Политика конфиденциальности группы компаний DRCGroup

(редакция от 5 мая 2023 г.)

 

1.      Общие положения

1.1.   Группа компаний DRCGroup, включающая в себя: российский офис – DRCRU (ООО «Центр цифровых прав», ОГРН 5177746064634, ИНН 7713446866, 125040, г. Москва,ул. Нижняя Масловка, 9, мансарда помещение 4.4),казахстанский офис - DRCKZ (ТОО «Центр цифровых прав Казахстан», БИН 211140035399, 050051, Республика Казахстан, г. Алматы, Медеуский район, Микрорайон Самал-1, д. 24, кв. 44), европейскийофис – DRCEU(DRCEUOÜ, 16371460, 12611, Estonia, Harjumaakond, Tallinn, Mustamäelinnaosa, Akadeemiatee, 5a-45) (далее вместе и по отдельности – Оператор) ставит целью соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных.

1.2.   Настоящая Политика конфиденциальности (далее – Политика) разработана в соответствии с Законом Республики Казахстан от 21 мая 2013 г. № 94-V«О персональных данныхи их защите», а также иными нормативными правовыми актами Республики Казахстанв области защиты и обработки персональных данных для казахстанского офиса DRCKZи действует в отношении всех персональных данных (далее – ПДн), которые Оператор может получитьот субъекта ПДн казахстанского сегмента, в частности, от пользователя сети Интернет (далее – Пользователь) во время использования им казахстанской версии сайта, сервисов, служб, программ, продуктов или услуг. Регламенты и особенности обработки ПДн российского и европейского сегмента определены в соответствии с применимым в этих странах законодательством, закреплены в соответствующих документах, определяющих порядок обработки и защиты ПДн, и опубликованы на соответствующих страницах сайта

1.3.   Оператор вправе вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

1.4.   Настоящая политика распространяется на ПДн, полученные как до, так и после ввода в действие настоящей Политики.

1.5.   Понимая важность и ценность ПДн, заботясь о соблюдении конституционных прав граждан Республики Казахстан и граждан других государств, Оператор обеспечивает надёжную защиту ПДн.

 

2.      Термины и принятые сокращения

2.1.   Под ПДнпонимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину).

2.2.   Субъект ПДн – любое лицо, персональные данные которого получил Оператор.

2.3.   Обработка ПДн– любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

2.4.   Автоматизированная обработка ПДн– обработка ПДн с помощью средств вычислительной техники.

2.5.   Информационная система персональных данных (ИСПД) – информационная система, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств.

2.6.   ПДн, сделанные общедоступными субъектом ПДн, являются ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе.

2.7.   Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку ПДн, а также определяющая цели, подлежащих обработкеПДн, действия (операции), совершаемые с ПДн.

 

3.      Правовые основания, цели, категории и сроки

обработки персональных данных

3.1.    

Цели

Осуществление безопасного взаимодействия с заинтересованными лицами в сети Интернет

 

Категория субъектов

Все заинтересованные лица

Категории ПДн

Общие: имя, контактный номер телефона, адрес электронной почты, предпочитаемый способ связи

Основания обработки

Согласие на обработку ПДн

Сроки обработки

На период взаимодействия с заинтересованными лицами и в течение 3-х лет после прекращения, в целях соблюдения сроков исковой давности

3.2.   Субъект ПДн может в любое время отозвать свое согласие на обработку ПДн, направив электронное сообщение по адресу электронной почты: kz@drc.lawлибо направив письменное уведомление по адресу Оператора: 050051, Республика Казахстан, г. Алматы, Медеуский район, Микрорайон Самал-1, д. 24, кв. 44. После получения такого сообщения обработка ПДн субъекта будет прекращена, а его ПДн будут удалены.

 

4.      Обработка персональных данных

4.1.   В соответствии с п. 6 ст. 36 Закона Республики Казахстан от 2411.2015 г. № 418-V«Об информатизации» Оператор информирует субъектов ПДн об автоматизированной обработке ПДн при пользовании сайтом и заполнении форм обратной связи. Обработка ПДн Оператором ведётся также и без использования средств автоматизации.

4.2.   Оператором не принимаются решения, порождающие юридические последствия в отношении субъектов ПДн или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их ПДн.

4.3.   Хранение персональных данных.

