Общие положения

⦁ Настоящие Правила о порядке сбора, обработки и защиты персональных данных в ГК VILED (ТОО «VILED FASHION» (ВИЛЕД ФЕШН), ТОО «PREMIUM BEAUTY» и ТОО «GRAND ERA») (далее – «Правила») определяет принципы, общие условия, порядок сбора и обработки Персональных данных в ГК VILED.

⦁ Персональные данные, в том числе содержащиеся в информационных системах (базах данных), являются конфиденциальной информацией ограниченного доступа, охраняемой в соответствии с действующим законодательством Республики Казахстан (далее – «законодательством РК»), и на них распространяются все требования, установленные законодательством Республики Казахстан, внутренними документами ГК VILED. Обеспечение конфиденциальности Персональных данных не требуется в случае их обезличивания, а также в отношении общедоступных Персональных данных (в том числе, при наличии согласия Субъекта или его представителя на то, что Персональные данные являются общедоступными Персональными данными), если иное не определено законодательством Республики Казахстан, внутренними документами ГК VILED, договором (соглашением) и/или иным документом, содержащим соответствующее согласие.

⦁ Необходимые правовые, организационные и технические меры защиты Персональных данных при их обработке от неправомерного или случайного доступа к ним, а также от иных неправомерных действий, регламентируются внутренним документом ГК VILED, регулирующим информационную безопасность ГК VILED и другими внутренними документами ГК VILED.

Нормативные ссылки

⦁ Закон о персональных данных и их защите" Республики Казахстан от 21 мая 2013 года № 94-V

⦁ Закон об информатизации" Республики Казахстан от 24 ноября 2015 года № 418-V ЗРК.

⦁ ISO/IEC 27001:2022 – Информационная безопасность, кибербезопасность и защита персональных данных.

⦁ ISO/IEC 27002:2022 - Информационная технология. Методы и средства обеспечения безопасности Свод правил по средствам управления защитой информации. Системы менеджмента информационной безопасности. Требования.

⦁ Регламент по защите персональных данных от 25 мая 2018 года (art 28, art 37, art 39 (1)(b), art 30(1)(2), chapter V).

⦁ Политика информационной безопасности ГК VILED.

Принципы сбора и обработки Персональных данных

⦁ Сбор и обработка Персональных данных осуществляется на следующих принципах:

⦁ Соблюдение конституционных прав и свобод человека и гражданина;

⦁ Законности;

⦁ Конфиденциальности Персональных данных ограниченного доступа;

⦁ Равенства прав субъектов Персональных данных, Собственников и Операторов;

Состав и цели Персональных данных

⦁ В состав Персональных данных Субъектов входят любые данные, относящиеся к определенному или определяемому на основании таких данных Субъекту, в том числе, его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другие данные.

⦁ Перечень Персональных данных, целей их сбора и обработки приведен в Перечне Персональных данных, необходимом и достаточном для выполнения осуществляемых задач в ГК VILED (далее – Перечень Персональных данных).

Категории Персональных данных и источники их получения

⦁ В зависимости от характера взаимоотношений между ГК VILED и Субъектом Персональных данных, Персональные данные условно подразделяются на:

⦁ Персональные данные аффилированного лица, лица, связанного с ГК VILED особыми отношениями. Источники получения — Субъекты Персональных данных (их представители), третьи лица (с учетом требований законодательства Республики Казахстан и настоящего Правила), общедоступные источники;

⦁ Персональные данные клиента/партнера/контрагента и/или его руководителя, главного бухгалтера, работника, иного уполномоченного лица. Источники получения - Субъекты Персональных данных (их представители), третьи лица (с учетом требований законодательства Республики Казахстан и настоящего Правила), общедоступные источники;

⦁ Персональные данные потенциального клиента/партнера/контрагента и/или его руководителя, главного бухгалтера, работника, иного уполномоченного лица. Источники получения - Субъекты Персональных данных (их представители), третьи лица (с учетом требований законодательства Республики Казахстан и настоящего Правила), общедоступные источники;

⦁ Персональные данные представителя Субъекта, указанного в подпунктах 1), 2) и 3) пункта 5.1 настоящего Правила. Источники получения — Субъект, представитель Субъекта Персональных данных, третьи лица (с учетом требований законодательства Республики Казахстан и настоящего Правила), общедоступные источники;

⦁ Персональные данные Работника. Источники получения - Субъект Персональных данных, третьи лица (с учетом требований законодательства Республики Казахстан и настоящего Правила), общедоступные источники;

⦁ Персональные данные кандидатов на работу в ГК VILED; лиц, имевших ранее трудовые отношения с ГК VILED, лиц, имеющих гражданско-правовой характер договорных/деловых отношений с ГК VILED или находящихся на этапе преддоговорных отношений подобного характера; лиц, проходящих различного рода практику в ГК VILED. Источники получения - Субъект Персональных данных, третьи лица (с учетом требований законодательства Республики Казахстан и настоящего Правила), общедоступные источники;

⦁ Персональные данные членов органов управления, членов коллегиальных органов/исполнительного органа ГК VILED (в случае если данные лица не являются Работниками ГК VILED) либо физических лиц, назначаемых на указанные должности. Источники получения - Субъект Персональных данных, третьи лица (с учетом требований законодательства Республики Казахстан и настоящего Правила), общедоступные источники.

