1. ЖАЛПЫ ЕРЕЖЕЛЕР
Осы «ИНВИТРО-Қазақстан» ЖШС-да Дербес деректерді өңдеу саясаты (бұдан әрі – Саясат) дербес деректерді өңдеу процестерін реттейтін Қазақстан Республикасының нормативтік құқықтық актілерінің (бұдан әрі – ДДр) талаптарына сәйкес әзірленді. Саясат «ИНВИТРО-Қазақстан» ЖШС клиенттері мен жұмыскерлерінің (бұдан әрі – ДДр субъектілері) ДДр-ін «ИНВИТРО-Қазақстан» ЖШС-де (бұдан әрі – Серіктестік) өңдеу (жинау, сақтау, беру, өшіру, жою) және қорғау қағидаттарын айқындайды.
Осы Саясаттың күші автоматтандыру құралдарын пайдалана отырып, сондай-ақ осындай құралдарды пайдаланбай жүзеге асырылатын ДДр жинау, жазу, жүйелеу, жинақтау, сақтау, толықтыру (өзгерту, жаңарту), алу, пайдалану, тарату, беру (ұсыну, қол жеткізу), иесіздендіру, бұғаттау, өшіру, жою жөніндегі барлық процестерде қолданылады.
2. ДЕРБЕС ДЕРЕКТЕРДІ ӨҢДЕУ
2.1. ДДр өңдеудің қағидаттары мен мақсаттары
Серіктестікте дербес деректерді өңдеу нақты, алдын ала айқындалған және заңды мақсаттарға қол жеткізумен шектелуітиіс. Дербес деректерді жинау мақсаттарына сәйкес келмейтін дербес деректерді өңдеуге жол берілмейді.
ДДр өңдеу келесі қағидаттар негізінде жүзеге асырылады:
Др-ді жинау, жинақтау, сақтау, өзгерту, пайдалану, тарату және беру, қолданыстағы заңнамаға сәйкес ДДр субъектісінің келісімін алмай ДДр-ді өңдеуге жол берілетін жағдайларды қоспағанда, ДДр субъектісінің келісімі болған жағдайда ғана жүзеге асырылады.
2.3. Дербес деректерді сақтау
Егер ДДр-ді сақтау мерзімі заңда, ДДр субъектісі болып табылатын пайда алушы немесе кепіл беруші болып табылатын келісім-шартта белгіленбесе, ДДр-ді сақтау ДДр-ді өңдеудің тиісті мақсаттары талап еткеннен аспайтын ДДр субъектісін анықтауға мүмкіндік беретін нысанда жүзеге асырылады. Өңделетін ДДр өңдеу мақсаттарына қол жеткізгеннен кейін немесе осы мақсаттарға қол жеткізу қажеттілігі жоғалған жағдайда жойылуы не иесіздендірілуі тиіс.
Субъектілердің ДДр-і қағаз тасығышта да, электрондық түрде де өңделе алады.
2.4. Дербес деректерді үшінші тұлғаларға беру
Серіктестік ДДр-ді өңдеуді ДДр субъектісінің келісімімен үшінші тұлғаға беруге құқылы. Бұл ретте Серіктестік келісім-шартта Серіктестіктің тапсырмасы бойынша ДДр-ді өңдеуді жүзеге асыратын үшінші тұлғаны 21.05.2013 жылғы "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасының Заңында және ДДр-ді өңдеу процестерін регламенттейтін басқа да нормативтік құқықтық актілерде көзделген ДДр-ді өңдеу қағидаттары мен ережелерін сақтауға міндеттейді.
Егер Серіктестік ДДр-ді өңдеуді үшінші тұлғаға берген жағдайда, аталған тұлғаның іс-әрекеті үшін ДДр субъектісінің алдында Серіктестік жауапты болады.
Серіктестіктің тапсырмасы бойынша ДДр-ді өңдеуді жүзеге асыратын тұлға Серіктестік алдында жауапты болады. Егер заңда өзгеше көзделмесе, Серіктестік ДДр субъектісінің келісімінсіз ДДр-ді үшінші тұлғаларға ашпауға және таратпауға міндеттенеді және міндеттейді.
2.5. Дербес деректерді жою
Егер Серіктестік пен ДДр субъектісі арасындағы келісімде өзгеше көзделмесе, ДДр өңдеу мақсаттарына қол жеткізілген жағдайда, Серіктестік ДДр-ді өңдеуді тоқтатады және ДДр-ді өңдеу мақсатына қол жеткізілген күннен бастап отыз күннен аспайтын мерзімде ДДр-ді жояды.
ДДР субъектісі өз дербес деректерін жою туралы өтінішпен жүгінген жағдайда, Серіктестік осы субъектінің дербес деректерін өңдеуді тоқтатуға немесе өңдеуді тоқтатуды қамтамасыз етуге және өтініште көрсетілген дербес деректерді жоюға міндетті.
ДДр-ді жою Серіктестіктің ішкі процестеріне сәйкес жүргізіледі.
2.6. Дербес деректерді қорғау
ДДр-ді өңдеу кезінде Серіктестік ДДр-ді оларға заңсыз немесе кездейсоқ қол жеткізуден, ДДр-ді жоюдан, өзгертуден, бұғаттаудан, көшіруден, беруден, таратудан, сондай-ақ ДДр-ге қатысты өзге де заңсыз әрекеттерден қорғау үшін қажетті құқықтық, ұйымдастырушылық және техникалық шараларды қабылдайды.
