Политика в отношении обработки персональных данных
1. Назначение и область действия документа
1.1. «Политика Товарищества с ограниченной ответственностью „Хайер Мидл Эйжа“ (сокращенное наименование ТОО „Хайер Мидл Эйжа“, далее по тексту именуемое Товарищество, Оператор, собственник), адрес места нахождения: Казахстан, город Алматы, Медеуский район, Проспект Достык, дом 210, почтовый индекс 050000, БИН 230540034237 (далее по тексту также — Товарищество, Оператор) в отношении обработки персональных данных» (далее — Политика) определяет позицию и намерения в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени в отношении всех пользователей сайта haieronline.kz/.
Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Товариществе с применением средств автоматизации и без применения таких средств. Товарищество обеспечивает надлежащий уровень безопасности обрабатываемых персональных данных.
К настоящей Политике имеет доступ любой субъект персональных данных.
1.2. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с Главой 2. СБОР И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» и определяет основные принципы, цели, условия и способы обработки Персональных данных, права и обязанности Общества при обработке персональных данных, права Субъектов персональных данных, а также реализуемые в Обществом меры по обеспечению безопасности Персональных данных при осуществлении установленных в Уставе видов деятельности.
1.3. Нормативная база
- Конституция Республики Казахстан;
- Соглашение о расширенном партнерстве и сотрудничестве между Европейским Союзом и Республикой Казахстан от 21.12.2015 года;
- Гражданский Кодекс Республики Казахстан (Общая часть) N 268-XIII от 27.12.1994 года;
- Гражданский Кодекс Республики Казахстан (Особенная часть) № 409 от 1 июля 1999 года;
- Кодекс Республики Казахстан об административных правонарушениях № 235-V от 05.07.2014 года;
- Закон Республики Казахстан «О налогах и других обязательных платежах в бюджет (Налоговый кодекс)» № 120-VI ЗРК от 25.12.2017 года;
- Закон Республики Казахстан «Об информатизации» № 418-V от 24 ноября 2015 года;
- Закон Республики Казахстан «О персональных данных и их защите» N 94-V от 21.05.2013 года;
- Закон Республики Казахстан «О рекламе» № 508 от 19.12.2003 года;
- Постановление Правительства Республики Казахстан «Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных» №909 от 03.09.2013;
- Постановление Правительства Республики Казахстан «Об утверждении Государственной программы «Цифровой Казахстан» № 827 от 12.12.2017 года;
- Постановление Правительства Республики Казахстан «Об утверждении Концепции кибербезопасности «Киберщит Казахстан» № 407 от 30.06.2017 года;
- Иные нормативно-правовые акты, рекомендации, разъяснения официальных государственных органов по вопросам обработки персональных данных в Республике Казахстан.
1.4. Порядок внесения изменений в Политику
Ответственным должностным лицом за своевременное внесение изменений в Политику является Правовой департамент Товарищества.
Каждая версия Политики должна быть утверждена Приказом Генерального директора Товарищества.
Контроль версии документа отражается в соответствующем пункте в конце настоящей Политики.
2. Определения
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (гражданину). т.е. к такой информации, в частности, можно отнести: ФИО, год, месяц, дата и месторождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, сведения о состоянии здоровья, а также другую информацию.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данным, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям(операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор — Товарищество с ограниченной ответственностью «Хайер Мидл Эйжа», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку Персональных данных, а также определяющее цели обработки Персональных данных, состав Персональных данных, подлежащих обработке, действия (операции), совершаемые с Персональными данными.
Партнер — юридическое лицо, с которым у Товарищества имеются договорные отношения.
Распространение Персональных данных — действия, направленные на раскрытие Персональных данных неопределенному кругу лиц;
Субъект Персональных данных (Субъект) — физическое лицо, обладающее Персональными данными прямо или косвенно его определяющими;
Нормативный документ, Локальный нормативный акт — документ, устанавливающий правила, общие принципы и характеристики, касающиеся определенных видов деятельности или их результатов.
