политика в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее Политика) подготовлена в соответствии с Законом Республики Казахстан от 21 мая 2013 года № 94-VЗРК «О персональных данных и их защите» и действует в отношении всех персональных данных, которые Товарищество с ограниченной ответственностью  "ЭЛЕКТРОННЫЙ ЦЕНТР ОБСЛУЖИВАНИЯ АБИТУРИЕНТОВ ECSA.me" (далее Оператор) может получить от субъектов персональных данных.
1.2. Политика распространяется на персональные данные, полученные как до, так и после утверждения настоящей Политики.

2. Цель и принципы обработки персональных данных

2.1. Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.
2.2. Целью сбора, обработки, хранения, а так же других действий с персональными данными сотрудников, подрядчиков, исполнителей, заказчиков или третьих лиц (далее субъектов персональных данных) является исполнение обязательств Оператором по договору с ними.
2.3. При обработке персональных данных субъектов реализуются следующие принципы:

·      соблюдение законности получения, обработки, хранения, а так же других действий с персональными данными;

·      обработка персональных данных исключительно с целью исполнения обязательств по договору, а также с целью исполнения Оператором обязанностей как электронного центра обслуживания абитуриентов;

·      сбор только тех персональных данных, которые минимально необходимы для достижения заявленных целей обработки;

·      выполнение мер по обеспечению безопасности персональных данных при их обработке и хранении;

·      соблюдение прав субъекта персональных данных на доступ к его персональным данным

3. Состав и способы обработки персональных данных

3.1. Основной целью обработки информации, содержащей персональные данные – является осуществление Оператором своей основной деятельности в соответствии с Уставом.
3.2. Определен следующий перечень обрабатываемых персональных данных:
3.2.1. Оператор обрабатывает следующие категории персональных данных в связи с реализацией его как электронного центра обслуживания абитуриентов:

·      фамилия, имя, отчество;

·      образование;

·      сведения о трудовом и общем стаже;

·      паспортные данные;

·      сведения о воинском учете;

·      налоговый статус (резидент/нерезидент);

·      специальность;

·      занимаемая должность;

·      адрес места жительства;

·      телефон;

·      дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации.

  • адрес электронной почты;
  • иные сведения указанные заявителем.

3.2.2. Для целей осуществления уставной (коммерческой) деятельности Оператором обрабатываются следующие категории персональных данных клиентов, подрядчиков, исполнителей, контрагентов, иностранных граждан и лиц без гражданства:

·      фамилия, имя, отчество;

·      образование;

·      паспортные данные;

·      ИНН;

·      налоговый статус (резидент/нерезидент);

·      гражданство;

·      данные документов о профессиональном образовании, профессиональной переподготовки, повышении квалификации, стажировке, данные документов о подтверждении специальных знаний;

·      данные документов о присвоении ученой степени, ученого звания, списки научных трудов и изобретений;

·      знание иностранных языков;

·      сведения о доходах;

·      место работы;

·      специальность;

·      занимаемая должность;

·      сведения о трудовом и общем стаже;

·      адрес места жительства;

·      телефон;

·      адрес электронной почты;

·      иные сведения указанные заявителем.

4. Цели сбора и обработки персональных данных

4.1. Оператор осуществляет обработку персональных данных в следующих целях:

·      осуществления деятельности, предусмотренной Уставом Оператора, действующим законодательством РК;

·      оказания услуг гражданам, иностранным гражданам и лицам без гражданства в поступлении на обучение в образовательные организации Республики Казахстан, Российской Федерации, в страны ближнего и дальнего зарубежья;

·      заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Оператора;

·      организации клиентского учета Оператора, обеспечения соблюдения законов и иных нормативно- правовых актов, заключения и исполнения обязательств по гражданско-правовым договорам;, обучении, в частности учете в системе «О персональных данных», а также Уставом и локальными актами Оператора.

