Политика
обработки и защиты персональных данных ИП «TAU SPA»

1. Общие положения

1. Настоящая Политика обработки и защиты персональных данных ИП «TAU SPA» (далее — Политика) разработана во исполнение Закона Республики Казахстан «О персональных данных и их защите» от 21 мая 2013 года № 94-V ЗРК в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в соответствии с Конституцией Республики Казахстан, Гражданским кодексом Республики Казахстан, Трудовым кодексом Республики Казахстан, Законом Республики Казахстан «О доступе к информации», а также другими нормативно-правовыми актами Республики Казахстан и нормативными документами ИП «TAU SPA» в области обработки персональных данных.
2. ИП «TAU SPA», ИИН 91080330055 (далее — Организация), являясь оператором, осуществляющим обработку персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Законом Республики Казахстан «О персональных данных и их защите» от 21 мая 2013 года № 94-V ЗРК (далее — Закон) и принятыми в соответствии с ним нормативными правовыми актами.
3. Политика действует в отношении всех персональных данных, которые обрабатывает Организация.
4. Во исполнение требований Закона настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети «Интернет» на сайте Организации.
5. Локальные нормативные акты и другие документы, регламентирующие обработку персональных данных в Организации, разрабатываются с учётом положений настоящей Политики.
6. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в Организации.

2. Основные понятия

2.1.

В настоящем документе используются следующие понятия:

• персональные данные — сведения, относящиеся к определённому или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
• субъект персональных данных (далее — субъект) — физическое лицо, к которому относятся персональные данные;
• оператор базы, содержащей персональные данные (далее — оператор) — государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
• обработка персональных данных — действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
• распространение персональных данных — действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;
• блокирование персональных данных — действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
• уничтожение персональных данных — действия, в результате совершения которых невозможно восстановить персональные данные;
• обезличивание персональных данных — действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;
• база, содержащая персональные данные (далее — база) — совокупность упорядоченных персональных данных.

2.2.

Иные понятия, используемые в Политике, применяются в соответствии с их значениями, как они определены в Законе и иных нормативно-правовых актах Республики Казахстан.

3. Цели обработки персональных данных

3.1.

Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями обработки персональных данных.

3.2.

Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.3.

Обработка Организацией персональных данных осуществляется в следующих целях:

• обеспечение соблюдения Конституции Республики Казахстан, законов и иных нормативных правовых актов Республики Казахстан;
• защита жизни, здоровья и личной безопасности субъектов персональных данных;
• обеспечение сохранности имущества Организации и субъектов персональных данных, возмещение причинённых убытков;
• обеспечение выполнения трудовых договоров с работниками Организации, ведение кадрового делопроизводства, привлечение и отбор кандидатов на работу в Организации;
• осуществление функций, полномочий и обязанностей, возложенных законодательством Республики Казахстан на Организацию, в том числе по предоставлению персональных данных в органы государственной власти;
• исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Казахстан;
• осуществление гражданско-правовых отношений;
• ведение бухгалтерского учёта;
• соблюдение пропускного и внутриобъектного режимов в Организации;
• рекламные цели, в том числе информирование субъектов персональных данных о предложениях, мероприятиях, акциях, услугах Организации и её партнёров; изучение мнений (опросы, исследования); улучшение качества услуг, оказываемых Организацией и её партнёрами. В случае нежелания получения рекламных сообщений лицо, давшее согласие на получение рекламной информации, вправе отписаться от рекламы по электронной почте, перейдя по ссылке, указанной в рекламном сообщении, либо путём блокирования абонента, от которого получено рекламное сообщение (SMS, мессенджеры и др.);
• осуществление прав и законных интересов Организации в рамках деятельности, предусмотренной уставом и иными нормативными документами Организации.

3.4.

Обработка персональных данных не может осуществляться в целях причинения имущественного и морального вреда субъектам персональных данных, затруднения реализации прав и свобод субъектов персональных данных.

4. Правовые основания обработки персональных данных

4.1.

Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Организация осуществляет обработку персональных данных, в том числе:

• Конституция Республики Казахстан;
• Гражданский кодекс Республики Казахстан;
• Трудовой кодекс Республики Казахстан;
• Налоговый кодекс Республики Казахстан;
• иные нормативные правовые акты Республики Казахстан и нормативные документы уполномоченных органов государственной власти.

4.2.

Правовым основанием обработки персональных данных также является:

• устав Организации и иные локальные нормативные акты Организации;
• договоры, заключаемые между Организацией и субъектами персональных данных;
• согласие субъектов на обработку их персональных данных.

5. Субъекты персональных данных

5.1. Организация осуществляет обработку персональных данных следующих категорий субъектов персональных данных: пользователей услуг Организации (клиентов); физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с Организацией; работников, бывших работников Организации, их близких родственников, кандидатов для приёма на работу (соискателей), пенсионеров, состоящих на учёте в Организации, их официальных представителей; а также других субъектов персональных данных (для обеспечения реализации целей обработки, указанных в разделе 3 настоящей Политики).

6. Обрабатываемые персональные данные

6.1.

Содержание и объёмы обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 3 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6.2.