4.3.1.      ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

4.3.2.      Хранение ПДн в форме, позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

 

5.      Защита персональных данных

5.1.   Основными мерами защиты ПДн, используемыми Оператором, являются:

5.1.1.      Назначение лица, ответственного за обработку ПДн, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением работниками Операторатребований к защите ПДн;

5.1.2.      Определение актуальных угроз безопасности ПДн при их обработке в ИСПД и разработка мер и мероприятий по защите ПДн;

5.1.3.      Установление правил доступа к ПДн, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПД;

5.1.4.      Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;

5.1.5.      Соблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ;

5.1.6.      Обнаружение фактов несанкционированного доступа к ПДн и принятие мер;

5.1.7.      Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

5.1.8.      Обучение работников Оператора, непосредственно осуществляющих обработку ПДн, положениям законодательства РФ о ПДн, в том числе требованиям к защите ПДн, документам, определяющим политику Оператора в отношении обработки ПДн, локальным актам по вопросам обработки ПДн;

5.1.9.      Осуществление внутреннего контроля и аудита.

 

6.      Принципы и условия обработки персональных данных

6.1.   При обработке ПДн Оператор придерживается следующих принципов:

6.1.1.      обработка ПДн осуществляется на законной и справедливой основе;

6.1.2.      ПДн не раскрываются третьим лицам и не распространяются без согласия субъекта ПДн, за исключением случаев, требующих раскрытия ПДн по запросу уполномоченных государственных органов, судопроизводства;

6.1.3.      определение конкретных законных целей до начала обработки, в т.ч. сбора ПДн;

6.1.4.      ведется сбор только тех ПДн, которые являются необходимыми и достаточными для заявленнойцели обработки;

6.1.5.      объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собойне допускается;

6.1.6.      обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;

6.1.7.      обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижению целейобработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6.2.   Оператор не осуществляет обработку ПДн, касающихся расовой, национальнойпринадлежности, политических взглядов, религиозных, философских и иных убеждений, интимнойжизни, членства в общественных объединениях, в том числе в профессиональных союзах.

6.3.   Биометрические ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн) Оператором не обрабатываются.

6.4.   Оператор осуществляет трансграничную передачу ПДн на территорию Российской Федерации только тех субъектов ПДн, цели оказания услуг которым требуют такой передачи.

6.5.   Оператор формирует, актуализирует и локализует базу данных с ПДн граждан Казахстана на территории РК. Хранение ПДн граждан Казахстана в базах данных, расположенных на территории иностранных государств, Оператором не производится.

 

7.      Права и обязанности субъекта персональных данных

и обязанности оператора

7.1.            Субъект, ПДн которого обрабатываются Оператором, имеет право на доступ к его ПДн и следующим сведениям:

7.1.1.      подтверждение факта обработки ПДн Оператором;

7.1.2.      правовые основания и цели обработки ПДн;

7.1.3.      применяемые Оператором способы обработки ПДн;

7.1.4.      наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;

7.1.5.      сроки обработки ПДн, в том числе сроки их хранения;

7.1.6.      наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;

7.1.7.      обращение к Оператору и направление ему запросов;

7.1.8.      обжалование действий или бездействия Оператора.

7.2.            Оператор обязан:

7.2.1.      предоставить информацию об обработке ПДн субъекту в случае направления соответствующего запроса;

7.2.2.      при отказе в предоставлении ПДн субъекту разъясняются последствия такого отказа;

7.2.3.      давать ответы на запросы и обращения субъектов ПДн, их представителей в течение 10 дней с момента поступления такого запроса;

7.2.4.      совершить необходимое действие с ПДн в сроки, предусмотренные законодательством;

7.2.5.      прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по договору с Оператором) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по договору с Оператором) по достижении цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, в случае достижения цели обработки ПДн;

7.2.6.      прекратить обработку ПДн или обеспечить ее прекращение и уничтожить ПДн или обеспечить их уничтожение в случае отзыва субъектом ПДн согласия на обработку ПДн, если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн;

7.2.7.      вести журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение ПДн, а также факты предоставления ПДн по этим запросам.

 

8.      Особенности обработки и защиты персональных данных,

собираемых с помощью сети Интернет

8.1.            Оператор обрабатывает и защищает ПДн, поступающие от пользователейвеб-ресурса: https://drc.law(далее – Сайт), а также поступающие на адрес электронной почты Оператора:kz@drc.law.