ДДр қауіпсіздігі қамтамасыз етіледі:
Дербес деректерді өңдеудің құқықтық негізі оларды орындау үшін және соған сәйкес Серіктестік дербес деректерді өңдеуді жүзеге асыратын құқықтық актілердің жиынтығы болып табылады:
Өңделетін дербес деректердің мазмұны мен көлемі өңдеудің мәлімделген мақсаттарына сәйкес келуі тиіс. Өңделетін дербес деректер оларды өңдеудің мәлімделген мақсаттарына қатысты артық болмауы тиіс.
Дербес деректер субъектілерінің санаттарына келесілер жатады:
Дербес деректермен жасалатын іс-әрекеттер тізбесі, оператор пайдаланатын дербес деректерді өңдеу тәсілдерінің жалпы сипаттамасы: жинау, жазу, жүйелеу, жинақтау, сақтау, нақтылау (жаңарту), өзгерту, толықтыру, алу, пайдалану, тарату, беру, иесіздендіру, бұғаттау, өшіру, жою.
Жоғарыда аталған дербес деректерді өңдеу заңды тұлғаның ішкі желісі бойынша, интернет желісі бойынша беріле отырып, аралас өңдеу жолымен жүзеге асырыла алады.
Дербес деректерді үшінші тұлғаларға беру, шарты үшінші тұлғаның дербес деректерді өңдеу кезінде олардың қауіпсіздігін (оның ішінде дербес деректердің құпиялылығын) қамтамасыз ету міндеті болып табылатын келісім-шарттың, сондай-ақ «Дербес деректер және оларды қорғау туралы» Қазақстан Республикасы Заңының 22-бабының 1-тармағында көзделген шаралардың негізінде ғана жүзеге асырылады.
Дербес деректерді өңдеуді тоқтату шарттары:
2.10. Дербес деректерді өзектендіру, түзету, толықтыру және өшіру және жою, субъектілердің дербес деректерге қол жеткізуге сұрау салуларына жауаптар
Дербес деректердің дәл еместігі немесе оларды өңдеудің заңсыздығы фактісі расталған жағдайда Серіктестік дербес деректерді өзектілендіруі (өзгертуі, толықтыруы, түзетуі) тиіс.
Дербес деректерді өңдеу мақсаттарына қол жеткізген кезде, сондай-ақ дербес деректер субъектісі оларды өңдеуге арналған келісімді кері қайтарып алған жағдайда, егер дербес деректер субъектісі тарапы немесе ол бойынша пайда алушы немесе кепіл беруші болып табылатын келісім-шартта өзгеше көзделмесе, дербес деректер жойылуға жатады.
Серіктестік дербес деректер субъектісіне немесе оның өкіліне осындай субъектінің дербес деректерін өңдеуді жүзеге асыратыны туралы ақпаратты соңғысының сұрау салуы бойынша хабарлауға міндетті.
3. ДЕРБЕС ДЕРЕКТЕРГЕ ҚОЛ ЖЕТКІЗУ
Серіктестік дербес деректердің құпиялылығын қамтамасыз етеді, яғни дербес деректер субъектісінің келісімінсіз немесе өзге заңды негіз болмаса, оларды таратуға жол бермейді. Иесіздендірілген және жалпыға қолжетімді дербес деректердің құпиялылығын қамтамасыз ету Серіктестікте өңделетін өзге де деректердің құпиялылығын қамтамасыз етуге ұқсас жүзеге асырылады.
3.1. Дербес деректері бар ақпаратқа қол жеткізуді ұйымдастыру.
ДДр-ге қол жеткізу Серіктестіктің тікелей лауазымдық міндеттерін орындау үшін қажет қызметкерлеріне ғана беріледі.
Серіктестік қызметкерлерін ДДр-ді өңдеуге жіберу Серіктестікте өңделетін ДДр-ді өңдеуге жіберілген қызметкерлер лауазымдарының бекітілген тізбесі негізінде жүзеге асырылады. Серіктестік қызметкері өз еңбек міндеттерін орындаған жағдайда ғана ДДр-ді өңдеуге жіберіледі.
Серіктестіктің қызметкері ДДр-ді өңдеуді реттейтін қолданыстағы нормативтік құқықтық актілермен, ДДр-ді өңдеуді реттейтін Серіктестіктің жергілікті нормативтік актілерімен танысқаннан кейін ғана ДДр-ді өңдеуге жіберіледі.
3.2. Дербес деректер субъектілерінің өз дербес деректеріне қол жеткізуін ұйымдастыру
Серіктестік ДДр субъектілерінің оларға тиесілі ДДр-ге қол жеткізуін қамтамасыз етеді. Мұндай қолжетімділікті алу үшін ДДр субъектісі Серіктестікке № 1 қосымшада келтірілген нысан бойынша жазбаша сұрау салу жіберуі қажет. Серіктестік субъектіге қолжетімді нысанда өтініш жасаған субъектінің ДДр-ін беруді жүзеге асырады.