База, содержащая персональные данные — совокупность упорядоченных персональных данных;
Биометрические персональные данные — персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность;
Блокирование персональных данных — действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
Защита персональных данных — комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях обеспечения защиты прав и свобод человека и гражданина при сборе и обработке его персональных данных;
Использование персональных данных — действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;
Накопление персональных данных — действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;
Обезличивание персональных данных — действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;
Сбор персональных данных — действия, направленные на получение персональных данных;
Собственник базы, содержащей персональные данные — государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
Третье лицо — лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных;
Уничтожение персональных данных — действия, в результате совершения которых невозможно восстановить персональные данные;
Хранение персональных данных — действия по обеспечению целостности, конфиденциальности и доступности персональных данных.
3. Субъекты персональных данных
ТОО «Хайер Мидл Эйжа» обрабатывает персональные данные следующих лиц:
— клиентов ТОО «Хайер Мидл Эйжа»;
— зарегистрированных пользователей бонусной программы ТОО «Хайер Мидл Эйжа».
4. Принципы и условия обработки персональных данных
При обработке персональных данных ТОО «Хайер Мидл Эйжа» придерживается следующих принципов:
— законности и справедливой основы;
— ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
— недопущения обработки персональных данных, не совместимой с целями сбора персональных данных;
— недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— обработки персональных данных, которые отвечают целям их обработки; соответствия содержания;
— содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
— при обработке персональных данных обеспечивается точность персональных данных и их достаточность, в случаях необходимости и актуальность персональных данных по отношению к заявленным целям их обработки;
— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения не установлен законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
— обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.
Товарищество обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
Обработка персональных данных осуществляется строго с соблюдением принципов и правил, установленных Законом Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите»
— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Республики Казахстан на оператора функций, полномочий и обязанностей;
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
— обработка персональных данных необходима для осуществления прав и законных интересов Товарищества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
— осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
— осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законом;
— ТОО «Хайер Мидл Эйжа» вправе поручить обработку персональных данных граждан третьим лицам, на основании заключаемого с этими лицами договора. Лица, осуществляющие обработку персональных данных по поручению ТОО «Хайер Мидл Эйжа», обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Законом Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите».
Для каждого лица определены перечень действий (операций) с персональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
— ТОО «Хайер Мидл Эйжа» обязуется и обязует иных лиц, получивших от ТОО «Хайер Мидл Эйжа» доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан.
— В случаях, установленных законодательством Республики Казахстан, ТОО «Хайер Мидл Эйжа» вправе осуществлять передачу персональных данных граждан.
— ТОО «Хайер Мидл Эйжа» может передать базу данных другому собственнику/оператору, без предварительного уведомления/согласия субъектов персональных данных.
— Товарищество уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости достижения цели обработки.