Доступ к Персональным данным

⦁ Право доступа к Персональным данным в ГК VILED имеют:

⦁ Участник (-и) ГК VILED, аффилированные лица, лица, связанные с ГК VILED особыми отношениями, и их работники, в рамках прав и обязанностей, определенных законодательством Республики Казахстан, Уставом, внутренними документами ГК VILED;

⦁ Члены органа управления, члены коллегиальных органов/исполнительного органа ГК VILED (в случае если данные лица не являются Работниками ГК VILED) в рамках прав и обязанностей, определенных законодательством Республики Казахстан, Уставом, внутренними документами ГК VILED;

⦁ Руководящие работники ГК VILED по направлению деятельности и в рамках своих должностных обязанностей, предусмотренных законодательством Республики Казахстан, иными нормативными правовыми актами Республики Казахстан, Уставом, внутренними документами ГК VILED;

⦁ Работник (-и) по направлению деятельности и в рамках своих должностных обязанностей, предусмотренных законодательством Республики Казахстан, иными нормативными правовыми актами Республики Казахстан, Уставом, внутренними документами ГК VILED;

⦁ Лица, оказывающие/выполняющие услуги/работы ГК VILED в соответствии с заключенным договором (соглашением), условиями которого допускается раскрытие Персональных данных, доступ к ним, передача и другое, с соблюдением требований законодательства Республики Казахстан и заключенных договоров (соглашений);

⦁ Государственные органы/организации и их должностные лица, третьи юридические и физические лица в рамках прав и обязанностей, определенных законодательством Республики Казахстан;

⦁ Лица, получившие Персональные данные от Субъекта Персональных данных (его представителя) или лиц, указанных в подпунктах 1) - 6) настоящего пункта с соблюдением требований законодательства Республики Казахстан, внутренних документов ГК VILED, заключенных договоров (соглашений).

⦁ Доступ к Персональным данным предоставляется только в тех случаях и тогда, когда это требуется в рамках возложенных/установленных прав/обязанностей/функций/ задач/целей и для их исполнения, соблюдая необходимые организационные и технические меры защиты Персональных данных.

⦁ Доступ в ИС предоставляется путем наделения прав доступа к соответствующим ресурсам и прикладному программному обеспечению, обрабатывающему Персональные данные.

⦁ Работники ГК VILED и лица, получившие доступ к Персональным данным, должны использовать эти данные лишь в целях, для которых они сообщены в соответствии с Перечнем персональных данных, и обязаны соблюдать режим их конфиденциальности в соответствии с действующим законодательством Республики Казахстан, а также требованиями, установленными ГК VILED, связанными с обеспечением защиты конфиденциальной информации (и/или договоров (соглашений) с ГК VILED). Лица, осуществляющие обработку Персональных данных, обязаны соблюдать требования законодательства Республики Казахстан (и/или договоров (соглашений) с ГК VILED) в части обеспечения конфиденциальности и безопасности Персональных данных.

⦁ В случае если работнику, лицу, получившему доступ к Персональным данным, стало известно о факте (попытке) несанкционированного разглашения Персональных данных либо несанкционированного доступа, либо на работника ГК VILED, лицо, получившее доступ к Персональным данным, оказывается либо оказывалось давление с целью получения таких сведений, либо в отношении работника, лица, получившего доступ к Персональным данным, производятся иные действия с целью незаконного получения Персональных данных, работник, лицо, получившее доступ к Персональным данным, обязан незамедлительно информировать об этом Управление СБ.

⦁ Работникам ГК VILED и лицам, допущенным к обработке Персональных данных, запрещается несанкционированное и нерегламентированное копирование Персональных данных, в том числе с использованием носителей информации.

⦁ Руководители структурных подразделений (далее - «СП») должны обеспечивать защиту и конфиденциальность Персональных данных, обрабатываемых их подчиненными.

⦁ При увольнении работника/при прекращении отношений с лицом, допущенным к обработке Персональных данных, документы и иные носители информации, содержащие Персональные данные, передаются руководителю СП, допущенному к обработке Персональных данных, доступ уволившегося работника к ИС отменяется.