Қазақстан Республикасының «Дербес деректер және оларды қорғау туралы» Заңына сәйкес ДДр субъектісі құқылы:
Нормативтік құқықтық актілерді және Серіктестіктің жергілікті нормативтік актілерін бұзғаны үшін кінәлі Серіктестік қызметкерлері қолданыстағы заңнамада белгіленген тәртіппен тәртіптік, материалдық, азаматтық-құқықтық, әкімшілік, қылмыстық жауапкершілікке тартылады.
Осы «ИНВИТРО-Қазақстан» ЖШС-да Дербес деректерді өңдеу саясаты (бұдан әрі – Саясат) дербес деректерді өңдеу процестерін реттейтін Қазақстан Республикасының нормативтік құқықтық актілерінің (бұдан әрі – ДДр) талаптарына сәйкес әзірленді. Саясат «ИНВИТРО-Қазақстан» ЖШС клиенттері мен жұмыскерлерінің (бұдан әрі – ДДр субъектілері) ДДр-ін «ИНВИТРО-Қазақстан» ЖШС-де (бұдан әрі – Серіктестік) өңдеу (жинау, сақтау, беру, өшіру, жою) және қорғау қағидаттарын айқындайды.
Осы Саясаттың күші автоматтандыру құралдарын пайдалана отырып, сондай-ақ осындай құралдарды пайдаланбай жүзеге асырылатын ДДр жинау, жазу, жүйелеу, жинақтау, сақтау, толықтыру (өзгерту, жаңарту), алу, пайдалану, тарату, беру (ұсыну, қол жеткізу), иесіздендіру, бұғаттау, өшіру, жою жөніндегі барлық процестерде қолданылады.
2. ДЕРБЕС ДЕРЕКТЕРДІ ӨҢДЕУ
2.1. ДДр өңдеудің қағидаттары мен мақсаттары
Серіктестікте дербес деректерді өңдеу нақты, алдын ала айқындалған және заңды мақсаттарға қол жеткізумен шектелуітиіс. Дербес деректерді жинау мақсаттарына сәйкес келмейтін дербес деректерді өңдеуге жол берілмейді.
ДДр өңдеу келесі қағидаттар негізінде жүзеге асырылады:
- адамның және азаматтың конституциялық құқықтары мен бостандықтарын сақтау;
- заңдылық;
- қолжетімділігі шектеулі дербес деректердің құпиялылығы;
- субъектілер, меншік иелері және операторлардың құқықтарының теңдігі;
- жеке тұлғаның, қоғамның және мемлекеттің қауіпсіздігін қамтамасыз ету
- дербес деректер субъектісі тарапы не ол бойынша пайда алушы немесе кепіл беруші болып табылатын келісім-шарт бойынша, сондай-ақ дербес деректер субъектісінің бастамасы бойынша келісім-шарт немесе дербес деректер субъектісі пайда алушы немесе кепіл беруші болып табылатын келісім-шарт жасасу үшін міндеттемелерді орындау;
- контрагенттермен өзге де келісім-шарттар жасасу және орындау;
- қызметкерлерге жұмысқа орналасуға, еңбек міндеттерін орындауға, оқуға және мансап бойынша алға жылжуға жәрдемдесу;
- қызметкерлердің жеке қауіпсіздігін қамтамасыз ету, орындалатын жұмыстың саны мен сапасын бақылау;
- Серіктестік мүлкінің сақталуын қамтамасыз ету;
- денсаулық сақтаудағы маркетингтік қызметтер, маркетингтік зерттеулер жүргізу;
- хатшылық, редакторлық және аударма қызметтерін ұсыну;
- қоғамдық пікірді зерттеу бойынша қызмет;
- коммерциялық қызмет және басқару мәселелері бойынша кеңес беру;
- стандарттау және метрология саласындағы қызмет;
- құжат айналымын, офис-менеджментті, бренд-менеджментті ұйымдастыру және жетілдіру бойынша қызметтер көрсету;
- жарнама саласында қызмет көрсету;
- жарнама материалдарының, баспа және кәдесый өнімдерінің дизайны саласында қызметтер көрсету;
- қоғаммен байланыс (PR), өтініштерге жауап дайындау бойынша қызметтер көрсету;
- шақыруларды өңдеу орталығының қызметтерін көрсету;
- байланыс құралдары, жарнамалық-ақпараттық хабарламалар жіберу арқылы клиенттермен тікелей байланыс жасау арқылы қызметтерді жылжыту;
- www.invitro.kz сайтының жұмыс істеуін қамтамасыз ету;
- Қазақстан Республикасының заңнамасына қайшы келмейтін шаруашылық қызметтің басқа да түрлерін жүзеге асыру.
Др-ді жинау, жинақтау, сақтау, өзгерту, пайдалану, тарату және беру, қолданыстағы заңнамаға сәйкес ДДр субъектісінің келісімін алмай ДДр-ді өңдеуге жол берілетін жағдайларды қоспағанда, ДДр субъектісінің келісімі болған жағдайда ғана жүзеге асырылады.
