Утверждено:
Приказом руководителя
№ 05/06 от 05.06.2024г.
Политика «Обработки персональных данных»
ТОО «Финтехмаркет» (далее – «Оператор»)
1. Общие положения
1.1. Настоящая политика «Обработки персональных данных» (далее – Политика) является нормативным документом ТОО «Финтехмаркет», БИН 231140011117 (далее – «Общество» и/или «Оператор»), определяющим общие положения Общества в области правомерности обработки и обеспечения безопасности обрабатываемых персональных данных лиц, которые не входят в Общество, но с которыми мы взаимодействуем, включая посетителей нашего Сайта и других пользователей наших услуг и разработана в целях обеспечения безопасности обработки, хранения и использования персональных данных субъектов персональных данных.
1.2. Действие настоящего документа распространяется на все процессы Общества, в рамках которых осуществляется обработка персональных данных пользователей Сайта как субъектов ПДн.
1.3. Во исполнение Закона Республики Казахстан от 21 мая 2013 года №94-V «О персональных данных и их защите» настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.4. Политика Разработана и исполняется Оператором в отношении интернет сайта (Далее – «Сайт»), сервиса сайта Оператора bank.kz. Под указанным Сервисом понимаются, в частности, заполнение пользователем Анкеты (Формы), подписка на новости.
1.5. Данная Политика определяет условия и цели сбора, хранения, защиты, обработки, предоставления информации о пользователях Сайта.
2. Правовые основания обработки персональных данных
2.1. Настоящая Политика является публичным документом и разработана в соответствии с требованиями: Закона Республики Казахстан от 21 мая 2013 года №94-V «О персональных данных и их защите», а также международными договорами, ратифицированными Республикой Казахстан, иными нормативными документами в соответствии с действующими нормами законодательства в области персональных данных Республики Казахстан.
2.2. Настоящая Политика является обязательной для исполнения всеми работниками Общества.
2.3. Рассматриваемые настоящей Политикой отношения, связанные со сбором, хранением, обработкой и защитой информации о пользователях Интернет-ресурсов/сервисов, регулируются в соответствии с действующим законодательством Республики Казахстан.
3. Принципы, цели и способы обработки персональных данных
3.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в Законе Республики Казахстан от 21 мая 2013 года №94-V «О персональных данных и их защите».
3.2. Оператор осуществляет сбор и обработку информации о Пользователях в целях предоставления функциональных возможностей и услуг Сайта; предоставления информации и предложений о финансовых продуктах и услугах; информационного взаимодействия с Пользователями с помощью любых средств (в том числе по электронной почте, с помощью текстовых сообщений) для предоставления новостных материалов и иной информации, с учетом необходимости получения предварительного согласия.
4. Категории и способы обработки персональных данных
4.1. Оператором осуществляются следующие действия с персональными данными пользователя: сбор, запись, накопление, хранение, извлечение, использование, удаление, уничтожение, автоматизированная и ручная обработка (в случае, когда это требуется для предоставления услуги или взаимодействия с пользователем), в том числе для подбора рекламы в соответствии с интересами пользователя, передача партнерам в зашифрованном и не зашифрованном виде.
4.2. Оператор имеет право обрабатывать информацию о пользователях, полученную в результате обмена информацией с третьими лицами по протоколам OpenID и OAuth, при условии, что указанные третьи лица получат предварительное согласие пользователей на указанную обработку.
4.3. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
4.4. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
4.5. Оператор может Обрабатывать следующие категории Персональных данных Пользователей:
— Фамилия Имя Отчество;
— Контактные данные: номер телефона; адрес электронной почты;
Демографические сведения: пол; дата рождения, гражданство;
— Данные, относящиеся Веб-сайту: тип устройства; операционная система; тип браузера; настройки браузера; IP-адрес; языковые настройки; даты и время подключения к Веб-сайту; статистика использования Сайта; иные сведения о технических средствах связи; сводные статистические сведения, cookies.
4.6. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
4.7. Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
4.8. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
4.9. Оператор предпринимает все разумно необходимые действия для обеспечения Обработки Персональных данных исключительно в течение минимального срока, необходимого для достижения целей, установленных настоящей Политикой.
4.10. Оператор хранит Персональные данные в форме, позволяющей идентифицировать их субъектов, исключительно в течение того срока, когда поддерживает с Пользователями постоянные отношения (пока Пользователь пользуется услугами Оператора или на законных основаниях включен в список рассылки и не отказался от подписки).
4.11. По завершении сроков, указанных выше, Оператор удаляет и уничтожает соответствующие Персональные данные, либо обезличивает Персональные данные.
5. Права Оператора и права субъектов персональных данных
5.1 Оператор имеет право:
— Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
— Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
— Оператор вправе удалить информацию о пользователе в случае нарушения последним норм официальных документов Оператора, в том числе, определяющих условия использования отдельных Интернет-ресурсов/сервисов.
5.2. Оператор обязан:
— Организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
— Отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
— Сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию.