Условия сбора и обработки Персональных данных

⦁ Условием осуществления сбора и обработки Персональных данных является получение согласия на сбор и обработку Персональных данных непосредственно от Субъекта или его представителя по нотариально заверенной доверенности (далее – «Представитель») в порядке, определенном пунктом 7.5 настоящего Правила, и/или путем подписания договора/соглашения/иного документа, на основании и во исполнение которого такой сбор и/или такая обработка проводится, в том числе в форме электронного документа, либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан, за исключением случаев, определенных законодательством Республики Казахстан и пунктом 7.6 настоящего Правила, не требующих получение указанного согласия. При получении согласия на сбор и обработку Персональных данных, ГК VILED осуществляет идентификацию личности Субъекта и/или его представителя, проверку полномочий указанного представителя, в соответствии с положениями действующего законодательства Республики Казахстан и внутренними документами ГК VILED. Ответственность за подлинность подписи Субъекта/представителя Субъекта несут работники СП, осуществляющих привлечение на обслуживание/для оказания (выполнения) услуг (работ)/принятие на работу, сбор документов для определения возможности установления деловых отношений/установления деловых отношений с Субъектом, которые осуществляют идентификацию личности Субъекта и/или его представителя, проверку полномочий указанного представителя.

⦁ В случае, если Персональные данные получены не от Субъекта, а от его представителя/третьего лица, последний должен обладать согласием Субъекта Персональных данных на передачу Персональных данных ГК VILED и (или) нотариально заверенную доверенность, а также на последующую их обработку. ГК VILED вправе потребовать от лица, предоставившего Персональные данные/ представителя/третьего лица, подтверждение факта информирования Субъекта о сборе и обработке его Персональных данных ГК VILED, наличия согласия на передачу Персональных данных Субъекта ГК VILED, а также на последующую их обработку.

⦁ ГК VILED имеет право проверять достоверность сведений, предоставленных Субъектом, сверяя данные, предоставленные Субъектом, с данными, имеющимися у ГК VILED и/или полученными из достоверных и разрешенных законодательством Республики Казахстан источников.

⦁ Работники СП, осуществляющих привлечение на обслуживание/для оказания (выполнения) услуг (работ)/принятие на работу, сбор документов для определения возможности установления деловых отношений/установления деловых отношений с Субъектами и/или ответственных за заключение/подписание договора (соглашения), должны в зависимости от взаимоотношений:

1) До установления деловых отношений по продуктам/услугам/операциям (как при заключении договоров (соглашений), а также без заключения договора (соглашения)):

a) проверить наличие подписанного Субъектом/его представителем соответствующего согласия на сбор и обработку его Персональных данных;

b) в случае отсутствия подписанного соответствующего согласия на сбор и обработку его Персональных данных оформлять и обеспечивать подписание согласия на сбор и обработку Персональных данных с:

- Субъектом, являющимся клиентом/потенциальным клиентом/ партнером/ потенциальным партнером, контрагентом/потенциальным контрагентом – физическим лицом, по форме, приведенной в Приложении 2 к Правилу;

- Субъектом, являющимся руководителем, главным бухгалтером, работником или иным уполномоченным лицом клиента/потенциального клиента - юридического лица/индивидуального предпринимателя, в случае получения Персональных данных непосредственно от Субъекта, а не от третьего лица (клиента/потенциального клиента) - по форме, приведенной в Приложении 3 к настоящему Правилу;

- Субъектом, являющимся представителем Субъекта - физического лица, по форме, приведенной в Приложении 2 к настоящему Правилу.

Способы обработки Персональных данных

⦁ Обработка Персональных данных включает, в том числе, в себя следующие процессы: сбор, уточнение (обновление, изменение); блокирование; обезличивание, распространение (в том числе передача (в том числе трансграничная передача)); систематизация и накопление; использование; хранение; уничтожение, и может производиться без согласия Субъекта или его представителя в случаях, определенных законодательством Республики Казахстан и настоящим Правилом. ГК VILED осуществляет обработку Персональных данных только способами и только с помощью методов, соответствующих положениям законодательства Республики Казахстан, внутренних документов ГК VILED, заключенными сделками (договорами/соглашениями), но в соответствии с целями, указанными в законодательстве Республики Казахстан и во внутренних документах ГК VILED.

⦁ В зависимости от бизнес-функций (задач), реализуемых в ГК VILED, обработка Персональных данных может осуществляться как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования средств автоматизации, либо смешанная обработка Персональных данных.

Сроки обработки Персональных данных

⦁ Сроки обработки указанных выше персональных данных определяются исходя из срока действия договора (соглашения) с Субъектом Персональных данных, в соответствии с приказом Министра культуры и информации Республики Казахстан от 27.04.2009 года № 60 «Об утверждении Перечня типовых документов, образующихся в деятельности организаций в формате электронного документа, с указанием сроков хранения», а также иными требованиями законодательства Республики Казахстан и соответствующим внутренними документами ГК VILED.