5. Права субъекта персональных данных
Гражданин, персональные данные которого обрабатываются ТОО «Хайер Мидл Эйжа», имеет право:
— на получение полной информации относительно обрабатываемых о них персональных данных, условий и целей обработки этих данных, источниках их получения, сроках хранения и иных сведений, предусмотренных Законом Республики Казахстан от 21 мая 2013 года, «О персональных данных и их защите»;
— lля реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к оператору персональных данных лично или через своего представителя. Запрос должен содержать сведения, указанные в главе 4. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА, СОБСТВЕННИКА И (ИЛИ) ОПЕРАТОРА, Закона Республики Казахстан от 21 мая 2013 года, «О персональных данных и их защите»;
— получать от ТОО «Хайер Мидл Эйжа»: подтверждение факта обработки персональных данных ТОО «Хайер Мидл Эйжа»;
— правовые основания и цели обработки персональных данных;
— сведения о применяемых ТОО «Хайер Мидл Эйжа» способах обработки персональных данных;
— наименование и местонахождения ТОО «Хайер Мидл Эйжа»;
— сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ТОО «Хайер Мидл Эйжа» или на основании закона;
— перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос и источник их получения, если иной порядок предоставления таких данных не предусмотрен законом;
— сведения о сроках обработки персональных данных, в том числе о сроках их хранения;
— сведения о порядке осуществления гражданином прав, предусмотренных Законом Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите»;
— информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
— дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
— наименование и адрес лица, осуществляющего обработку персональных данных по поручению ТОО «Хайер Мидл Эйжа»;
— иные сведения, предусмотренные Законом Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» или другими законами;
— потребовать от ТОО «Хайер Мидл Эйжа» уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— отозвать согласие на обработку персональных данных кроме случаев, предусмотренных пунктом 2 статьи 8 ЗРК «О персональных данных и их защите»;
— требовать устранения неправомерных действий ТОО «Хайер Мидл Эйжа» в отношении его персональных данных;
— обжаловать действия или бездействие ТОО «Хайер Мидл Эйжа» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке в случае, если гражданин считает, что ТОО «Хайер Мидл Эйжа» осуществляет обработку его персональных данных с нарушением требований Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» или иным образом нарушает его права и свободы;
— на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке;
— в соответствии со ст. 24 ЗРК «О персональных данных и их защите» субъект персональных данных вправе требовать изменить или дополнить персональные данные, сообщать Оператору актуальные персональные данные при их изменении и всеми доступными способами предоставлять полные и достоверные персональные данные в целях их обработки.
6. Порядок обеспечения Оператором прав субъекта персональных данных
6.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
6.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главой 1 Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите».
6.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 167 и 168 Гражданского кодекса Республики Казахстан от 27 декабря 1994 года № 268-XIII или удостоверенной нотариально согласно ст. 58 О нотариате Закон Республики Казахстан от 14 июля 1997 года № 155-I. Копия доверенности представителя, отснятая Службой ОПД с оригинала, хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, - не менее срока хранения персональных данных.
6.4. Сведения предоставляются субъекту персональных данных Товариществом в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге.
6.5. При отсутствии в обращении либо запросе субъекта персональных данных всех необходимых реквизитов документа, удостоверяющих личность субъекта персональных данных или его представителя, сведений, подтверждающих участие субъекта персональных данных в отношениях с Оператором, либо сведений, иным образом подтверждающих факт обработки персональных данных Оператором, а также подписи субъекта персональных данных или его представителя, Оператором направляется мотивированный отказ в соответствии с требованиями Закона. Запрос может быть подан письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.
6.6. В течение одного рабочего дня:
— изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
— блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
— уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
— снять блокирование персональных данных в случае не подтверждения факта нарушения условий сбора, обработки персональных данных;
6.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законами.
6.8. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным или письменным.
6.8.1. Индивидуальное устное общение с потенциальными потребителями или агитируемыми лицами производится по специально выделенной телефонной линии Оператора. При этом рабочее место сотрудника Оператора, которому поручено общение, обеспечивается техническими средствами, позволяющими в автоматизированном режиме вести регистрацию телефонных вызовов, а также (с согласия субъекта персональных данных) вести аудиозапись переговоров. В данной ситуации аудиозапись полученного устного согласия является надлежащей.
6.8.2. Если документирование информации в виде аудиозаписи на цифровой диктофон или аудиокассету проводилось физическим лицом по собственной инициативе скрытно, а порой с целью искусственного создания доказательств, то данные доказательства признаются недопустимыми и не имеющими юридической силы.
6.8.3. Для письменного согласия достаточно простой письменной формы. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.
6.9. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.
6.10. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных законами Республики Казахстан, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
6.11. Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя - письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
6.11.1. Текст устного разъяснения Оператор составляет в письменном виде до начала автоматизированной обработки персональных данных и хранит не менее 3 (трех) лет.