— Помимо Оператора, доступ к информации о пользователях, при условии соблюдения требований законодательства Республики Казахстан имеют:
— Партнеры Оператора в отношении совместных партнерских проектов Оператора в пределах и на условиях, устанавливаемых соответствующими официальными документами, определяющих их использование;
— Лица и организации, осуществляющие техническую поддержку служб и сервисов Оператора в объеме, необходимом для осуществления такой технической поддержки, при условии соблюдения ими конфиденциальности информации о пользователях.
5.3. Субъект персональных данных имеет право:
— На получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- правовые основания и цели обработки персональных данных;
- подтверждение факта обработки персональных данных в Общества;
- применяемые в Обществе способы обработки персональных данных;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных;
- наименование и место нахождения Общества, сведения о лицах (за исключением работников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора Общества или на основании федерального закона;
- сроки обработки персональных данных.
— Право на удаление персональных данных. Удаление персональных данных происходит в течение 3 (трех) рабочих дней со дня поступления соответствующего запроса пользователя и может повлечь невозможность использования последним соответствующих Интернет-ресурсов/сервисов.
— Пользователь имеет право распространять собственные персональные данные любыми законными способами. Оператор не несет ответственности за действия третьих лиц, которые получили доступ к информации о пользователях в результате указанного распространения, либо осуществили неправомерный доступ к охраняемой информации о пользователях.
— Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться к Обществу. Общество рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
— Субъект персональных данных имеет право подать Оператору запрос на прекращение обработки и удаление своих данных, посредством отправки обращения Оператору согласно пункту 7.2. настоящей Политики.
6. Меры по обеспечению безопасности и защите персональных данных
6.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, снижения риска их утраты и или кражи, получения несанкционированного доступа к ним, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
6.1.1 Назначением ответственного лица за организацию обработки и обеспечение безопасности персональных данных. Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки и обеспечение безопасности персональных данных, установлены Законом Республики Казахстан от 21 мая 2013 года №94-V «О персональных данных и их защите» и «Положением о лице, ответственном за организацию обработки и обеспечение безопасности персональных данных» Оператора.
6.1.2 Осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Закона Республики Казахстан от 21 мая 2013 года №94-V «О персональных данных и их защите» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.
6.1.3 Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Казахстан о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и/или обучением указанных сотрудников.
6.1.4 Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
6.1.5 Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
6.1.6 Лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных:
6.1.7 Организует осуществление внутреннего контроля над соблюдением Оператором и его работниками законодательства Республики Казахстан о персональных данных, в том числе требований к защите персональных данных.
6.1.8 Доводит до сведения работников Оператора положения законодательства Республики Казахстан о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.
6.1.9 Информация, относящаяся к персональным данным, ставшая известной Обществу, является конфиденциальной информацией и охраняется законом.
6.2. Для защиты персональных данных пользователей используется SSL-сертификат, который зашифровывает передаваемые данные. В результате, даже если эти данные перехватываются, их невозможно прочитать или изменить.
6.3. Договоры Оператора с контрагентами содержат условия конфиденциальности передаваемых и получаемых персональных данных, в том числе с лицами, привлекаемыми для обработки персональных данных.
6.4. Базы данных информации, содержащих персональные данные граждан Республики Казахстан, размещаются на территории Республики Казахстан.
6.5. Оператор обеспечивает конфиденциальность соответствующей информации в пределах и на условиях, установленных действующим законодательством Республики Казахстан и настоящей Политикой.
7. Обращения пользователей
7.1. Срок обработки персональных данных является неограниченным.
7.2. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора info@bank.kz с пометкой «Отзыв согласия на обработку персональных данных», содержащее ФИО и номер телефона пользователя. Анонимные обращения не рассматриваются.
7.3. До обращения по спорам, возникающим из отношений между Пользователем и Оператором, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).
8. Заключительные положения
8.1. Политика конфиденциальности может подвергаться любым изменениям со стороны Оператора без предварительного предупреждения. Текущая и актуальная версия всегда доступна для просмотра на сайте bank.kz.
8.2. Если вы не согласны с условиями этой Политики конфиденциальности, пожалуйста, немедленно покиньте сайт.
8.3. Использование Пользователем настоящего сайта означает согласие с настоящей политикой конфиденциальности и условиями пользовательского соглашения, согласия на обработку персональных данных, согласия на получение рекламных материалов.
8.4. Настоящая политика конфиденциальности применяется только к сайту Оператора. Оператор не несет ответственность за сайты третьих лиц, на которые может перейти пользователь по ссылкам, доступным на настоящем сайте. Если у вас есть рекомендации или вопросы, вы можете связаться с нами через форму обратной связи.
Размещая свои персональные, иные данные и сведения на Сайте, Пользователь подтверждает, что ознакомлен и согласен с Политикой в отношении организации обработки и обеспечения безопасности персональных данных Оператора, размещенной на Сайте.