Права и обязанности

Субъект персональных данных в праве:

1) Знать о наличии у Собственника и (или) Оператора, а также третьего лица своих Персональных данных, а также получать информацию, содержащую:

a) подтверждение факта, цели, источников, способов сбора и обработки Персональных данных;

b) перечень персональных данных;

c) сроки обработки персональных данных, в том числе сроки их хранения.

2) Требовать от Собственника и (или) Оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;

3) Требовать от Собственника и (или) Оператора, а также третьего лица блокирования своих Персональных данных в случае наличия информации о нарушении условий сбора, обработки Персональных данных;

4) Требовать от Собственника и (или) Оператора, а также третьего лица уничтожения своих Персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом о Персональных данных и иными нормативными правовыми актами Республики Казахстан;

5) Отозвать согласие на сбор, обработку персональных данных, кроме случаев, когда это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства;

6) Дать согласие (отказать) Собственнику и (или) Оператору на распространение своих Персональных данных в общедоступных источниках Персональных данных;

7) На защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;

8) На осуществление иных прав, предусмотренных Законом о Персональных данных и иными законами Республики Казахстан.

В целях обеспечения защиты Персональных данных, хранящихся в ГК VILED, работник имеет право на:

1) Безвозмездный доступ к своим Персональным данным, включая право на получение копий записей, содержащих персональные данные работника, за исключением случаев, предусмотренных законами Республики Казахстан;

2) Требование внесения изменений и дополнений, блокирования, уничтожения персональных данных, сбор и обработка которых осуществлены с нарушением требований Трудового кодекса и иных законов Республики Казахстан;

3) Требование об извещении ГК VILED лиц, которым ранее были сообщены Персональные данные Работника, о произведенных в них изменениях и дополнениях;

4) Обжалование в суд действий (бездействия) ГК VILED, допущенных при сборе, обработке и защите его Персональных данных.

Субъект Персональных данных вправе в любой момент отозвать своё согласие на сбор и обработку Персональных данных путем направления соответствующего письменного уведомления ГК VILED не менее чем за 1 (один) месяц до предполагаемой даты отзыва согласия, при условии, что подобная процедура не нарушает требований законодательства Республики Казахстан, отсутствуют любые неисполненные обязательства перед ГК VILED, и допускается условиями договора/соглашения, сторонами по которому являются Субъект Персональных данных и ГК VILED, и/или согласия. В случае отзыва Субъектом Персональных данных согласия на сбор и обработку Персональных данных ГК VILED вправе продолжить обработку Персональных данных без согласия Субъекта Персональных данных, если иное не определено законодательством Республики Казахстан.

ГК VILED в праве:

1) Отстаивать свои интересы в суде;

2) Предоставлять Персональные данные Субъектов третьим лицам, если это предусмотрено договором/соглашением с Субъектом Персональных данных, иным документом, подтверждающим такое право, или действующим законодательством Республики Казахстан (правоохранительные органы, налоговые органы, пенсионные фонды и другие);

3) Отказывать в предоставлении Персональных данных на любом этапе взаимоотношении и (или) в случаях, предусмотренных законодательством Республики Казахстан;

4) Использовать Персональные данные Субъекта без его согласия, в случаях, предусмотренных законодательством Республики Казахстан, настоящим Правилом.

В случае отзыва Субъектом Персональных данных согласия на обработку Персональных данных ГК VILED вправе продолжить обработку Персональных данных без согласия Субъекта Персональных данных, при наличии оснований, предусмотренных пунктом 10.6 настоящего Правила.

Основаниями для продолжения обработки Персональных данных после получения отзыва являются:

1) Обработка Персональных данных необходима для исполнения договора (соглашения), стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект Персональных данных и/или завершения оказания услуги (операции);

2) Обработка Персональных данных необходима для осуществления и выполнения возложенных законодательством Республики Казахстан на ГК VILED функций, полномочий и обязанностей, в том числе обязанностей по хранению документов и сведений;

3) Исполнение требований законодательства Республики Казахстан и внутренних документов ГК VILED;

4) Наличие любых неисполненных обязательств перед ГК VILED.

ГК VILED вправе поручить обработку Персональных данных третьему лицу с письменного согласия Субъекта Персональных данных или его представителя, если иное не предусмотрено законами Республики Казахстан, за исключением случаев, когда это возможно в целях исполнения договора (соглашения) или иного документа, содержащего согласие на сбор и обработку, в том числе передачу, Персональных данных, когда третьи лица оказывают услуги ГК VILED на основании заключенных договоров (соглашений) либо путем принятия государственным органом соответствующего акта (далее – «поручение ГК VILED») с учетом положений, изложенных в подпункте 9) пункта 10.8 настоящего Правила. Третье лицо, осуществляющее обработку Персональных данных по поручению ГК VILED, обязано соблюдать принципы и правила обработки Персональных данных, предусмотренные законодательством Республики Казахстан и соответствующим договором (соглашением).