8.2.            СборОператоромПДн с помощью сети Интернет, осуществляется двумя основными способами: предоставление ПДн и автоматически собираемая информация.

8.3.            Предоставление ПДн (имя, контактный телефон, адрес электронной почты, предпочитаемый способ связи, ваша компания) субъектами ПДн путем заполнения соответствующих форм на сайте и посредством направления электронных писем на корпоративный адресОператора.

8.4.            Автоматически собираемая информация: Оператор получает некоторые виды информации при помощи технологий и сервисов, таких как веб-протоколы, cookie, веб-отметки, а также приложений и инструментов третьейстороны. Оператор использует программные средстваYandex.Metrika, GoogleAnalytics,функционалы которых позволяют определять уникального посетителя Сайта, формировать сведения о его предпочтениях и поведении на Сайте.

8.5.            Cookies – это часть данных, автоматически располагающаяся на жестком диске компьютера при каждом посещении веб-сайта. Таким образом, cookies – это уникальныйидентификатор браузера для веб-сайта. Cookies дают возможность хранить информацию на сервере и помогают легче ориентироваться в веб-пространстве, а также позволяют осуществлять анализ сайта и оценку результатов. Большинство веб-браузеров разрешают использование cookies, однако можно изменить настройки для отказа от работы с ими или отслеживания пути их рассылки. При этом некоторые ресурсы могут работать некорректно, если работа cookies в браузере будет запрещена.

8.6.            Веб-отметки. На определенных веб-страницах или электронных письмах Компания может использовать распространенную в Интернете технологию «веб-отметки» (также известную как «тэги» или «точная GIF-технология»). Веб-отметки помогают анализировать эффективность веб-сайтов, например, с помощью измерения числа посетителей сайта или количества «кликов», сделанных на ключевых позициях страницы сайта.

При этом веб-отметки, cookies и другие мониторинговые технологии не дают возможность автоматически получать ПДн. Если пользователь сайта по своему усмотрению предоставляет свои ПДн, например, при заполнении формы обратной связи или при отправке электронного письма, только тогда запускаются процессы автоматического сбора подробной информации для удобства пользования веб-сайтами и/или для совершенствования взаимодействия с пользователями.

8.7.            Данный сайт не предназначен для лиц в возрасте младше 18 лет, в связи с чем Оператор требует, чтобы такие лица не предоставляли свои ПДн посредством Сайта. В случае выявления Оператором факта предоставления несовершеннолетними или малолетними лицами своих ПДн посредством Сайта, Оператор в срок, не превышающий 1 (один) рабочий день с даты выявления такого факта, осуществит уничтожение указанных ПДн или обеспечит их уничтожение.

8.8.            Политика не регулирует порядок обработки и защиты ПДн в отношении любых сайтов или веб-объектов (мобильных приложений), доступных через Сайт или на которые Сайт содержит ссылки. Наличие или включение ссылки на любой такой сайт или объект на Сайте не подразумевает наличие каких-либо гарантий и заверений со стороны Оператора.

 

9.      Заключительные положения

9.1.            Настоящая Политика является локальным нормативным актом Оператора. Общедоступность настоящей Политики обеспечивается публикацией на сайте Оператора.

9.2.            Настоящая Политика может быть пересмотрена в любом из следующих случаев:

9.2.1.      при изменении законодательства Республики Казахстан в области обработки и защиты персональных данных;

9.2.2.      в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия настоящей Политики;

9.2.3.      по решению руководства Оператора;

9.2.4.      при изменении целей и сроков обработки ПДн;

9.2.5.      при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);

9.2.6.      при применении новых технологий обработки и защиты ПДн, в т. ч. передачи, хранения;

9.2.7.      при возникновении необходимости в изменении процесса обработки ПДн, связанной с деятельностью Оператора.

9.3.            В случае неисполнения положений настоящей Политики Оператор и его работники несут ответственность в соответствии с действующим законодательством. Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки ПДн Оператора, а также за безопасность ПДн.

9.4.            Настоящая редакция Политики утверждена приказом Оператора от 5 мая 2023 г. ивступает в силу с момента её размещения на сайте:https://drc.law.