4.2. С согласия субъекта персональных данных Оператор может использовать персональные данные контрагентов, граждан, иностранных граждан и лиц без гражданства в следующих целях:

·      для связи с клиентами и контрагентами в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг, а также обработки заявлений, запросов и заявок клиентов и контрагентов;

·      осуществления обмена (прием, передачу, обработку) информацией при оказании содействия гражданам, иностранным гражданам и лицам без гражданства в поступлении на обучение в образовательные организации Республики Казахстан, Российской Федерации, в страны ближнего и дальнего зарубежья, в том числе:

·      Министерство образования и науки Республики Казахстан; образовательные организации, выбранные Кандидатом при оформлении заявки на оказание услуг Оператором;

·      Государственные органы по их требованиям, в том числе в органы миграционных служб, министерства (консульства) иностранных дел Республики Казахстан, Российской Федерации, стран ближнего и дальнего зарубежья (в целях оформления визового приглашения для получения Кандидатом учебной визы);

·      выбранная Кандидатом страховая компания, оформляющая медицинский полис добровольного медицинского страхования, в случае заказа Кандидатом сопутствующей услуги по оформлению полиса;

·      для улучшение качества услуг, оказываемых Оператором;

·      для продвижения услуг на рынке путем осуществления прямых контактов с клиентами и контрагентами;

·      для проведения статистических и иных исследований на основе обезличенных персональных данных.

5. Передача персональных данных

5.1. Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные работников, подрядчиков, исполнителей, контрагентов, иностранных граждан и лиц без гражданства третьим лицам без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных  законами Республики Казахстан.

5.2. По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы:

·      в судебные органы в связи с осуществлением правосудия;

·      в органы государственной безопасности;

·      в органы прокуратуры;

·      в органы полиции;

·      в следственные органы;

·      в иные органы и организации в случаях, установленных нормативными правовыми актами,
обязательными для исполнения Оператором.

5.3. Работники Оператора, ведущие обработку персональных данных, не отвечают на вопросы, связанные с передачей персональных данных по телефону.

6. Права и обязанности

6.1. Права и обязанности Оператора
6.1.1. Общество, как оператор персональных данных вправе:

·      отстаивать свои интересы в суде;

·      предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

·      отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством РК;

·      использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством РК.

6.1.2. Оператор персональных данных обязан:

Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом Республики Казахстан от 21 мая 2013 года № 94-VЗРК «О персональных данных и их защите» и принятыми в соответствии с ним нормативными правовыми актами.
6.2. Права субъекта персональных данных
6.2.1. Субъект персональных данных имеет право:

·      требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

·      требовать перечень своих персональных данных, обрабатываемых Оператором и источник их получения;

·      получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

·      требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

·      обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

·      на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7. Меры по обеспечению защиты персональных данных

7.1. Оператор не вправе обрабатывать персональные данные субъекта персональных данных без его письменного согласия, за исключением случаев, приведенных в  ст. 9 Законом Республики Казахстан от 21 мая 2013 года № 94-VЗРК «О персональных данных и их защите». Письменное согласие может быть составлено в виде отдельного документа или быть внедрено в структуру иного документа, подписываемого субъектом персональных данных.
7.2. Оператор предпринимает необходимые организационные и технические меры по защите персональных данных. Принимаемые меры основаны на требованиях ст. 21., ст.22 Законом Республики Казахстан от 21 мая 2013 года № 94-VЗРК «О персональных данных и их защите», иных нормативных актов в сфере персональных данных, в том числе:

1) назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных;

2) контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки и обеспечение безопасности персональных данных Оператора;

3) ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Республики Казахстан и внутренними документами Оператора;

4) лица, ведущие обработку персональных данных, проинструктированы и ознакомлены с нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных;

5) разграничены права доступа к обрабатываемым персональным данным;

6) обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

7) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям проводятся периодические проверки условий обработки персональных данных;

8) помимо вышеуказанных мер, осуществляются меры технического характера, направленные на:

·      предотвращение несанкционированного доступа к системам, в которых хранятся персональные данные;

·      резервирование и восстановление персональных данных, работоспособность технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

·      иные необходимые меры безопасности.

8. Пересмотр положений Политики

8.1. Настоящая Политика является внутренним документом Оператора, общедоступной и подлежит размещению на официальном сайте www.ecsa.me Оператора.
8.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных актов по обработке и защите персональных данных.
8.3. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных Оператора.