6.11.2. В случае автоматизированной обработки персональных данных различными способами разъяснение готовится отдельно для каждого способа.
6.12. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.
6.13. Оператор в течение 10 (десяти) рабочих дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
6.14. При трансграничной передаче персональных данных их перевод на другие языки осуществляется в порядке, согласованном Оператором с иностранным контрагентом.
7. Обязанности Общества
7.1. В соответствии с требованиями Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» Товарищество обязано:
7.1.1. предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя;
7.1.2. по требованию субъекта персональных данных уточнять, блокировать или удалять обрабатываемые персональные данные, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий одного рабочего дня со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих эти факты;
7.1.3. вести журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам;
7.1.4. уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных, за исключением случаев, когда:
7.1.4.1. субъект персональных данных уведомлен об осуществлении обработки Товариществом его персональных данных;
7.1.4.2. персональные данные получены Товариществом в связи с исполнением договора, стороной либо выгодоприобретателем или поручителем, по которому является субъект персональных данных или на основании закона;
7.1.4.3. персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
7.1.4.4. Товарищество осуществляет обработку персональных данных для статистических или иных целей, если при этом не нарушаются права и законные интересы субъекта персональных данных, при условии обязательного обезличивания персональных данных;
7.1.4.5. предоставление субъекту персональных данных сведений, содержащихся в уведомлении об обработке персональных данных, нарушает права и законные интересы третьих лиц;
7.1.5. в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить персональные данные, в срок не превышающих десяти рабочих дней с даты:
7.1.6.1. достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
7.1.6.2. в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий десяти рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Товариществом и субъектом персональных данных, при этом о факте уничтожения персональных данных Общество обязано уведомить субъекта персональных данных;
7.1.6.3. в случае поступления требования субъекта персональных данных о прекращении обработки персональных данных, полученных в целях продвижения товаров, работ, услуг на рынке, немедленно прекратить обработку персональных данных;
7.1.7. при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «интернет», Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РК с использованием баз данных, находящихся на территории РК.
8. Цели обработки персональных данных и состав персональных данных для каждой категории субъектов персональных данных
8.1. Для каждой категории Субъектов Персональных данных определены цели обработки Персональных данных и их состав.
8.2. Оператор обрабатывает Персональных данные Пользователей, указанные в п. 8.3. настоящей Политики в целях:
- идентификации стороны в рамках договоров между Пользователем и Оператором, включая в целях аутентификации Пользователя при регистрации в Сервисах и на сайте ТОО «Хайер Мидл Эйжа» путем направления СМС на номер телефона Пользователя для сообщения проверочного кода;
- предоставления Пользователям услуг с использованием Сервисов и/или сайта Оператора; совершенствования Сервисов и/или сайта Оператора;
- разработки новых сервисов и услуг Оператора на основе обратной связи/информации от Пользователей;
- реагирования на запросы Пользователей в службу поддержки;
- информирования Пользователей о возможностях Сервисов и сайта Оператора;
- направления запросов, касающихся использования Сервисов и сайта Оператора;
- выполнения маркетинговых задач;
- выполнения статистических и иных исследований;
- реализации отношений по предоставлению Оператором данных из cookies третьим лицам для осуществления ими деятельности по демонстрации Пользователям таргетированных рекламных и информационных материалов в сети Интернет или для оказания третьими лицами иных услуг Пользователям в установленном законом порядке;
- выдачи кассовых чеков Пользователям;
- организации услуг доставки товаров;
- формирования профиля Пользователя; в целях коммуникации с Пользователем для налаживания партнерских отношений, ведения переговоров по согласованию условий договоров с Пользователем, заключения и исполнения таких договоров;
- добавления и/или актуализации информации в Сервисах и на сайте Оператора, устранения неточностей в Сервисах и на сайте Оператора, включая коммуникации с Пользователем в указанных целях;
- проведения очной идентификации Пользователей;
- рекламных и информационных рассылок, включая электронные сообщения, push-сообщения;
- обработки Персональных данных по поручению третьих лиц (операторов Персональных данных).
