Политика конфиденциальности
1. Введение
1.1 настоящим документом определяется политика ТОО "Модный маркет" (далее – компания) в отношении обработки персональных данных (далее – PDN).
1.2 данная политика разработана в соответствии с действующим законодательством Республики Казахстан О персональных данных.
1.3 настоящая политика применяется ко всем процессам сбора, регистрации, систематизации, накопления, хранения, уточнения, извлечения, использования, передачи (распространения, предоставления, доступа), деперсонализации, блокирования, удаления, уничтожения персональных данных, осуществляемым с использованием средств автоматизации или без них.
2. Принципы обработки персональных данных
2.1 обработка персональных данных осуществляется в соответствии со следующими принципами:
обработка персональных данных осуществляется на законной и справедливой основе; обработка персональных данных ограничивается достижением конкретных, предопределенных и законных целей. Запрещается обрабатывать персональные данные, несовместимые с целями сбора персональных данных; запрещается объединять базы данных, содержащие персональные данные, обработка которых осуществляется в несовместимых между собой целях; обрабатываются только те персональные данные, которые отвечают целям их обработки; содержание и количество обрабатываемых персональных данных соответствуют заявленным целям обработки. Обработанные персональные данные не являются избыточными по отношению к заявленным целям обработки; обработка персональных данных гарантирует точность и достаточность персональных данных; хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором, участником которого субъект персональных данных является, бенефициаром или гарантом. Обрабатываемые персональные данные подлежат уничтожению или деперсонализации при достижении целей обработки или в случае утраты необходимости достижения этих целей, если иное не предусмотрено Федеральным законом.
3. Условия обработки персональных данных
3.1 обработка персональных данных осуществляется в соответствии с принципами и правилами, установленными Федеральным законом О персональных данных.
Обработка персональных данных допускается в следующих случаях:
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международными договорами Российской Федерации или законом, для реализации и исполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.; обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащего исполнению в соответствии с законодательством Российской Федерации Об исполнительном производстве; обработка персональных данных необходима для исполнения договора, по которому либо бенефициаром, либо гарантом которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет бенефициаром или гарантом; обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если согласие субъекта персональных данных невозможно обеспечить.; обработка персональных данных необходима для реализации прав и законных интересов оператора или третьей стороны, или для достижения сообщества и при условии, что это не нарушает права и свободу субъекта персональных данных; обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательной дегуманизации персональных данных. Исключение: обработка персональных данных с целью продвижения товаров, работ и услуг на рынке путем осуществления прямого контакта с потребителями с помощью средств связи, а также в целях политической пропаганды; осуществляется обработка персональных данных, доступ общественности к которым предоставляется субъекту персональных данных, либо по его просьбе (далее-персональные данные, обнародованные субъектом персональных данных); осуществляется обработка персональных данных, подлежащих обязательной публикации или разглашению в соответствии с Федеральным законом.
3.2 компания может включать персональные данные субъектов в общедоступные источники персональных данных, и компания принимает письменное согласие субъекта на обработку своих персональных данных.
3.3 биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основании которых возможно установление его личности и которые используются оператором для установления личности субъекта персональных данных) в обществе не обрабатываются.
3.4 принятие на основе исключительно автоматизированной обработки персональных данных решений, порождающих правовые последствия для субъекта персональных данных или иным образом затрагивающих его законные права и интересы, не осуществляется.
3.5 при отсутствии письменного согласия субъекта на обработку его персональных данных согласие субъекта персональных данных может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей получить факт его получения.
3.6 компания имеет право поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании договора, заключенного с этим лицом (далее – инструкция оператора). При этом компания по договору обязывает лицо, осуществляющее обработку персональных данных от имени компании, соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.
3.7 в случае, если компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия такого лица лежит на компании. Лицо, обрабатывающее персональные данные от имени компании, несет ответственность перед компанией.
3.8 компания обязуется и обязуется, чтобы другие лица, имеющие доступ к персональным данным, не разглашали или не разглашали персональные данные третьим лицам без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
4. Обязанности компании
4.1 в соответствии с требованиями Федерального закона № 152-ФЗ " О персональных данных»
Общество должно:
предоставить субъекту персональных данных, по его просьбе, информацию, касающуюся обработки его персональных данных, или предоставить юридически отказ; по просьбе субъекта персональных данных уточнить обработанные персональные данные, заблокировать или удалить, если персональные данные являются неполными, устаревшими, неточными, полученными незаконным путем или не являются необходимыми для заявленной цели обработки персональных данных.; вести журнал обращений субъектов персональных данных, в котором должны регистрироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по таким запросам; уведомлять субъекта персональных данных об обработке персональных данных в случае, если персональные данные не были получены от субъекта персональных данных.
Исключение составляют следующие случаи:
>субъект Adt информирован о реализации своего соответствующего Adt оператору; Adt получены компанией в соответствии с Федеральным законом или в связи с исполнением договора, по которому либо бенефициаром, либо гарантом которого является субъект Adt; Adt обнародованы субъектом Adt или получены из источников; предоставление субъектом ДД информации, содержащейся в уведомлении об обращении с ДД, нарушает права и законные интересы третьих лиц
В случае достижения цели обработки персональных данных немедленно прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней со дня достижения цели обработки персональных данных, если иное не предусмотрено договором, к которому, бенефициаром или гарантом которого является субъект персональных данных, в другом договоре между компанией и субъектом персональных данных или если компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных по основаниям, № 152-ФЗ «О персональных данных» или иными федеральными законами. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней со дня получения такого отзыва, если иное не предусмотрено соглашением между компанией и субъектом персональных данных. Компания обязана уведомить заинтересованное лицо об уничтожении персональных данных. В случае обращения субъекта о прекращении обработки персональных данных с целью продвижения товаров, работ и услуг на рынке немедленно прекратить обработку персональных данных.
5. Меры по обеспечению безопасности персональных данных при их обработке
5.1 обработка персональных данных, компания принимает правовые, организационные и технические меры по защите персональных данных от неправомерного использования или произвольного доступа к ним, уничтожения, изменения, блокирования, сохранения, предоставления, распространения персональных данных, а также других незаконных действий в отношении персональных данных.
5.2 в частности, обеспечивается безопасность персональных данных:
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; организационно-техническое применение, необходимое для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для удовлетворения требований защиты персональных данных, и выполнение которых обеспечивает установленные Правительством РФ уровни защиты персональных данных; в установленном порядке, порядок оценки соответствия защиты информации; оценка эффективности мер, принятых для обеспечения безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; учет компьютерных носителей персональных данных; выявление фактов несанкционированного доступа к персональным данным и принятие мер; восстановление персональных данных, измененных или уничтоженных в результате несанкционированного доступа к персональным данным.; установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также программное обеспечение для регистрации и учета всех операций, проводимых с персональными данными в информационной системе персональных данных; контролирует меры, принятые для обеспечения безопасности персональных данных и уровня безопасности информационных систем персональных данных.