2.3. Дербес деректерді сақтау
Егер ДДр-ді сақтау мерзімі заңда, ДДр субъектісі болып табылатын пайда алушы немесе кепіл беруші болып табылатын келісім-шартта белгіленбесе, ДДр-ді сақтау ДДр-ді өңдеудің тиісті мақсаттары талап еткеннен аспайтын ДДр субъектісін анықтауға мүмкіндік беретін нысанда жүзеге асырылады. Өңделетін ДДр өңдеу мақсаттарына қол жеткізгеннен кейін немесе осы мақсаттарға қол жеткізу қажеттілігі жоғалған жағдайда жойылуы не иесіздендірілуі тиіс.
Субъектілердің ДДр-і қағаз тасығышта да, электрондық түрде де өңделе алады.
2.4. Дербес деректерді үшінші тұлғаларға беру
Серіктестік ДДр-ді өңдеуді ДДр субъектісінің келісімімен үшінші тұлғаға беруге құқылы. Бұл ретте Серіктестік келісім-шартта Серіктестіктің тапсырмасы бойынша ДДр-ді өңдеуді жүзеге асыратын үшінші тұлғаны 21.05.2013 жылғы "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасының Заңында және ДДр-ді өңдеу процестерін регламенттейтін басқа да нормативтік құқықтық актілерде көзделген ДДр-ді өңдеу қағидаттары мен ережелерін сақтауға міндеттейді.
Егер Серіктестік ДДр-ді өңдеуді үшінші тұлғаға берген жағдайда, аталған тұлғаның іс-әрекеті үшін ДДр субъектісінің алдында Серіктестік жауапты болады.
Серіктестіктің тапсырмасы бойынша ДДр-ді өңдеуді жүзеге асыратын тұлға Серіктестік алдында жауапты болады. Егер заңда өзгеше көзделмесе, Серіктестік ДДр субъектісінің келісімінсіз ДДр-ді үшінші тұлғаларға ашпауға және таратпауға міндеттенеді және міндеттейді.
2.5. Дербес деректерді жою
Егер Серіктестік пен ДДр субъектісі арасындағы келісімде өзгеше көзделмесе, ДДр өңдеу мақсаттарына қол жеткізілген жағдайда, Серіктестік ДДр-ді өңдеуді тоқтатады және ДДр-ді өңдеу мақсатына қол жеткізілген күннен бастап отыз күннен аспайтын мерзімде ДДр-ді жояды.
ДДР субъектісі өз дербес деректерін жою туралы өтінішпен жүгінген жағдайда, Серіктестік осы субъектінің дербес деректерін өңдеуді тоқтатуға немесе өңдеуді тоқтатуды қамтамасыз етуге және өтініште көрсетілген дербес деректерді жоюға міндетті.
ДДр-ді жою Серіктестіктің ішкі процестеріне сәйкес жүргізіледі.
2.6. Дербес деректерді қорғау
ДДр-ді өңдеу кезінде Серіктестік ДДр-ді оларға заңсыз немесе кездейсоқ қол жеткізуден, ДДр-ді жоюдан, өзгертуден, бұғаттаудан, көшіруден, беруден, таратудан, сондай-ақ ДДр-ге қатысты өзге де заңсыз әрекеттерден қорғау үшін қажетті құқықтық, ұйымдастырушылық және техникалық шараларды қабылдайды.
ДДр қауіпсіздігі қамтамасыз етіледі:
- ДДр ақпараттық жүйелерінде (бұдан әрі – ДДрА) өңдеу кезінде ДДр қауіпсіздігіне төнетін қатерлерді айқындаумен;
- орындалуы Қазақстан Республикасының заңнамасында белгіленген ДДр-ді қорғау деңгейін қамтамасыз ететін ДДр-ді қорғауға қойылатын талаптарды орындау үшін қажетті ДДр-ді ДДрА-да өңдеу кезінде оның қауіпсіздігін қамтамасыз ету жөніндегі ұйымдастырушылық және техникалық шараларды қолдану арқылы;
- ДДрА пайдалануға берілгенге дейін ДДр қауіпсіздігін қамтамасыз ету бойынша қабылданып жатқан шаралардың тиімділігін бағалау арқылы;
- ДДр-ға рұқсатсыз қол жеткізу фактілерін анықтау және қажетті шараларды қабылдау арқылы;
- рұқсат етілмеген қол жеткізу салдарынан түрлендірілген немесе жойылған ДДр-ді қалпына келтірумен;
- ДДрА-да өңделетін ДДр-ға қол жеткізу қағидаларын белгілеумен, сондай-ақ ДДрА-да ДДр-ға қол жеткізуді тіркеуді қамтамасыз етумен;
- ДДр қауіпсіздігін қамтамасыз ету және ДДрА қорғалу деңгейін қамтамасыз ету бойынша қабылданатын шараларды бақылау арқылы;
- басқа да тәсілдермен.
Дербес деректерді өңдеудің құқықтық негізі оларды орындау үшін және соған сәйкес Серіктестік дербес деректерді өңдеуді жүзеге асыратын құқықтық актілердің жиынтығы болып табылады:
- 07.07.2020 ж. «Халық денсаулығы және денсаулық сақтау жүйесі туралы» Қазақстан Республикасы Кодексінің 273-бабы;
- 2015 жылғы 23 қарашадағы Қазақстан Республикасы Еңбек кодексінің 22-бабы 1-тармағының 24-тармақшасы, 23-бабы 2-тармағының 24-тармақшасы;
- Серіктестіктің жарғылық құжаттары;
- Серіктестік пен дербес деректер субъектісі арасында жасалатын келісім-шарттар;
- дербес деректерді өңдеуге келісім.