ГК VILED обязан:

1) Утверждать перечень Персональных данных, необходимый и достаточный для выполнения осуществляемых им задач, если иное не предусмотрено законами Республики Казахстан;

2) Принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты Персональных данных в соответствии с законодательством Республики Казахстан;

3) Соблюдать законодательство Республики Казахстан о Персональных данных и их защите;

4) Принимать меры по уничтожению Персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных Законом о защите персональных данных и иными нормативными правовыми актами Республики Казахстан;

5) Представлять доказательство о получении согласия субъекта на сбор и обработку его Персональных данных в случаях, предусмотренных законодательством Республики Казахстан;

6) Сообщать информацию, относящуюся к Субъекту, в течение 3 (трех) рабочих дней со дня получения обращения Субъекта или его представителя, если иные сроки не предусмотрены законами Республики Казахстан;

7) В случае отказа предоставить информацию Субъекту или его представителю в срок, не превышающий 3 (трех) рабочих дней со дня получения обращения, представлять мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан;

8) В течение 3 (трех) рабочих дней:

a) изменить и (или) дополнить Персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить Персональные данные при невозможности их изменения и (или) дополнения;

b) блокировать Персональные данные, относящиеся к Субъекту, в случае наличия информации о нарушении условий их сбора, обработки;

c) уничтожить Персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом о персональных данных и иными нормативными правовыми актами Республики Казахстан;

d) Снять блокирование Персональных данных в случае не подтверждения факта нарушения условий сбора, обработки Персональных данных.

9) При взаимодействии с третьими лицами в зависимости от отношений осуществлять заключение с ними договора (соглашения) о конфиденциальности передаваемой информации, в том числе Персональных данных, с условием обеспечения ее (их) защиты, либо предусматривать в заключаемом/заключенном с третьим лицом договоре/соглашении соответствующую оговорку.

ГК VILED как работодатель обязан:

1) Обеспечить сбор, обработку и защиту Персональных данных работника в соответствии с законодательством Республики Казахстан о персональных данных и их защите;

2) Осуществлять сбор, обработку и защиту Персональных данных работника в целях обеспечения соблюдения законов и иных нормативных правовых актов Республики Казахстан;

3) При определении объема и содержания обрабатываемых персональных данных работника руководствоваться Конституцией Республики Казахстан, Трудовым кодексом РК и иными нормативно-правовыми актами Республики Казахстан;

4) Обрабатывать персональные данные, представленные лично работником либо уполномоченными государственными органами, с предварительным уведомлением и получением согласия работника;

5) По требованию работника вносить изменения и дополнения в персональные данные работника в соответствии с законодательством Республики Казахстан о персональных данных и их защите;

6) Обеспечить порядок хранения персональных данных работника с соблюдением требований, установленных законодательством Республики Казахстан о персональных данных и их защите;

7) Обеспечить ознакомление с актом работодателя, устанавливающим в соответствии с законодательством Республики Казахстан порядок сбора, обработки и защиты персональных данных работника;

8) Не сообщать персональные данные работника третьему лицу без письменного согласия работника, за исключением случаев, предусмотренных Трудовым кодексом и иными законами Республики Казахстан;

9) Разрешать доступ к Персональным данным работника только специально уполномоченным лицам. При этом указанные лица должны иметь право получать только те Персональные данные работника, которые необходимы для выполнения конкретных функций, и соблюдать режим конфиденциальности;

10) Осуществлять распространение Персональных данных работника в пределах ГК VILED в соответствии с требованиями, установленными законодательством Республики Казахстан о персональных данных и их защите;

11) Предупреждать лиц, которым разрешен доступ к Персональным данным работника, о том, что они обязаны использовать их исключительно в ранее заявленных целях и не вправе передавать их третьим лицам, за исключением случаев, установленных законами Республики Казахстан.

Блокировка, уточнение, уничтожение и обезличивание Персональных данных.

Блокирование Персональных данных Субъектов осуществляется по письменному запросу (обращению) Субъекта Персональных данных, если иное не предусмотрено законодательством Республики Казахстан.

Блокирование Персональных данных подразумевает:

1) Запрет редактирования Персональных данных;

2) Запрет распространения Персональных данных любыми средствами (e-mail, телефонная (в т.ч. сотовая) связь, материальные носители);

3) Запрет использования Персональных данных в рассылках (sms, e-mail, почта);

4) Запрет на предоставление продуктов/услуг;

5) Изъятие бумажных документов, относящихся к Субъекту и содержащих его Персональные данные из внутреннего документооборота ГК VILED и запрет их использования.