8.3. ТОО «Хайер Мидл Эйжа» обрабатывает следующие Персональные данные Пользователей:
- фамилия, имя, отчество;
- адрес доставки товара;
- платежные данные;
- адрес электронной почты;
- домашний/мобильный номер телефона;
- дата рождения;
- пол;
- изображение пользователя (аватар);
- иные Персональные данные, предоставляемые Пользователем.
8.4. ТОО «Хайер Мидл Эйжа» обрабатывает следующие Иные данные Пользователей:
- геопозиция Пользователя (мобильное приложение);
- cookie, IP-адрес, user-agent браузера;
- рекламный идентификатор мобильного устройства Пользователя;
8.5. Если на основании Иных данных Оператор может идентифицировать Пользователя, они относятся к Персональным данным, и подлежат обработке как Персональные данные.
8.6. В целях обеспечения функционирования программных продуктов, реализации отдельных функциональных возможностей и реагирования на запросы в службу поддержки Оператор может осуществлять передачу, в том числе трансграничную передачу, Персональных данных Пользователей Аффилированным лицам. Передача Персональных данных Пользователей осуществляется в соответствии с требованиями Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите».
8.7. ТОО «Хайер Мидл Эйжа» не обрабатывает Персональные данные Пользователей, не прошедших регистрацию, авторизацию и/или не разместивших Персональные данные в процессе использования Сервисов или сайта Оператора, в формах обратной связи Сервисов и сайта Оператора и/или не предоставивших Персональные данные ТОО «Хайер Мидл Эйжа» самостоятельно посредством оформления заявки в карточке компании на оформление доставки.
9. Передача персональных данных
9.1. При передаче Персональных данных Субъекта Оператор обязан соблюдать следующие требования:
- не сообщать Персональные данные Субъекта третьей стороне без надлежащего согласия Субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, предусмотренных действующим законодательством;
- не сообщать Персональные данные Субъекта в коммерческих целях без его надлежащего согласия;
- передавать Персональные данные Субъекта представителям Субъекта в порядке, установленном действующим законодательством, и ограничивать эту информацию только теми Персональными данными Субъекта, которые необходимы для выполнения указанными представителями их функций;
- предупредить лиц, получающих Персональные данные Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
- передавать базу данных новому собственнику/оператору без предварительного уведомления Субъекта.
9.2. Лица, получающие Персональные данные Субъекта, обязаны соблюдать требования конфиденциальности.
9.3. Все сведения о передаче Персональных данных Субъекта регистрируются в Журналах учета обращений и запросов Субъекта Персональных данных, уполномоченного органа по защите прав субъектов Персональных данных, а также третьих лиц, участников правоотношений целях контроля правомерности использования данной информации лицами, ее получившими. В Журналах фиксируются сведения о лице, направившем запрос, дата передачи Персональных данных или дата уведомления об отказе в их предоставлении, а также указываются Персональные данные, которые были переданы.
9.4. Передача Персональных данных Субъектов третьим лицам осуществляется Оператором только с их надлежащего согласия, за исключением случаев, если:
- передача необходима для защиты жизни и здоровья Субъекта, либо других лиц и получение его согласия невозможно;
- по запросу органов дознания, следствия и суда в связи с проведением расследования или судебным разбирательством;
- передача Персональных данных осуществляется в рамках исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект Персональных данных, кроме случаев, требующих наличие согласия Субъекта Персональных данных;
- в иных случаях, прямо предусмотренных законами.
9.5. В случае оформления письменного согласия Субъекта на передачу его Персональных данных третьим лицам, согласие должно включать в себя:
- фамилию, имя, отчество, адрес Субъекта, серию, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки Персональных данных Субъекта третьей стороной;
- перечень Персональных данных, на передачу которых дается согласие Субъекта;
- перечень действий третьей стороны с Персональными данными, на совершение которых дается согласие, общее описание используемых третьей стороной способов обработки Персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
9.6. В случае смерти Субъекта согласие на обработку его Персональных данных дают в письменной форме наследники Субъекта, если такое согласие не было дано Субъектом при его жизни.