Өңделетін дербес деректердің мазмұны мен көлемі өңдеудің мәлімделген мақсаттарына сәйкес келуі тиіс. Өңделетін дербес деректер оларды өңдеудің мәлімделген мақсаттарына қатысты артық болмауы тиіс.
Дербес деректер субъектілерінің санаттарына келесілер жатады:
- Серіктестіктің (заңды тұлғалардың) клиенттері мен контрагенттерінің өкілдері/қызметкерлері;
- Серіктестіктің клиенттері мен контрагенттері;
- Серіктестік қызметкерлері.
- дербес деректердің арнайы санаттары – денсаулық жағдайы туралы ақпарат;
- биометриялық дербес деректер – қызметкерлердің фотосуреттері.
Дербес деректермен жасалатын іс-әрекеттер тізбесі, оператор пайдаланатын дербес деректерді өңдеу тәсілдерінің жалпы сипаттамасы: жинау, жазу, жүйелеу, жинақтау, сақтау, нақтылау (жаңарту), өзгерту, толықтыру, алу, пайдалану, тарату, беру, иесіздендіру, бұғаттау, өшіру, жою.
Жоғарыда аталған дербес деректерді өңдеу заңды тұлғаның ішкі желісі бойынша, интернет желісі бойынша беріле отырып, аралас өңдеу жолымен жүзеге асырыла алады.
Дербес деректерді үшінші тұлғаларға беру, шарты үшінші тұлғаның дербес деректерді өңдеу кезінде олардың қауіпсіздігін (оның ішінде дербес деректердің құпиялылығын) қамтамасыз ету міндеті болып табылатын келісім-шарттың, сондай-ақ «Дербес деректер және оларды қорғау туралы» Қазақстан Республикасы Заңының 22-бабының 1-тармағында көзделген шаралардың негізінде ғана жүзеге асырылады.
Дербес деректерді өңдеуді тоқтату шарттары:
- дербес деректерді өңдеу мақсаттарына қол жеткізу;
- субъект, меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға арасындағы құқықтық қатынастар тоқтатылған кезде;
- сот шешімі заңды күшіне енген кезде;
2.10. Дербес деректерді өзектендіру, түзету, толықтыру және өшіру және жою, субъектілердің дербес деректерге қол жеткізуге сұрау салуларына жауаптар
Дербес деректердің дәл еместігі немесе оларды өңдеудің заңсыздығы фактісі расталған жағдайда Серіктестік дербес деректерді өзектілендіруі (өзгертуі, толықтыруы, түзетуі) тиіс.
Дербес деректерді өңдеу мақсаттарына қол жеткізген кезде, сондай-ақ дербес деректер субъектісі оларды өңдеуге арналған келісімді кері қайтарып алған жағдайда, егер дербес деректер субъектісі тарапы немесе ол бойынша пайда алушы немесе кепіл беруші болып табылатын келісім-шартта өзгеше көзделмесе, дербес деректер жойылуға жатады.
Серіктестік дербес деректер субъектісіне немесе оның өкіліне осындай субъектінің дербес деректерін өңдеуді жүзеге асыратыны туралы ақпаратты соңғысының сұрау салуы бойынша хабарлауға міндетті.
3. ДЕРБЕС ДЕРЕКТЕРГЕ ҚОЛ ЖЕТКІЗУ
Серіктестік дербес деректердің құпиялылығын қамтамасыз етеді, яғни дербес деректер субъектісінің келісімінсіз немесе өзге заңды негіз болмаса, оларды таратуға жол бермейді. Иесіздендірілген және жалпыға қолжетімді дербес деректердің құпиялылығын қамтамасыз ету Серіктестікте өңделетін өзге де деректердің құпиялылығын қамтамасыз етуге ұқсас жүзеге асырылады.
3.1. Дербес деректері бар ақпаратқа қол жеткізуді ұйымдастыру.
ДДр-ге қол жеткізу Серіктестіктің тікелей лауазымдық міндеттерін орындау үшін қажет қызметкерлеріне ғана беріледі.
Серіктестік қызметкерлерін ДДр-ді өңдеуге жіберу Серіктестікте өңделетін ДДр-ді өңдеуге жіберілген қызметкерлер лауазымдарының бекітілген тізбесі негізінде жүзеге асырылады. Серіктестік қызметкері өз еңбек міндеттерін орындаған жағдайда ғана ДДр-ді өңдеуге жіберіледі.
Серіктестіктің қызметкері ДДр-ді өңдеуді реттейтін қолданыстағы нормативтік құқықтық актілермен, ДДр-ді өңдеуді реттейтін Серіктестіктің жергілікті нормативтік актілерімен танысқаннан кейін ғана ДДр-ді өңдеуге жіберіледі.
3.2. Дербес деректер субъектілерінің өз дербес деректеріне қол жеткізуін ұйымдастыру
Серіктестік ДДр субъектілерінің оларға тиесілі ДДр-ге қол жеткізуін қамтамасыз етеді. Мұндай қолжетімділікті алу үшін ДДр субъектісі Серіктестікке № 1 қосымшада келтірілген нысан бойынша жазбаша сұрау салу жіберуі қажет. Серіктестік субъектіге қолжетімді нысанда өтініш жасаған субъектінің ДДр-ін беруді жүзеге асырады.