В случае выявления неправомерной обработки и/или неточных Персональных данных по запросу (при обращении) Субъекта Персональных данных, ГК VILED осуществляет блокирование неправомерно/неточных обрабатываемых Персональных данных Субъекта, или обеспечивает их блокирование (если обработка Персональных данных осуществляется другим лицом, действующим по его поручению) в течение 3 (трех) рабочих дней с даты получения запроса (обращения), если блокирование Персональных данных не нарушает права и законные интересы Субъекта Персональных данных или третьих лиц, с одновременным проведением проверки обоснованности изложенных в запросе (обращении) утверждений. Блокирование Персональных данных сохраняется на период осуществления проверки.

Блокирование Персональных данных Субъекта может быть временно снято, если это требуется для соблюдения законодательства Республики Казахстан и выполнения возложенных на ГК VILED прав/обязанностей в соответствии с заключенными договорами (соглашениями).

Снятие блокирования Персональных данных Субъекта осуществляется после подтверждения обоснованности изложенных в запросе (обращении) утверждений.

Предоставление в ГК VILED повторного согласия Субъекта Персональных данных на сбор и обработку его данных влечет автоматическое разблокирование его Персональных данных.

В случае подтверждения в результате проверки факта недостоверности Персональных данных на основании документов, представленных Субъектом Персональных данных или его представителем, ГК VILED уточняет Персональные данные в течение 3 (трех) рабочих дней со дня получения ГК VILED таких сведений, и снимает их блокирование.

После уточнения Персональных данных ГК VILED уведомляет об этом Субъекта или его представителя путем направления соответствующего уведомления о внесении изменений/дополнений в некорректные Персональные данные.

В случае передачи недостоверных Персональных данных третьим лицам ГК VILED предпринимает разумные меры для уведомления об этом указанных лиц путем направления письма о внесении изменений/дополнений в переданные Персональные данные.

В случае подтверждения в результате проверки факта неправомерной обработки Персональных данных, ГК VILED прекращает неправомерную обработку Персональных данных и уничтожает их в срок, не превышающий 3 (трех) рабочих дней с даты подтверждения.

О проведенных мероприятиях по устранению допущенных нарушений или уничтожению Персональных данных ГК VILED уведомляет Субъекта или его представителя путем направления уведомления о проведенных мероприятиях по факту обнаружения неправомерной обработки Персональных данных.

В случае невозможности обеспечения правомерности обработки Персональных данных, ранее переданных ГК VILED третьим лицам, ГК VILED предпринимает разумные меры для уведомления об этом указанных лиц путем направления письма об уничтожении Персональных данных.

В случае, если обработка Персональных данных производится иным лицом, действующим по поручению ГК VILED, ГК VILED обеспечивает выполнение мер, указанных в пунктах 11.3, 11.8 - 11.12 настоящего Правила, данным лицом.

В случае достижения целей сбора и обработки Персональных данных, ГК VILED прекращает обработку или обеспечивает ее прекращение (если обработка осуществляется третьим лицом по поручению ГК VILED) и уничтожает Персональные данные (обеспечивает их уничтожение, в случае обработки Персональных данных третьим лицом по поручению ГК VILED) в срок, не превышающий 30 (тридцать) рабочих дней с момента достижения целей обработки Персональных данных, за исключением случаев, когда ГК VILED имеет право осуществлять обработку Персональных данных без согласия Субъекта Персональных данных на основаниях, предусмотренных законодательством Республики Казахстан.

Для уничтожения Персональных данных приказом руководителя организации из числа работников ГК VILED создается комиссия в количестве не менее 3 (трех) человек, выявляющая перечень Субъектов Персональных данных, информация о которых подлежит уничтожению, ИС, в которых производится обработка указанной информации, а также носители Персональных данных, подлежащие уничтожению.

В случае выявления ИС, содержащих сведения о Субъектах Персональных данных, информация о которых подлежит уничтожению, ГК VILED производится удаление указанных сведений из соответствующих ИС в порядке, определенном пунктом 11.17 настоящего Правила.

В случае выявления носителей Персональных данных, содержащих сведения о Субъектах Персональных данных, информация о которых подлежит уничтожению, при возможности и целесообразности производится уничтожение информации на носителях Персональных данных с помощью программного обеспечения гарантированного уничтожения информации, в противном случае производится уничтожение указанных носителей Персональных данных. Результаты уничтожения фиксируются в Акте уничтожения носителей персональных данных (Приложение №10 к настоящему Правилу).

Уничтожение Персональных данных на бумажных носителях и в электронном виде производится в порядке, установленном внутренними документами ГК VILED по вопросам документооборота и архивного дела.

В случае если согласно имеющейся у ГК VILED информации, Персональные данные были направлены третьим лицам, руководитель СП, осуществляющего обработку соответствующих Персональных данных, обязан уведомить в письменной форме указанных третьих лиц о необходимости уничтожения Персональных данных с изложением оснований для подобного уничтожения.