В зависимости от целей, предусмотренных в разделе 3 настоящей Политики, Организация может обрабатывать следующие персональные данные:

• Пользователи услуг Организации (клиенты) и контрагенты Организации (физические лица): фамилия, имя, отчество, дата рождения, паспортные данные, адрес регистрации, адрес места жительства, номер контактного телефона, адрес электронной почты, банковские реквизиты, иные персональные данные, предоставляемые пользователями услуг Организации, необходимые для заключения и исполнения договоров.
• Кандидаты для приёма на работу в Организацию: фамилия, имя, отчество, пол, гражданство, контактные данные, сведения об образовании, опыте работы, квалификации, иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
• Работники и бывшие работники Организации: фамилия, имя, отчество, паспортные данные, изображение (фотография), адрес регистрации по месту жительства, адрес фактического проживания, контактные данные, ИИН, сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации, семейное положение, наличие детей, сведения о трудовой деятельности, в том числе наличие поощрений, награждений и дисциплинарных взысканий, данные о регистрации брака, сведения о воинском учёте, сведения об инвалидности, сведения об удержании алиментов, сведения о доходе с предыдущего места работы, иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
• Члены семьи работников Организации: фамилия, имя, отчество, степень родства, дата рождения, иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
• Представители пользователей услуг (клиентов) Организации и контрагентов Организации (физических и юридических лиц): фамилия, имя, отчество, паспортные данные, контактные данные, иные персональные данные, предоставляемые такими лицами, необходимые для заключения и исполнения договоров.
• Иные лица: персональные данные, предоставляемые такими лицами в объёме, который определяется в соответствии с целями их обработки согласно разделу 3 настоящей Политики.

6.3.

Обработка Организацией биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Республики Казахстан.

6.4.

Организацией не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Республики Казахстан.

7. Порядок и условия обработки персональных данных

7.1.

Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Республики Казахстан.

7.2.

Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

7.3.

К обработке персональных данных допускаются только те работники Организации, в должностные обязанности которых входит обработка персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

7.4.

Обработка персональных данных осуществляется путём:

• получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
• предоставления субъектами персональных данных оригиналов необходимых документов;
• получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
• получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Республики Казахстан;
• получения персональных данных из общедоступных источников;
• фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учётных формах;
• внесения персональных данных в информационные системы Организации;
• получения персональных данных посредством сообщения таковых субъектом персональных данных на сайте Организации.

7.5.

Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Республики Казахстан.

При передаче персональных данных третьим лицам в соответствии с заключёнными Организацией договорами обеспечивается обязательное выполнение требований законодательства Республики Казахстан и нормативных актов Организации в области персональных данных.

7.6.

Передача персональных данных в уполномоченные органы Республики Казахстан осуществляется в соответствии с требованиями законодательства Республики Казахстан.

7.7.

Организация вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению Организации, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Республики Казахстан.

7.8.

Хранение персональных данных в Организации осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки. По достижении целей обработки или в случае утраты необходимости в их достижении персональные данные подлежат уничтожению. Сроки хранения персональных данных в Организации определяются в соответствии с законодательством Республики Казахстан и нормативными актами Организации.

7.9.

Хостинг и база данных с персональными данными располагаются на территории Республики Казахстан.

8. Основные права и обязанности субъектов персональных данных

8.1.

Субъекты, персональные данные которых обрабатываются в Организации, имеют право:

• знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
  • подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
  • перечень персональных данных;
  • сроки обработки персональных данных, в том числе сроки их хранения;
• требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтверждённых соответствующими документами;
• требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
• требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан;
• отозвать согласие на сбор, обработку, распространение в общедоступных источниках, передачу третьим лицам и трансграничную передачу персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 Закона;
• давать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
• на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
• на осуществление иных прав, предусмотренных настоящим Законом и иными законами Республики Казахстан.

8.2.

Субъекты, персональные данные которых обрабатываются в Организации, обязаны:

• представлять свои персональные данные в случаях, установленных законами Республики Казахстан.

9. Основные права и обязанности оператора

9.1.

Организация, в зависимости от целей обработки, указанных в разделе 3 настоящей Политики, вправе:

• получать документы, содержащие персональные данные;
• требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных;
• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законами РК;
• поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законами;
• в случае отзыва субъектом персональных данных согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе.

9.2.

Организация при обработке персональных данных обязана:

• принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Республики Казахстан в сфере обработки и защиты персональных данных;
• вести учёт материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
• обеспечивать хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
• обособлять персональные данные, обрабатываемые без использования средств автоматизации, от иной информации;
• обеспечивать отдельное хранение материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
• устанавливать запрет на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети «Интернет» без применения установленных в Организации мер по обеспечению безопасности персональных данных;
• обеспечивать защиту документов, содержащих персональные данные на бумажных и иных материальных носителях, при их передаче третьим лицам с использованием услуг почтовой связи и курьерских служб;
• осуществлять внутренний контроль за соблюдением в Организации законодательства Республики Казахстан и локальных нормативных актов Организации при обработке персональных данных.

12. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

12.1.

Подтверждение факта обработки персональных данных Организацией, правовые основания и цели обработки персональных данных, а также иные сведения предоставляются Организацией субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Запрос должен содержать все необходимые сведения в соответствии с требованиями Закона.

12.2.

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченных государственных органов Организация осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Организация на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня предоставления таких сведений и снимает блокирование персональных данных.

12.3.

В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо уполномоченного органа Организация осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

12.4.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом;
• иное не предусмотрено другими соглашениями между Организацией и субъектом персональных данных.

13. Ответственность за нарушение норм, регулирующих обработку персональных данных

13.1. Ответственность за нарушение требований законодательства Республики Казахстан и нормативных актов Организации в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Казахстан.

13.2. Работник Организации, получивший документ, содержащий персональные данные, несёт единоличную ответственность за сохранность носителя и конфиденциальность информации.

13.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательными актами Республики Казахстан.

14. Заключительные положения

14.1. Настоящая Политика вступает в силу с момента её утверждения ИП «TAU SPA».

14.2. Изменения и дополнения в настоящую Политику могут быть внесены на основании приказа ИП «TAU SPA».