Қазақстан Республикасының «Дербес деректер және оларды қорғау туралы» Заңына сәйкес ДДр субъектісі құқылы:
- меншік иесінде және (немесе) операторда, сондай-ақ үшінші тұлғада өзінің дербес деректерінің болуы туралы білуге; сондай-ақ келесілерді қамтитын ақпаратты алуға:
- дербес деректерді жинау және өңдеу фактілерін, мақсаттарын, көздерін, тәсілдерін растау;
- жеке мәліметтер тізімі;
- дербес деректерді өңдеу мерзімдері, оның ішінде оларды сақтау мерзімдері;
- тиісті құжаттармен расталған негіздер болған жағдайда меншік иесінен және (немесе) оператордан өз дербес деректерін өзгертуді және толықтыруды талап етуге;
- меншік иесінен және (немесе) оператордан, сондай-ақ үшінші тұлғадан дербес деректерді жинау, өңдеу шарттарының бұзылғаны туралы ақпарат болған жағдайда, өз дербес деректерін бұғаттауды талап етуге;
- меншік иесінен және (немесе) оператордан, сондай-ақ үшінші тұлғадан Қазақстан Республикасының заңнамасын бұза отырып жиналған және өңделген өз дербес деректерін жоюды талап етуге;
- дербес деректерді жинауға, өңдеуге келісімді кері қайтарып алуға;
- меншік иесіне және (немесе) операторға дербес деректердің жалпыға қолжетімді көздерінде өз дербес деректерінің таратылуына келісім беруге (бас тартуға) ;
- өз құқықтары мен заңды мүдделерін қорғауға, оның ішінде моральды және материалды зиянның өтелуін талап етуге;
Нормативтік құқықтық актілерді және Серіктестіктің жергілікті нормативтік актілерін бұзғаны үшін кінәлі Серіктестік қызметкерлері қолданыстағы заңнамада белгіленген тәртіппен тәртіптік, материалдық, азаматтық-құқықтық, әкімшілік, қылмыстық жауапкершілікке тартылады.
Политика обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая Политика обработки персональных данных в ТОО «ИНВИТРО-Казахстан» (далее - Политика) разработана в соответствии с требованиями нормативных правовых актов Республики Казахстан, регулирующих процессы обработки персональных данных (далее - ПДн). Политика определяет принципы обработки (сбора, хранения, передачи, уничтожения) и защиты ПДн клиентов и работников ТОО «ИНВИТРО-Казахстан» (далее - субъекты ПДн) в ТОО «ИНВИТРО-Казахстан» (далее-Товарищество).
Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, дополнению (изменению, обновлению), извлечению, использованию, распространению, передаче (предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемые как с использованием средств автоматизации, так и без использования таких средств.
2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Принципы и цели обработки ПДн
Обработка персональных данных в Товариществе должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Обработка ПДн осуществляется на основе принципов:
Сбор, накопление, хранение, изменение, использование, распространение и передача ПДн осуществляется при условии наличия согласия субъекта ПДн, за исключением случаев, когда в соответствии с действующим законодательством допускается обработка ПДн без получения согласия субъекта ПДн.
2.3. Хранение персональных данных
Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют соответствующие цели обработки ПДн, если срок хранения ПДн не установлен законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.
ПДн субъектов могут обрабатываться как на бумажных носителях, так и в электронном виде.
2.4. Передача персональных данных третьим лицам
Товарищество вправе поручить обработку ПДн третьему лицу с согласия субъекта ПДн. При этом Товарищество в договоре обязует третье лицо, осуществляющее обработку ПДн по поручению Товарищества, соблюдать принципы и правила обработки ПДн, предусмотренные законом Республики Казахстан «О персональных данных и их защите» от 21.05.2013 года и другими нормативными правовыми актами, регламентирующим процессы обработки ПДн.
В случае если Товарищество поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несет Товарищество.
Лицо, осуществляющее обработку ПДн по поручению Товарищества, несет ответственность перед Товариществом.
Товарищество обязуется и обязует третьих лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законом.
2.5. Уничтожение персональных данных
В случае достижения целей обработки ПДн – Товарищество прекращает обработку ПДн и уничтожает ПДн, в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено соглашением между Товариществом и субъектом персональных данных.
В случае обращения субъекта ПДн с заявлением об уничтожении его персональных данных, Товарищество обязано прекратить обработку или обеспечить прекращение обработки персональных данных данного субъекта и уничтожить указанные в заявлении персональные данные.
Уничтожение ПДн производится в соответствии с внутренними процессами Товарищества.
2.6. Защита персональных данных
При обработке ПДн Товарищество принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
Обеспечение безопасности ПДн достигается, в частности:
Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Товарищество осуществляет обработку персональных данных:
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
К категориям субъектов персональных данных могут быть отнесены:
Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление), изменение, дополнение, извлечение, использование, распространение, передача, обезличивание, удаление, блокирование, уничтожение.
Обработка вышеуказанных персональных данных может осуществляться путем смешанной обработки с передачей по внутренней сети юридического лица с передачей по сети Интернет.