9.7. Согласия Субъекта на распространение его Персональных данных не требуется, в случае обезличивания Персональных данных.
9.8. В случае если лицо, обратившееся с запросом о предоставлении Персональных данных, не уполномочено законом, настоящей Политикой, другими локальными нормативными актами ТОО «Хайер Мидл Эйжа» на получение Персональных данных Субъекта, либо отсутствует надлежащее согласие Субъекта на предоставление его Персональных данных, Оператор обязан отказать в предоставлении Персональных данных Субъекта указанному лицу.
9.9. Все меры конфиденциальности при сборе, обработке и хранении Персональных данных Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
9.10. В случае если ТОО «Хайер Мидл Эйжа» пользуется услугами третьих лиц на основании заключенных договоров (либо иных оснований), и в силу данных договоров они должны иметь доступ к Персональным данным, обрабатываемым ТОО «Хайер Мидл Эйжа», то соответствующие Персональные данные предоставляются ТОО «Хайер Мидл Эйжа» только после подписания с данными лицами соглашения о неразглашении Персональных данных или включения в договоры пунктов о неразглашении Персональных данных, в том числе предусматривающих защиту Персональных данных, и иных пунктов, предусмотренных Положением о договорной работе ТОО «Хайер Мидл Эйжа».
10. Блокирование персональных данных
10.1. Блокирование Персональных данных конкретного Субъекта Персональных данных должно осуществляться во всех информационных системах Персональных данных Оператора, включая архивы баз данных, содержащих такие Персональные данные, если иное не предусмотрено действующим законодательством.
10.2. Блокирование Персональных данных в ТОО «Хайер Мидл Эйжа» осуществляется:
- в случае выявления неправомерной обработки Персональных данных при обращении/направлении запроса Субъекта Персональных данных или его представителя либо уполномоченного органа по защите прав Субъектов Персональных данных с момента такого обращения или получения указанного запроса на период проверки;
- в случае отсутствия возможности уничтожения Персональных данных в установленные сроки до их уничтожения.
10.3. После устранения выявленной неправомерной обработки Персональных данных ТОО «Хайер Мидл Эйжа» осуществляет снятие блокирования Персональных данных. Решение о блокировании и снятии блокирования Персональных данных принимается лицом, ответственным за организацию обработки Персональных данных в ТОО «Хайер Мидл Эйжа».
11. Хранение персональных данных
11.1. Хранение Персональных данных может осуществляться следующими способами:
- в электронном виде:
- в информационных системах / базах данных ТОО «Хайер Мидл Эйжа»;
- на Служебных средствах вычислительной техники;
- на внешних машинных (электронных) носителях информации. - на бумажном носителе:
- в помещениях структурных подразделений, осуществляющих хранение материальных носителей Персональных данных, в специально установленных для этого местах;
- в архиве в соответствии с законодательством РК об архивном деле.
11.2. Оператор хранит Персональные данные в течение следующих сроков:
- Персональные данные Пользователей хранятся всё время использования аккаунта/Личного кабинета Пользователем и после его удаления до достижения целей обработки Персональных данных или до отзыва согласия на обработку персональных данных пользователем.
11.3. Если в соответствии с требованиями применимого законодательства, предусмотрен иной, более длительный срок хранения какой-либо категории Персональных данных, то он подлежит применению. По истечении срока хранения данные будут уничтожены в порядке, определенном Законом Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите».
11.4. Персональные данные Субъектов преимущественно хранятся на электронных носителях в электронном виде в персональных компьютерах, подключенных к локальной компьютерной сети Оператора. Доступ к электронным базам данных ограничен паролем.