Обезличивание Персональных данных Субъекта происходит по письменному запросу (обращению) Субъекта Персональных данных, если иное не предусмотрено законодательством Республики Казахстан, соответствующим договором/соглашением и/или иным документом, внутренним документом ГК VILED.

При обезличивании Персональных данных в ИС, Персональные данные заменяются набором символов, по которому невозможно определить принадлежность Персональных данных к конкретному Субъекту за исключением случаев, когда это противоречит законодательству Республики Казахстан.

Бумажные носители документов при обезличивании Персональных данных уничтожаются за исключением случаев, когда это противоречит законодательству Республики Казахстан.

Предоставление Персональных данных

• Наряду с обеспечением конфиденциальности сведений, составляющих Персональные данные, ГК VILED обязан предоставлять указанные сведения самому Субъекту Персональных данных или его представителю, а также государственным органам и их должностным лицам, третьим юридическим и физическим лицам в случаях и в порядке, предусмотренном законодательством Республики Казахстан.

• ГК VILED предоставляет сведения, составляющие Персональные данные, государственным органам и их должностным лицам, третьим юридическим и физическим лицам в рамках их компетенции, определенной законодательством Республики Казахстан, и при условии поступления в ГК VILED надлежащим образом оформленного мотивированного запроса.

• Информация о наличии или отсутствии Персональных данных Субъекта предоставляется последнему или его представителю ГК VILED при обращении либо получении запроса Субъекта или его представителя. По запросу Субъекта, его представителя, ГК VILED сообщает о наличии либо отсутствии информации, касающейся обработки ГК VILED Персональных данных, относящихся к соответствующему Субъекту путем направления ответа о наличии обработки персональных данных, либо ответа об отсутствии обработки персональных данных, соответственно.

• Доступ к Персональным данным либо ответ на запрос (обращение) о наличии либо отсутствии информации, касающейся обработки ГК VILED Персональных данных, предоставляется в течение 3 (трех) рабочих дней с даты получения ГК VILED соответствующего запроса (обращения). В случае отказа в предоставлении информации ГК VILED сообщает об этом Субъекту либо его представителю путем направления мотивированного ответа об отказе в предоставлении информации о наличии обработки Персональных данных.

• При отправке документов, содержащих Персональные данные, почтовой/курьерской связью должна быть обеспечена их конфиденциальность. Документы, содержащие Персональные данные вкладываются в конверт. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством Республики Казахстан предусмотрена ответственность. Далее, конверт вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные правилами для заказных почтовых отправлений.

• Указанный (-ое) в пункте 12.3 настоящего Правила запрос (обращение) должен (-но) содержать реквизиты основного документа, удостоверяющего личность Субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта в отношениях с ГК VILED (номер договора/соглашения, дата заключения договора/соглашения, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки Персональных данных ГК VILED, подпись Субъекта или его представителя.

• Работник, на исполнении у которого находится запрос (обращение) о предоставлении Персональных данных, несет ответственность за своевременность и достоверность предоставляемых сведений, а также, за несоблюдение конфиденциальности Персональных данных.

• Поступающие запросы (обращения) Субъектов, не являющихся работниками, членами органов управления, коллегиальных и исполнительных органов ГК VILED, и их представителей, рассматриваются в порядке согласно внутренним документам ГК VILED, с соблюдением сроков, установленных законодательство Республики Казахстан, и настоящего Правила. При этом все запросы (обращения) указанных Субъектов или их представителей регистрируются в документообороте ГК VILED.

• Прием запросов (обращений) работников, членов органов управления, коллегиальных и исполнительных органов ГК VILED, их учет, а также предоставление ответов на них осуществляется ответственным структурным подразделением письменно через канцелярию ГК VILED либо в электронном виде с использованием документооборота ГК VILED, в сроки, установленные законодательством РК, и настоящим Правилом.

• Трансграничная передача Персональных данных ГК VILED осуществляется в государства, являющееся одной из сторон Конвенции о защите физических лиц при автоматизированной обработке персональных данных (ETS N 108).

• Для осуществления трансграничной передачи Персональных данных в отличное от указанного в пункте 12.10 настоящего Правила необходимо проверить данное государство на предмет того, является ли оно одной из сторон Конвенции Совета Европы о защите физических лиц при автоматизированной обработке Персональных данных, обеспечивает ли адекватную защиту прав Субъектов Персональных данных, не запрещена ли или не ограничена ли законодательством Республики Казахстан передача Персональных данных на его территорию. Трансграничная передача Персональных данных на территорию иностранного государства, не обеспечивающего адекватной защиты прав Субъектов Персональных данных, осуществляется только в случаях, предусмотренных в Закона РК о персональных данных.