Передача персональных данных третьим лицам осуществляться только на основании договора, условием которого является обязанность обеспечения третьим лицом безопасности персональных данных при их обработке (в том числе конфиденциальности персональных данных), а также меры, предусмотренные п. 1 ст. 22 закона Республики Казахстан «О персональных данных и их защите».
Условия прекращения обработки персональных данных:
2.10. Актуализация, исправление, дополнение и удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации (изменению, дополнению, исправлению) Товариществом.
При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
Товарищество обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
3. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
Товарищество обеспечивает конфиденциальность персональных данных, то есть не допускает их распространения без согласия субъекта персональных данных или наличия иного законного основания. Обеспечение конфиденциальности обезличенных и общедоступных персональных данных осуществляется аналогично обеспечению конфиденциальности иных данных, обрабатываемых в Товариществе.
3.1. Организация доступа к информации, содержащей персональные данные.
Доступ к ПДн предоставляется только тем работникам Товарищества, которым он необходим для исполнения их непосредственных должностных обязанностей.
Допуск работников Товарищества к обработке ПДн осуществляется на основании утвержденного Перечня должностей работников, допущенных к обработке ПДн, обрабатываемых в Товариществе. Работник Товарищества допускается к обработке ПДн только в случае выполнения своих трудовых обязанностей.
Работник Товарищества допускается к обработке ПДн только после ознакомления с действующими нормативными правовыми актами, регламентирующими обработку ПДн, локальными нормативными актами Товарищества, регламентирующими обработку ПДн.
3.2. Организация доступа субъектов персональных данных к своим персональным данным
Товарищество обеспечивает доступ субъектов ПДн к принадлежащим им ПДн. Для получения такого доступа субъекту ПДн необходимо направить в Товарищество письменный запрос по форме, приведенной в Приложении № 1. Товарищество осуществляет предоставление ПДн обратившегося субъекта в доступной для субъекта форме.
В соответствии с законом Республики Казахстан «О персональных данных и их защите» субъект ПДн имеет право:
Работники Товарищества, виновные в нарушении нормативных правовых актов и локальных нормативных актов Товарищества, регулирующих процессы обработки и защиты ПДн, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной, уголовной ответственности в порядке, установленном действующим законодательством.
Приложение № 1. Форма запроса на предоставление информации об обработке персональных данных
Настоящая Политика обработки персональных данных в ТОО «ИНВИТРО-Казахстан» (далее - Политика) разработана в соответствии с требованиями нормативных правовых актов Республики Казахстан, регулирующих процессы обработки персональных данных (далее - ПДн). Политика определяет принципы обработки (сбора, хранения, передачи, уничтожения) и защиты ПДн клиентов и работников ТОО «ИНВИТРО-Казахстан» (далее - субъекты ПДн) в ТОО «ИНВИТРО-Казахстан» (далее-Товарищество).
Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, дополнению (изменению, обновлению), извлечению, использованию, распространению, передаче (предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемые как с использованием средств автоматизации, так и без использования таких средств.
2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Принципы и цели обработки ПДн
Обработка персональных данных в Товариществе должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Обработка ПДн осуществляется на основе принципов:
- соблюдения конституционных прав и свобод человека и гражданина;
- законности;
- конфиденциальности персональных данных ограниченного доступа;
- равенства прав субъектов, собственников и операторов;
- обеспечения безопасности личности, общества и государства.
- исполнение обязательств по договору, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- заключение и исполнение иных договоров с контрагентами;
- содействие работникам в трудоустройстве, выполнении трудовых обязанностей, обучении и продвижении по карьере;
- обеспечение личной безопасности работников, контроль количества и качества выполняемой работы;
- обеспечение сохранности имущества Товарищества;
- маркетинговые услуги в здравоохранении, проведение маркетинговых исследований;
- предоставление секретарских, редакторских услуг и услуг по переводу;
- деятельность по изучению общественного мнения;
- консультирование по вопросам коммерческой деятельности и управления;
- деятельность в области стандартизации и метрологии;
- оказание услуг по организации и совершенствованию документооборота, офис-менеджменту, бренд-менеджменту;
- оказание услуг в сфере рекламы;
- оказание услуг в сфере дизайна рекламных материалов, печатной и сувенирной продукции;
- оказание услуг по связям с общественностью (PR), подготовке ответов на обращения;
- оказание услуг центра обработки вызовов;
- продвижение услуг путем осуществления прямых контактов с клиентами с помощью средств связи, направления рекламно-информационных сообщений;
- обеспечение функционирования сайта www.invitro.kz;
- осуществление других видов хозяйственной деятельности, не противоречащей законодательству Республики Казахстан.
Сбор, накопление, хранение, изменение, использование, распространение и передача ПДн осуществляется при условии наличия согласия субъекта ПДн, за исключением случаев, когда в соответствии с действующим законодательством допускается обработка ПДн без получения согласия субъекта ПДн.
2.3. Хранение персональных данных
Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют соответствующие цели обработки ПДн, если срок хранения ПДн не установлен законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.
ПДн субъектов могут обрабатываться как на бумажных носителях, так и в электронном виде.
