Правила обработки персональных данных

Настоящие правила сбора и обработки персональных данных призваны разъяснить , какая информация и в каких случаях собирается и обрабатывается.

При заполнении на сайте https://kz.kursiv.media каких-либо форм обратной связи, либо форм для оформления подписки, нами собирается и обрабатывается следующая информация, предоставленная Вами самостоятельно: Имя, Фамилия, e-mail, Телефон, Название компании, Должность, а также текст сообщения.

Сбор и обработка информации может быть осуществлены из данных предоставленных вами самостоятельно путём направления нам электронных или иных обращений.

Сбор и обработка информации также может быть осуществлены из данных предоставленных вами самостоятельно в ходе оформления гражданско-правовых сделок или трудовых договоров.

Сбор и обработка информации также может быть осуществлены автоматически операционными системами или компьютерным оборудованием (пожалуйста, смотрите «Политику Конфиденциальности»).

Хранение информации осуществляется либо на сервере нашей компании, либо в электронной почте наших работников.

Срок хранения информации не ограничен, однако информация может быть удалена после того, как её актуальность будет утрачена.

Цели , порядок обработки и хранение информации осуществляется согласно «Политике Конфиденциальности» , а также Правилам сбора, обработки персональных данных Утвержденным приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ (Прилагаем для ознакомления).

Утверждены приказом
Министра цифрового развития,
инноваций и аэрокосмической промышленности
Республики Казахстан
от 21 октября 2020 года № 395/НҚ

Правила сбора, обработки персональных данных

Глава 1. Общие положения

1. Настоящие Правила сбора, обработки персональных данных (далее – Правила) разработаны в соответствии с подпунктом 7) пункта 1 статьи 27-1 Закона Республики Казахстан «О персональных данных и их защите» (далее – Закон) и определяют порядок сбора, обработки персональных данных.

2. В настоящих Правилах используются следующие основные понятия:

  1. Персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
  2. Блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
  3. Накопление персональных данных – действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;
  4. Сбор персональных данных – действия, направленные на получение персональных данных;
  5. Уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные;
  6. Обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;
  7. База, содержащая персональные данные (далее – база), – совокупность упорядоченных персональных данных;
  8. Собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
  9. Оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
  10. Негосударственный сервис контроля доступа к персональным данным (далее – негосударственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных при доступе к персональным данным, содержащимся в негосударственных объектах информатизации, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;
  11. Государственный сервис контроля доступа к персональным данным (далее – государственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;
  12. Уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных.

3. Настоящие Правила распространяются на отношения, возникающие между собственниками, операторами, субъектами, а также третьими лицами в процессе сбора и обработки персональных данных.

4. Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом настоящими Правилами, за исключением случаев, предусмотренных пунктом 4-3 настоящих Правил и статьей 9 Закона.

Сбор, обработка персональных данных умершего (признанного судом безвестно отсутствующим или объявленного умершим) субъекта осуществляются в соответствии с законодательством Республики Казахстан.

4-1. Распространение персональных данных в общедоступных источниках допускается при наличии согласия субъекта или его законного представителя.

4-2. Требования пункта 4-1 настоящих Правил не распространяются на обладателей информации в случаях публикации информации, обязанность размещения которой установлена законами Республики Казахстан.

4-3. Допускается повторный сбор, обработка и распространение третьими лицами персональных данных, опубликованных на основании пунктов 4-1 и 4-2 настоящих Правил, при условии наличия ссылки на источник информации.

4-4. Обработка персональных данных в виде трансграничной передачи персональных данных, за исключением случаев, предусмотренных статьей 16 Закона, распространения персональных данных в общедоступных источниках, а также их передачи третьим лицам осуществляется при условии согласия субъекта.

5. Сбор и обработка собственником и (или) оператором персональных данных допускается в объеме, определенном Перечнем персональных данных, необходимого и достаточного для выполнения осуществляемых задач (далее – Перечень персональных данных).

Перечень персональных данных определяется и утверждается в соответствии с Правилами, определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, утвержденными постановлением Правительства Республики Казахстан от 12 ноября 2013 года № 1214.

6. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия.

При сборе и (или) обработке персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц, согласие предоставляется посредством государственного сервиса.

7. Сбор и обработка персональных данных осуществляется при условии обеспечения мер по защите персональных данных в соответствии Правилами осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных, утвержденными постановлением Правительства Республики Казахстан от 3 сентября 2013 года № 909.

Глава 2. Сбор персональных данных

8. Согласие на сбор и обработку персональных данных включает:

  1. Наименование (фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность), бизнес-идентификационный номер (индивидуальный идентификационный номер) оператора;
  2. Фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность) субъекта;
  3. Срок или период, в течение которого действует согласие на сбор, обработку персональных данных;
  4. Сведения о возможности оператора или ее отсутствии передавать персональные данные третьим лицам;
  5. Сведения о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки;
  6. Сведения о распространении персональных данных в общедоступных источниках;
  7. Перечень собираемых данных, связанных с субъектом персональных данных.

9. Субъект согласно пункту 2 статьи 24 Закона обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.

Глава 3. Обработка персональных данных

Параграф 1. Накопление и хранение персональных данных

10. Накопление персональных данных производится в соответствии с главой 2 настоящих Правил, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом.

11. Хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, которая хранится на территории Республики Казахстан.

12. Срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством Республики Казахстан.

Параграф 2. Изменение и дополнение персональных данных

13. Субъект имеет право требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами.

14. Собственник и (или) оператор в течение одного рабочего дня изменяет и (или) дополняет персональные данные на основании соответствующих документов, подтверждающих их достоверность.