11.5. Доступ к бумажным и электронным носителям Персональных данных получают только те Работники, которым это необходимо для выполнения их должностных обязанностей.
11.6. ТОО «Хайер Мидл Эйжа» обеспечивает необходимые организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения Персональных данных, а также от иных неправомерных действий.
11.7. Возможна передача Персональных данных Субъектов по внутренней сети Оператора с использованием технических и программных средств защиты информации, с доступом только для Работников, допущенных к работе с Персональными данными Субъектов и только в объеме, необходимом данным Работникам для выполнения своих должностных обязанностей.
11.8. Подразделения Оператора, хранящие Персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования.
11.9. Хранение Персональных данных должно осуществляться в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем этого требуют цели обработки Персональных данных, если срок хранения Персональных данных не установлен Законом Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» или соответствующим договором. Обрабатываемые Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
11.10. Хранение документов, содержащих Персональные данные Субъектов, осуществляется в течение установленных действующими нормативными или локальными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
12. Уничтожение персональных данных
12.1. Персональные данные хранятся в течение срока, установленного согласием или достижения целей обработки, либо в соответствии с действующим законодательством и подлежат уничтожению по достижении целей обработки, истечения срока или в случае утраты необходимости в их достижении.
12.2. Документы, содержащие Персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном настоящей Политикой.
12.3. Уничтожение документов, содержащих Персональные данные, производится:
- в случае отзыва согласия Субъекта Персональных данных, если отсутствуют иные законные основания обработки Персональных данных;
- персональные данные больше не требуются для достижения целей, в которых они были получены;
- по достижении окончания срока хранения Персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон;
- истек срок согласия на обработку Персональных данных;
- в случае выявления неправомерной обработки Персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки Персональных данных.
12.4. Уничтожение персональных данных может быть осуществлено двумя способами в зависимости от типа носителя информации (бумажный или электронный):
- физическое уничтожение носителя (уничтожение через шредерование, сжигание);
- уничтожение информации с носителя (многократная перезапись в секторах магнитного диска).
12.5. Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
12.6. Требования к подтверждению уничтожения персональных данных:
12.6.1. В случае если обработка персональных данных осуществляется оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.
12.6.2. В случае если обработка персональных данных осуществляется оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, установленными действующим законодательством, и выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - выгрузка из журнала).
13. Ответственность
В случае неисполнения положений настоящей Политики ТОО «Хайер Мидл Эйжа» несет ответственность в соответствии с действующим законодательством Республики Казахстан.
ОБРАЩАЕМ ВАШЕ ВНИМАНИЕ
Получить разъяснения по интересующим Вас вопросам обработки Ваших персональных данных, в том числе, уточнить Ваши персональные данные и отозвать свое согласие на обработку персональных данных можно, направив официальный запрос в ТОО «Хайер Мидл Эйжа» почтой по адресу: Республика Казахстан, город Алматы, 050051, Медеуский район, проспект Достык, здание 210.
В случае направления официального запроса в ТОО «Хайер Мидл Эйжа» в тексте запроса необходимо указать:
- ФИО;
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе ЛИБО иные данные, позволяющие однозначно идентифицировать субъекта персональных данных (в частности, номер телефона, адрес электронной почты, используемые при регистрации на сайте);
- сведения, подтверждающие Ваше участие в отношениях с ТОО «Хайер Мидл Эйжа» либо сведения, иным способом подтверждающие факт обработки персональных данных ТОО «Хайер Мидл Эйжа»;
- подпись гражданина (или его законного представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РК.
На сайте haieronline.kz/ публикуется актуальная версия «Политики ТОО «Хайер Мидл Эйжа» в отношении обработки персональных данных».
14. Сведения о реализуемых требованиях к защите персональных данных
Под безопасностью персональных данных ТОО «Хайер Мидл Эйжа» понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.