Порядок хранения Персональных данных

• Хранение Персональных данных может осуществляться:

• На материальных носителях;

• На бумажных носителях;

• На электронных носителях;

• В ИС.

• Хранение Персональных данных Субъектов в структурных подразделениях ГК VILED, работники которых имеют право доступа к Персональным данным, осуществляется в порядке, исключающем к ним доступ третьих лиц.

• Персональные данные, обрабатываемые в ИС, хранятся в базах данных, располагающихся в центрах обработки данных.

• Работникам, при обслуживании соответствующего Субъекта не разрешается размещение документов/информации, содержащих Персональные данные иных Субъектов.

• Работникам, не разрешается в период своего отсутствия на рабочем месте оставлять какие-либо документы/информацию, содержащие Персональные данные, или оставлять запирающиеся устройства незапертыми.

• При передаче Персональных данных на бумажных носителях на хранение в архив ГК VILED, они должны находиться в специально отведенных для этой цели помещениях, в условиях, обеспечивающих их полную сохранность и защиту от несанкционированного доступа к ним.

• Обязанности по обеспечению сохранности документов, в которых содержатся Персональные данные Субъектов, возлагаются на руководителей СП в которых обрабатываются Персональные данные.

• Сроки хранения Персональных данных Субъектов в электронном виде и на бумажных носителях определяются законодательством Республики Казахстан и внутренними документами ГК VILED.

Ответственность

• Все Работники, осуществляющие сбор и обработку Персональных данных, обязаны хранить тайну о сведениях, содержащих Персональные данные, в соответствии с требованиями законодательства Республики Казахстан, настоящим Правилом и иными внутренними документами ГК VILED.

• Ответственность за выполнение необходимых мероприятий по организации режима конфиденциальности Персональных данных и соблюдения мер безопасности при обработке Персональных данных возлагается на руководителей СП ГК VILED.

• Ответственность за соблюдение режима конфиденциальности Персональных данных, находящихся у работников на персональных компьютерах, съемных и бумажных носителях, несут данные работники.

• Ответственность за обеспечение технического обслуживания сервера, на котором хранятся Персональные данные, возлагается на Управление ИТ.

• Ответственность за общую организацию процесса обеспечения безопасности Персональных данных и контроль соблюдения требований настоящего Правила в ГК VILED возлагается на руководителей всех подразделений в рамках своего функционала.

• Нарушение требований настоящего Правила может повлечь привлечение работника, лица, допустившего нарушение, к дисциплинарной (вплоть до расторжения трудового договора), гражданско-правовой, административной или уголовной ответственности в соответствии с законодательством Республики Казахстан и/или заключенным договором (соглашением).

Заключительные положения

• Действия настоящего Правила распространяются на отношения, возникшие из ранее заключенных действующих договоров (соглашений), с учетом положений пункта 3 статьи 31 Закона о персональных данных, в соответствии с которым сбор, обработка персональных данных, осуществленные согласно законодательству Республики Казахстан до введения в действие Закона о персональных данных, признаются соответствующими требованиям Закона о персональных данных, если дальнейшие их обработка и защита соответствуют целям их сбора.

• Работникам СП, осуществляющих привлечение на обслуживание/для оказания (выполнения) услуг (работ)/принятие на работу, осуществляющих сбор документов для определения возможности установления деловых отношений/установления деловых отношений с Субъектами и/или ответственных за заключение договора (соглашения), в случае отсутствия подписанного соответствующего согласия на сбор и обработку его Персональных данных и соответствующей оговорки в ранее заключенном действующем договоре (соглашении):

• Проводить работу по уведомлению Субъектов о необходимости подписания согласий на сбор и обработку Персональных данных либо внесения соответствующей оговорки в ранее заключенный (-ое) договор (соглашение);

• Проводить работу по подписанию с Субъектами согласий на сбор и обработку Персональных данных. При отсутствии информации о местонахождении Субъекта, подписание с Субъектом согласия на сбор и обработку Персональных данных необходимо осуществлять по мере его обращения в ГК VILED.

• В случае изменения действующего законодательства Республики Казахстан, а также внесения изменений во внутренние документы ГК VILED, настоящее Правило действует в части, не противоречащей действующему законодательству Республики Казахстан и действующим внутренним документам ГК VILED, до приведения его в соответствие с такими изменениями.

• Вопросы, не урегулированные настоящим Правилом, регулируются в соответствии с действующим законодательством Республики Казахстан и иными внутренними документами ГК VILED.

• Каждый новый работник подлежит ознакомлению Управлением HR ГК VILED с настоящим Правилом под роспись. Допускается ознакомление работников с использованием электронной системы документооборота.

• Владельцем настоящих Правил является Управление ИТ.

• Настоящие Правила должны пересматриваться не реже 1 (одного) раза в год.

Удаление аккаунта