15. Субъект имеет право знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:

  • подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
  • перечень персональных данных;
  • сроки обработки персональных данных, в том числе сроки их хранения.

При этом для получения информации субъектом или его законным представителем направляется обращение (запрос) собственнику и (или) оператору либо третьему лицу письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.

16. Собственник и (или) оператор сообщает информацию, относящуюся к субъекту, в течение 3 (трех) рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан.

В случае отказа в предоставлении информации субъекту или его законному представителю, собственник и (или) оператор в срок, не превышающий 3 (трех) рабочих дней со дня получения обращения, представляет мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан.

Параграф 3. Использование, распространение и обезличивание персональных данных

17. Использование персональных данных осуществляется собственником, оператором и третьим лицом для ранее заявленных целей их сбора, определяемых Перечнем персональных данных.

17-1. Распространение персональных данных допускается при условии согласия субъекта или его законного представителя, если при этом не затрагиваются законные интересы иных физических и (или) юридических лиц.

18. Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.

19. Персональные данные обезличиваются для проведения статистических, социологических, научных, маркетинговых исследований.

20. Обезличивание осуществляется собственником и (или) оператором либо третьим лицом до их распространения, любым не противоречащим законодательству Республики Казахстан способом обезличивания, позволяющим решать поставленные задачи обработки персональных данных.

21. Процедура обезличивания персональных данных исключает возможность обратного восстановления исходных персональных данных.

Возмещение расходов собственника и (или) оператора либо третьего лица на обезличивание персональных данных осуществляется за счет лица, запросившего обезличенные персональные данные, если иное не будет определено соглашением с собственником и (или) оператором либо третьим лицом.

22. Описание процедуры обезличивания обеспечивает однозначную трактовку проводимых действий по обезличиванию персональных данных и включает алгоритмы обезличивания и характеристики процедуры, связанные с качеством обезличенных данных, ее трудоемкостью, стойкость к различным атакам.

23. Персональные данные и обезличенные данные хранятся отдельно при использовании собственником и (или) оператором, а также третьим лицом процедуры обезличивания.

Параграф 4. Блокирование и уничтожение персональных данных

24. Субъект или его законный представитель обращаются в уполномоченный орган с целью проверки собственника и (или) оператора, а также третьего лица на предмет соблюдения требований по сбору и обработке персональных данных.

Уполномоченный орган рассматривает обращение субъекта или его законного представителя, с привлечением собственника и (или) оператора, а также третьего лица, в сроки, установленные пунктами 1 и 3 статьи 76 Административного процедурно-процессуального кодекса Республики Казахстан.

25. В случае наличия информации о нарушении условий сбора, обработки персональных данных, субъект требует от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных.

Персональные данные, сбор и обработка которых произведены собственником и (или) оператором, а также третьим лицом с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан, по требованию субъекта подлежат уничтожения.

26. Собственник и (или) оператор в течение одного рабочего дня блокируют персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки.

Собственник и (или) оператор в течение одного рабочего дня уничтожают персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан.

27. Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом:

  1. По истечении срока хранения в соответствии с пунктом 2 статьи 12 Закона;
  2. При прекращении правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом;
  3. При вступлении в законную силу решения суда;
  4. При выявлении сбора и обработки персональных данных без согласия субъекта или его законного представителя за исключением случаев, предусмотренных пунктом 5 статьи 7 и статьей 9 настоящего Закона.

28. Уничтожение персональных данных осуществляется путем удаления информации либо уничтожения материальных носителей персональных данных.

Параграф 5. Обработка персональных данных в деятельности судов

29. Тексты судебных актов Верховного Суда Республики Казахстан, местных и других судов Республики Казахстан, за исключением текстов судебных актов, предусматривающих положения, которые содержат сведения, составляющие государственную или иную охраняемую законом тайну, а также судебные акты по делам, рассмотренным в закрытом судебном разбирательстве, размещаются на сервисах «Судебный кабинет», «Банк судебных актов» интернет-ресурса Верховного Суда Республики Казахстан в полном объеме.

30. В целях обеспечения безопасности участников судебного процесса и защиты охраняемой законом тайны при сборе и использовании либо распространении третьими лицами судебных актов Верховного Суда Республики Казахстан, местных и других судов Республики Казахстан, из них исключаются (обезличиваются) персональные данные. При этом третьи лица принимают на себя обязательства по обеспечению выполнения требований Закона.

Персональными данными применительно к судебным актам являются:

  1. Фамилии, имена и отчества, дата и место рождения, место жительства или пребывания, номера телефонов, реквизиты паспорта или иного документа, удостоверяющего личность, индивидуальный идентификационный номер – физического лица, идентификационный номер налогоплательщика – физического лица, состоящего на регистрационном учете в качестве индивидуального предпринимателя участников судебного процесса;
  2. Сведения о месте нахождения земельного участка, здания, сооружения, жилого дома, квартиры, транспортного средства, иные сведения об имуществе и о находящихся в банках или иных кредитных организациях денежных средствах участников судебного процесса, если эти сведения относятся к существу дела.

31. В отдельных случаях, в целях защиты личных прав и законных интересов участников судопроизводства, общий доступ интернет-ресурса Верховного Суда Республики Казахстан к персональным данным, содержащимся в судебных актах и протоколах судебных заседаний по конкретным делам, рассмотренным в открытом производстве, ограничивается по обращению участника судопроизводства, а также по решению Председателя и председателей коллегий Верховного Суда Республики Казахстан, председателей областных и приравненных к ним судов.