Политика в отношении сбора, обработки и защиты персональных данных

Утверждено: 

Приказом от 26.06.25г.

Директор ТОО «Финтехмаркет»

Талманова Н.Е.

 

1. ОБЩИЕ ПОЛОЖЕНИЯ

 

1.1. Товарищество с ограниченной ответственностью «Финтехмаркет» БИН: 231140011117 (далее – Компания), в соответствии с законодательством Республики Казахстан является оператором персональных данных. В рамках осуществления своей деятельности Компания осуществляет обработку персональных данных различных категорий субъектов персональных данных с использованием информационных систем персональных данных.

1.2. Настоящая политика в отношении сбора, обработки и защиты персональных данных (далее — Политика) являясь локальным нормативным актом Компании, разработана в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны. Политика действует в отношении всех персональных данных, которые обрабатывает Компания.

1.3. Положения настоящей Политики служат основой для разработки внутренних актов Компании, регламентирующих вопросы обработки персональных данных работников Компании и других субъектов персональных данных.

1.4. Текст настоящей Политики размещается Компанией в сети Интернет на сайте по адресу: https://bank.kz/soglasie-na-obrabotku-personalnyh-dannyh/   (далее – Сайт).

1.5. Политика обработки персональных данных Компании определяется в соответствии со следующими нормативными правовыми актами:

• Конституция Республики Казахстан;
• Трудовой кодекс Республики Казахстан;
• Закон Республики Казахстан «О персональных данных и их защите»
• иные нормативные правовые акты Республики Казахстан и нормативные документы уполномоченных органов государственной власти.

1.6. В настоящей Политике используются следующие основные понятия и термины:

a) персональные данные — сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

б) субъект персональных данных — физическое лицо, к которому относятся обрабатываемые Компанией персональные данные, в том числе физическое лицо, не являющееся работником Компани, к которому относятся обрабатываемые Компанией персональные данные, для достижения целей, определенных в главе 2 Политики;

в) обработка персональных данных — действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

г) распространение персональных данных — действия, в результате совершения которых, происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;

д) блокирование персональных данных — действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;

е) уничтожение персональных данных — действия, в результате совершения которых, невозможно восстановить персональные данные;

ж) обезличивание персональных данных — действия, в результате совершения которых, определение принадлежности персональных данных субъекту персональных данных невозможно;

з) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства;

и) Cookies – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере Пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта;

к) IP-адрес – уникальный сетевой адрес, идентифицирующий устройство в интернете или локальной сети.

1.8. Основные права и обязанности Компании.

1.8.1. Компания имеет право:

1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом Республики Казахстан «О персональных данных и их защите» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;

2) поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом Республики Казахстан «О персональных данных и их защите»;

3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

1.8.2. Компания обязана:

1)принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;

2) отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона Республики Казахстан «О персональных данных и их защите»;

3) сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных в течении одного рабочего дня с момента обнаружения соответствующего нарушения;

4) исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;

1.9. Субъект персональных данных имеет право:

1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством. Сведения предоставляются субъекту персональных данных Компанией в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

2) требовать от Компании уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными; в любое время без объяснения причин отозвать свое согласие на обработку персональных данных. Если субъект персональных данных желает уточнения персональных данных в случае, когда персональные данные являются неполными, неточными или неактуальными, либо желает отозвать свое согласие на обработку персональных данных, субъект персональных данных должен направить официальный запрос в следующем порядке: направить письмо с соответствующей просьбой на адрес электронной почты: info@bank.kz, или по юридическому адресу Компании. В письме необходимо указать электронный адрес и/или почтовый адрес и номер телефона, и соответствующее требование. При отзыве согласия на обработку персональных данных субъект персональных данных также отказывается от получения рекламно-информационных рассылок;

3) получать информацию о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Республики Казахстан;

4) требовать от Компании блокирования или удаления его персональных данных, если они незаконно получены или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

5) обжаловать действия (бездействие) и решения Компании, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

6) на осуществление иных прав, предусмотренных законодательством Республики Казахстан в сфере персональных данных 

 

2. ЦЕЛИ И СРОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

2.1. Компания осуществляет сбор и обработку персональных данных следующих категорий субъектов:

• посетителей Сайта и пользователей Сайта, которые оставили персональные данные на Сайте путем авторизации или составления заявки, обращения, запроса и т.д.;
• потребителей услуг Компании;
• кандидатов на рабочие места;
• работников и иных представителей Компании, а также указанных ими лиц;
• работников и иных представителей контрагентов — юридических лиц, а также указанных ими лиц;
• контрагентов — физических лиц;
• иных субъектов, взаимодействие которых с Компанией создает необходимость обработки персональных данных.