Обработка и обеспечение безопасности персональных данных в ТОО «Хайер Мидл Эйжа» осуществляется в соответствии с требованиями Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите».
ТОО «Хайер Мидл Эйжа» при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
К таким мерам в соответствии с Законом Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» относятся:
- предотвращение несанкционированного доступа к персональным данным;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;
- минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным;
- предоставление доступа государственной технической службе к объектам информатизации, использующим, хранящим, обрабатывающим и распространяющим персональные данные ограниченного доступа, содержащиеся в электронных информационных ресурсах, для осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах в порядке, определяемом уполномоченным органом.
- регистрацию и учет действий, предусмотренных подпунктами 3), 4), 5) и 6) пункта 4 статьи 8 настоящего Закона;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- учет машинных носителей персональных данных;
- организация пропускного режима на территорию Товарищества;
- размещение технических средств обработки персональных данных в пределах охраняемой территории;
- поддержание технических средств охраны, сигнализации в постоянной готовности;
- проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;
- утверждение перечня обрабатываемых персональных данных; обработка персональных данных, не включенных в указанный перечень, исключается;
- оформление обязательства о неразглашении персональных данных;
- утверждение правил рассмотрения запросов субъектов персональных данных или их представителей;
- передача персональных данных без использования специальных средств защиты по общедоступным каналам связи, в том числе Интернет, запрещается;
- в целях координации действий по обеспечению безопасности персональных данных в ТОО «Хайер Мидл Эйжа» назначены лица, ответственные за обеспечение безопасности персональных данных.
15. Маркетинг и рассылка информационных и рекламных сообщений субъектам персональных данных
Настоящим Оператор уведомляет, что не осуществляет информационные, рекламные, агитационные и иные рассылки, связанные с прямым маркетингом и рекламой в соответствии в Законом Республики Казахстан «О рекламе» своим заявителям.
Оператор обязуется осуществлять рассылки информационных, рекламных, агитационных и иных сообщений только с согласия субъекта персональных данных.
Оператор использует контактные данные, а именно номер мобильного телефона и адрес электронной почты только в целях информирования заявителя о статусе оказания услуг.
16. Профайлинг
Оператор не занимается профайлингом.
17. Cookies
Сайты Оператора используют файлы cookie для надлежащей работы и упрощения навигации.
Сайты Оператора используют Google Analytics, сервис, который передает данные о трафике на серверы Google. Google Analytics не идентифицирует отдельных пользователей и не связывает IP-адрес с другими данными Google. Отчеты, предоставляемые Google Analytics, используются чтобы помочь анализировать трафик Сайта и использование веб-страницы.
Кроме того, Оператор использует cookie сеанс. Это позволяет Сайтам Оператора отслеживать перемещение пользователей со страницы на страницу.
Пользователь Сайта Оператора может отключить файлы cookie для сайта на странице настроек браузеров:
18. Иные локальные акты оператора
Оператор обязуется иметь иные локально-нормативно правовые акты, регулирующие обработку персональных данных, а также вести учет информации и носителей в соответствии с нормами действующего законодательства Республики Казахстан.
19. Заключительные положения
19.1. Настоящая Политика подлежит изменению или дополнению в случаях внесения соответствующих изменений или дополнений в действующее законодательство Республики Казахстан о персональных данных, а также может быть изменена в любое время по усмотрению ТОО «Хайер Мидл Эйжа». Действующая редакция Политики ТОО «Хайер Мидл Эйжа» всегда доступна для просмотра неограниченным кругом лиц на Сайте по постоянному адресу: haieronline.kz/content/konfidentsialnost-personalnoy-informatsii/.
19.2. Все отношения с участием ТОО «Хайер Мидл Эйжа», касающиеся обработки и защиты персональных данных и не получившие непосредственного отражения в настоящей Политике, регулируются согласно положениям действующего законодательства Республики Казахстан о персональных данных и их защите.
19.3. Дата последнего обновления Политики: 10.04.2023.