және оларды қорғау туралы» Қазақстан Республикасы Заңының 12-бабының 2-тармағына сәйкес Қазақстан Республикасының аумағындағы дерекқорды пайдаланады.

2.10. Дербес деректерді өзектендіру, түзету, толықтыру және өшіру және жою, субъектілердің дербес деректерге қол жеткізуге сұрау салуларына жауаптар

Дербес деректердің дәл еместігі немесе оларды өңдеудің заңсыздығы фактісі расталған жағдайда Серіктестік дербес деректерді өзектілендіруі (өзгертуі, толықтыруы, түзетуі) тиіс.

Дербес деректерді өңдеу мақсаттарына қол жеткізген кезде, сондай-ақ дербес деректер субъектісі оларды өңдеуге арналған келісімді кері қайтарып алған жағдайда, егер дербес деректер субъектісі тарапы немесе ол бойынша пайда алушы немесе кепіл беруші болып табылатын келісім-шартта өзгеше көзделмесе, дербес деректер жойылуға жатады.

Серіктестік дербес деректер субъектісіне немесе оның өкіліне осындай субъектінің дербес деректерін өңдеуді жүзеге асыратыны туралы ақпаратты соңғысының сұрау салуы бойынша хабарлауға міндетті.

3. ДЕРБЕС ДЕРЕКТЕРГЕ ҚОЛ ЖЕТКІЗУ

Серіктестік дербес деректердің құпиялылығын қамтамасыз етеді, яғни дербес деректер субъектісінің келісімінсіз немесе өзге заңды негіз болмаса, оларды таратуға жол бермейді. Иесіздендірілген және жалпыға қолжетімді дербес деректердің құпиялылығын қамтамасыз ету Серіктестікте өңделетін өзге де деректердің құпиялылығын қамтамасыз етуге ұқсас жүзеге асырылады.

3.1. Дербес деректері бар ақпаратқа қол жеткізуді ұйымдастыру.

ДДр-ге қол жеткізу Серіктестіктің тікелей лауазымдық міндеттерін орындау үшін қажет қызметкерлеріне ғана беріледі.

Серіктестік қызметкерлерін ДДр-ді өңдеуге жіберу Серіктестікте өңделетін ДДр-ді өңдеуге жіберілген қызметкерлер лауазымдарының бекітілген тізбесі негізінде жүзеге асырылады. Серіктестік қызметкері өз еңбек міндеттерін орындаған жағдайда ғана ДДр-ді өңдеуге жіберіледі.

Серіктестіктің қызметкері ДДр-ді өңдеуді реттейтін қолданыстағы нормативтік құқықтық актілермен, ДДр-ді өңдеуді реттейтін Серіктестіктің жергілікті нормативтік актілерімен танысқаннан кейін ғана ДДр-ді өңдеуге жіберіледі.

3.2. Дербес деректер субъектілерінің өз дербес деректеріне қол жеткізуін ұйымдастыру

Серіктестік ДДр субъектілерінің оларға тиесілі ДДр-ге қол жеткізуін қамтамасыз етеді. Мұндай қолжетімділікті алу үшін ДДр субъектісі Серіктестікке № 1 қосымшада келтірілген нысан бойынша жазбаша сұрау салу жіберуі қажет. Серіктестік субъектіге қолжетімді нысанда өтініш жасаған субъектінің ДДр-ін беруді жүзеге асырады.

Қазақстан Республикасының «Дербес деректер және оларды қорғау туралы» Заңына сәйкес ДДр субъектісі құқылы:

• меншік иесінде және (немесе) операторда, сондай-ақ үшінші тұлғада өзінің дербес деректерінің болуы туралы білуге; сондай-ақ келесілерді қамтитын ақпаратты алуға:
• дербес деректерді жинау және өңдеу фактілерін, мақсаттарын, көздерін, тәсілдерін растау;
• жеке мәліметтер тізімі;
• дербес деректерді өңдеу мерзімдері, оның ішінде оларды сақтау мерзімдері;
• тиісті құжаттармен расталған негіздер болған жағдайда меншік иесінен және (немесе) оператордан өз дербес деректерін өзгертуді және толықтыруды талап етуге;
• меншік иесінен және (немесе) оператордан, сондай-ақ үшінші тұлғадан дербес деректерді жинау, өңдеу шарттарының бұзылғаны туралы ақпарат болған жағдайда, өз дербес деректерін бұғаттауды талап етуге;
• меншік иесінен және (немесе) оператордан, сондай-ақ үшінші тұлғадан Қазақстан Республикасының заңнамасын бұза отырып жиналған және өңделген өз дербес деректерін жоюды талап етуге;
• дербес деректерді жинауға, өңдеуге келісімді кері қайтарып алуға;
• меншік иесіне және (немесе) операторға дербес деректердің жалпыға қолжетімді көздерінде өз дербес деректерінің таратылуына келісім беруге (бас тартуға) ;
• өз құқықтары мен заңды мүдделерін қорғауға, оның ішінде моральды және материалды зиянның өтелуін талап етуге;

4. АУАПКЕРШІЛІК

Нормативтік құқықтық актілерді және Серіктестіктің жергілікті нормативтік актілерін бұзғаны үшін кінәлі Серіктестік қызметкерлері қолданыстағы заңнамада белгіленген тәртіппен тәртіптік, материалдық, азаматтық-құқықтық, әкімшілік, қылмыстық жауапкершілікке тартылады.