2.2. Персональные данные обрабатываются Компанией в целях:

• осуществление и выполнение функций, полномочий и обязанностей, возложенных на оператора персональных данных законодательством Республики Казахстан и международными договорами Республики Казахстан;
• предоставление работникам Компании и/или указанными ими лицам льгот и компенсаций в соответствии с законодательством Республики Казахстан;
• выявление конфликта интересов;
• рассмотрение возможности трудоустройства кандидатов;
• ведение кадрового резерва;
• проверка кандидатов (в том числе их квалификации и опыта работы);
• оформление пропусков и допусков;
• организация и сопровождение деловых поездок;
• проведение мероприятий и обеспечение участия в них субъектов персональных данных;
• обеспечение безопасности, сохранение материальных ценностей и предотвращение правонарушений;
• выпуск доверенностей и иных уполномочивающих документов;
• для дальнейшей коммуникации по заявке субъекта персональных данных;
• ведение переговоров, заключение и исполнение договоров;
• проверка контрагента;
• реклама и продвижение товаров и услуг, в том числе представление информации о товарах и услугах Компании;
• обработка обращений с претензиями и информацией по безопасности товаров и услуг;
• обработка обращений о негативных явлениях и побочных эффектах;
• оценка качества удовлетворенности клиентов;
• исполнение обязанности налогового агента;
• оценки и анализа работы Компании, аналитики эффективности размещения рекламы, информирования субъекта персональных данных об акциях, скидках и специальных предложениях посредством рассылок по электронной почте;
• оформление трудовых отношений, цели, направленные на обеспечение соблюдения трудовых договоров, договоров, законов и иных нормативных правовых актов;
• иных законных целях.

2.3. Обработка персональных данных производится в срок, достаточный для достижения конкретных, заранее заявленных законных целей. Персональные данные будут обрабатываться, пока согласие не будет отозвано, или же срок обработки не прекратит свое действие.

 

3. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

3.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в главе 2 Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.2. Компания может обрабатывать перечисленные персональные данные следующих категорий субъектов персональных данных:

3.2.1. Кандидаты на рабочие места в Компании:

• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• контактные данные;
• сведения об образовании, опыте работы, квалификации;
• иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.

3.2.2. Работники и бывшие работники Компании:

• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• изображение (фотография);
• данные документа, удостоверяющего личность;
• адрес регистрации по месту жительства;
• адрес фактического проживания;
• контактные данные;
• индивидуальный идентификационный номер;
• сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
• семейное положение, наличие детей, родственные связи;
• сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
• данные о регистрации брака;
• сведения о воинском учете;
• сведения об инвалидности;
• сведения об удержании алиментов;
• сведения о доходе с предыдущего места работы;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

3.2.3. Родственники работников Компании или другие указанные ими лица:

• фамилия, имя, отчество;
• степень родства;
• год рождения;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

3.2.4. Клиенты и контрагенты Компании (физические лица):

• фамилия, имя, отчество;
• дата и место рождения;
• данные документа, удостоверяющего личность;
• адрес регистрации по месту жительства;
• контактные данные;
• индивидуальный идентификационный номер;
• номер расчетного счета, банковские данные;
• иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.

3.2.5. Представители (работники) клиентов и контрагентов Компании (юридических лиц):

• фамилия, имя, отчество;
• данные документа, удостоверяющего личность;
• контактные данные;
• занимаемая должность;
• иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.

3.2.6. Пользователи Сайта Компании:

• фамилия, имя, отчество;
• гражданство;
• индивидуальный идентификационный номер (ИИН);
• дата и место рождения;
• данные документа, удостоверяющего личность (номер, дата выдачи, наименование органа, выдавшего документ);
• адрес регистрации и фактического проживания;
• банковские реквизиты и реквизиты банковских карт;
• номер телефона;
• адрес электронной почты;
• кредитная история;
• данные входа на Сайт.