2.4. Передача персональных данных третьим лицам
Товарищество вправе поручить обработку ПДн третьему лицу с согласия субъекта ПДн. При этом Товарищество в договоре обязует третье лицо, осуществляющее обработку ПДн по поручению Товарищества, соблюдать принципы и правила обработки ПДн, предусмотренные законом Республики Казахстан «О персональных данных и их защите» от 21.05.2013 года и другими нормативными правовыми актами, регламентирующим процессы обработки ПДн.
В случае если Товарищество поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несет Товарищество.
Лицо, осуществляющее обработку ПДн по поручению Товарищества, несет ответственность перед Товариществом.
Товарищество обязуется и обязует третьих лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законом.
2.5. Уничтожение персональных данных
В случае достижения целей обработки ПДн – Товарищество прекращает обработку ПДн и уничтожает ПДн, в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено соглашением между Товариществом и субъектом персональных данных.
В случае обращения субъекта ПДн с заявлением об уничтожении его персональных данных, Товарищество обязано прекратить обработку или обеспечить прекращение обработки персональных данных данного субъекта и уничтожить указанные в заявлении персональные данные.
Уничтожение ПДн производится в соответствии с внутренними процессами Товарищества.
2.6. Защита персональных данных
При обработке ПДн Товарищество принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
Обеспечение безопасности ПДн достигается, в частности:
- определением угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее ИСПДн);
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные законодательством Республики Казахстан уровни защищенности ПДн;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием необходимых мер;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к ПДн, обрабатываемых в ИСПДн, а также обеспечением регистрации доступа к ПДн в ИСПДн;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн;
- в том числе другими способами.
Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Товарищество осуществляет обработку персональных данных:
- статья 273 Кодекса Республики Казахстан ««О здоровье народа и системе здравоохранения» от 07.07.2020г.
- подпункт 24 пункта 1 статьи 22, подпункт 24 пункта 2 статьи 23 Трудового кодекса Республики Казахстан от 23 ноября 2015 года;
- уставные документы Товарищества;
- договоры, заключаемые между Товариществом и субъектом персональных данных;
- согласие на обработку персональных данных.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
К категориям субъектов персональных данных могут быть отнесены:
- представители/работники клиентов и контрагентов Товарищества (юридических лиц);
- клиенты и контрагенты Товарищества;
- работники Товарищества.
- специальные категории персональных данных – сведения о состоянии здоровья;
- биометрические персональные данные - фотографии сотрудников.
Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление), изменение, дополнение, извлечение, использование, распространение, передача, обезличивание, удаление, блокирование, уничтожение.
Обработка вышеуказанных персональных данных может осуществляться путем смешанной обработки с передачей по внутренней сети юридического лица с передачей по сети Интернет.
Передача персональных данных третьим лицам осуществляться только на основании договора, условием которого является обязанность обеспечения третьим лицом безопасности персональных данных при их обработке (в том числе конфиденциальности персональных данных), а также меры, предусмотренные п. 1 ст. 22 закона Республики Казахстан «О персональных данных и их защите».
Условия прекращения обработки персональных данных:
- достижение целей обработки персональных данных;
- при прекращении правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом;
- при вступлении в законную силу решения суда;
2.10. Актуализация, исправление, дополнение и удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации (изменению, дополнению, исправлению) Товариществом.
При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
Товарищество обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
3. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
Товарищество обеспечивает конфиденциальность персональных данных, то есть не допускает их распространения без согласия субъекта персональных данных или наличия иного законного основания. Обеспечение конфиденциальности обезличенных и общедоступных персональных данных осуществляется аналогично обеспечению конфиденциальности иных данных, обрабатываемых в Товариществе.
3.1. Организация доступа к информации, содержащей персональные данные.
Доступ к ПДн предоставляется только тем работникам Товарищества, которым он необходим для исполнения их непосредственных должностных обязанностей.
Допуск работников Товарищества к обработке ПДн осуществляется на основании утвержденного Перечня должностей работников, допущенных к обработке ПДн, обрабатываемых в Товариществе. Работник Товарищества допускается к обработке ПДн только в случае выполнения своих трудовых обязанностей.
Работник Товарищества допускается к обработке ПДн только после ознакомления с действующими нормативными правовыми актами, регламентирующими обработку ПДн, локальными нормативными актами Товарищества, регламентирующими обработку ПДн.
3.2. Организация доступа субъектов персональных данных к своим персональным данным
Товарищество обеспечивает доступ субъектов ПДн к принадлежащим им ПДн. Для получения такого доступа субъекту ПДн необходимо направить в Товарищество письменный запрос по форме, приведенной в Приложении № 1. Товарищество осуществляет предоставление ПДн обратившегося субъекта в доступной для субъекта форме.
В соответствии с законом Республики Казахстан «О персональных данных и их защите» субъект ПДн имеет право:
- знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
- подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
- перечень персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения;
- требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
- требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
- требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан.
- отозвать согласие на сбор, обработку персональных данных;
- дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
- на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
Работники Товарищества, виновные в нарушении нормативных правовых актов и локальных нормативных актов Товарищества, регулирующих процессы обработки и защиты ПДн, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной, уголовной ответственности в порядке, установленном действующим законодательством.
Приложение № 1. Форма запроса на предоставление информации об обработке персональных данных