3.3. Обработка Компанией биометрических персональных данных (например, фотографии) осуществляется в соответствии с законодательством Республики Казахстан.

3.4. Компанией не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Республики Казахстан.

 

4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

 

4.1. Если в установленных законодательством Республики Казахстан случаях основным условием обработки персональных данных является получение согласия соответствующего субъекта персональных данных, такое согласие может быть получено в письменной форме, в виде электронного документа или в иной электронной форме (указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты; проставления субъектом персональных данных отметки на Сайте в процессе заполнения соответствующей заявки; с использованием других способов, позволяющих установить факт получения согласия субъекта персональных данных).

4.2. Субъект персональных данных при даче своего согласия Компании указывает свои фамилию, собственное имя, отчество (если таковое имеется), такое указание может быть произведено на Сайте перед дачей согласия на сбор и обработку персональных данных. 

4.3. Передача персональных данных субъекта уполномоченным государственным органам и организации осуществляется в соответствии с требованиями законодательства Республики Казахстан.

4.4. Компания вправе поручить обработку персональных данных от имени Компании или в её интересах уполномоченному лицу на основании заключаемого с этим лицом договора. Договор должен содержать цели обработки персональных данных; перечень действий, которые будут совершаться с персональными данными уполномоченным лицом; обязанности по соблюдению конфиденциальности персональных данных; меры по обеспечению защиты персональных данных.

Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Компании необходимо получение согласия субъекта персональных данных, такое согласие получает Компания.

4.5. В целях внутреннего информационного обеспечения Компания может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

4.6. Доступ к обрабатываемым Компанией персональным данным разрешается только работникам Компании, занимающим должности, включенные в перечень должностей структурных подразделений Компании, при замещении которых осуществляется обработка персональных данных.

4.7. На сайте Компания вправе использовать технологию «Сookies». «Cookies» не содержат конфиденциальную информацию и не передаются третьим лицам. Компания получает информацию об IP-адресе пользователей сайтов и сведения о том, по ссылке с какого интернет-сайта он пришел. Данная информация не используется для установления личности посетителя.

4.8. Компания осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).

4.9. Обработка персональных данных в Компании осуществляется следующими способами:

• с использованием средств автоматизации;
• без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).

4.10.  Защита Персональных данных от неправомерного доступа или утечки обеспечивается за счет средств Компании в порядке, установленном законодательством Республики Казахстан.

4.11. При неавтоматизированной обработке все оригиналы документов, содержащие персональные

данные, и их копии хранятся в помещениях с ограниченным доступом.

4.12. Вся информация в информационных системах Компании защищена в соответствии с

внутренними актами Компании.

4.13. Защита персональных данных также обеспечивается охраной офиса, сигнализацией и пропускной системой в офис Компании.

4.14. Компания применяет иные правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии с действующим законодательством Республики Казахстан и внутренними актами Компании. 

 

5. МЕРЫ, ПРИНИМАЕМЫЕ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

5.1. Меры, необходимые и достаточные для обеспечения выполнения обязанностей Компанией, возложенных на оператора, предусмотренных законодательством Республики Казахстан в области персональных данных, включают:

• предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
• разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
• получение согласий субъектов персональных данных на обработку их персональных данных, передачу персональных данных третьим лицам, в том числе трансграничную передачу персональных данных, за исключением случаев, предусмотренных законодательством Республики Казахстан;
• назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных у Компании;
• издание документов, определяющих политику Компании в отношении обработки персональных данных;
• ознакомление работников, непосредственно осуществляющих обработку персональных данных у Компании с положениями законодательства о персональных данных;
• установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
• обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Компании в отношении обработки персональных данных, до начала такой обработки;
• прекращение обработки персональных данных при отсутствии оснований для их обработки;
• незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
• осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
• ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
• осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

5.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами Компании, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

5.3. Внутренний контроль за соблюдением структурными подразделениями Компании законодательства Республики Казахстан и локальных правовых актов в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных у Компании.

5.4. Ответственность за нарушение требований законодательства Республики Казахстан и нормативных актов Компании в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Казахстан.