ПОЛИТИКА КОНФИДЕЦИАЛЬНОСТИ
ПОЛИТИКА КОНФИДЕЦИАЛЬНОСТИ
Настоящий документ определяет действия в фитнес-клубе «OXY Fit&Gym», расположенном по адресу: г.Астана, ул.Культегин, 7П, н.п.1, (далее – Клуб) в отношение обработки персональных данных физических лиц, в том числе – контрагентов и соискателей вакантных должностей, а также работников, представителей юридических лиц – контрагентов, передавших свои персональные данные для обработки, порядок и условия осуществления обработки персональных данных, обеспечение безопасности персональных данных с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства РК, устранение последствий нарушений, связанных с обработкой персональных данных.
Политика разработана с целью обеспечения защиты прав и свобод физических лиц и работников, представителей юридических лиц при обработке их персональных данных, а также с целью установления ответственности работников Клуба, имеющих доступ к персональным данным, за невыполнение требований и норм, регулирующих обработку персональных данных.
Действие настоящего документа не распространяется на отношения, на которые не распространяется действие Закона Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» и иные нормативные правовые акты Республики Казахстан.
I ОБЩИЕ ПОЛОЖЕНИЯ
1.1. В настоящем документе используются следующие термины и определения.
Персональные данные – любая конфиденциальная информация ограниченного доступа, не составляющая государственную тайну, относящаяся прямо или косвенно к определенному или определяемому физическому лицу, или работнику, представителю юридического лица.
Субъект персональных данных – физическое лицо или работник, представитель юридического лица, носитель персональных данных, чьи персональные данные переданы Клубу для обработки.
В случае обработки персональных данных несовершеннолетнего в возрасте от 13 до 18 лет субъектом персональных данных является также и его законный представитель.
Интернет-сайт – совокупность информации, текстов, графических элементов, дизайна, изображений, фото и видеоматериалов, иных результатов интеллектуальной деятельности, а также программных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ, и сети Интернет.
Сайт – официальный интернет-сайт Клуба, который в настоящее время находится в сети Интернет по адресу: https://oxyfitness.kz/ (далее – «Сайт»), а также другие интернет-сайты в этом домене.
Пользователь – физическое лицо или работник, представитель юридического лица, действующее в своих интересах или в интересах других лиц, акцептовавшее публичную оферту, размещенную на Сайте, имеющее доступ к Сайту и использующее его, независимо от факта регистрации на Сайте.
Cookies – текстовые файлы, автоматически создаваемые при посещении пользователями Сайта и хранимые на технических устройствах, которые пользователи используют для посещения Сайта. Как правило, Cookies содержат данные о технических устройствах, которые пользователи используют для посещения сайта, и о действиях пользователей на сайте.
Администрация сайта – работники, уполномоченные на управление сайтом, действующие от имени Клуба, которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, имеющих законное право на это.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Использование персональных данных – действия с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных, или других лиц, либо иными образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Конфиденциальность персональных данных – обязательное для соблюдения Клубом или иными получившим доступ к персональным данным лицами требование не допускать их распространение без согласия субъекта персональных данных или наличия законного основания.
1.2. Политика Клуба в отношение обработки персональных данных (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в Клубе персональных данных, функции Клуба при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Клубе требования к защите персональных данных.
1.3. Настоящая Политика определяет действия Клуба в отношении обработки персональных данных субъектов, передавших свои персональные данные для обработки, порядок и условия осуществления обработки персональных данных, обеспечение безопасности персональных данных с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства РК, устранение последствий нарушений, связанных с обработкой персональных данных.
1.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Субъект персональных данных считается предоставившим согласие на их обработку после проставления галочки в соответствующем поле Сайта или после подписания соответствующего заявления.
1.5. Субъект персональных данных обязан:
1.5.1. передавать Клубу достоверные персональные данные;
1.5.2. своевременно сообщать Клубу об изменении своих персональных данных.
1.6. Субъект персональных данных имеет право:
1.6.1. на получение информации, касающейся обработки его персональных данных, в частности:
– подтверждения факта обработки персональных данных Клубом;
– правовых оснований и целей обработки персональных данных;
– применяемых Клубом способов обработки персональных данных;
– наименование и местонахождение Клуба, сведений о лицах (за исключением работников Клуба), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Клубом или на основании РК;
– обрабатываемых персональных данных, источниках их получения;
– сроках обработки персональных данных и сроках их хранения;
– порядке осуществления субъектом персональных данных своих прав;
– наименовании или фамилии, имени, отчестве и адресе лиц, осуществляющих обработку персональных данных по поручению Клуба, если обработка поручена или будет поручена таким лицам;
– иных сведениях, предусмотренных РК.
1.6.2. требовать от Клуба уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
1.6.3. требовать от Клуба извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях и дополнениях;
1.6.4. отозвать свое согласие на обработку персональных данных путем подачи письменного заявления;
1.6.5. на свободное безвозмездное ознакомление со своими персональными данными посредством личного обращения по месту расположения Клуба в рабочее время либо направления запроса (форма запроса приведена в Приложении №1), при этом сведения о персональных данных предоставляются в доступной форме, исключая персональные данные, относящиеся к другим субъектам персональных данных, в соответствии с п.8.1;
1.6.6. обжаловать действия или бездействие Клуба в уполномоченный орган или в судебном порядке.
1.6.7. Субъект персональных данных имеет иные права, предусмотренные действующим законодательством.
1.7. Клуб обязан:
1.7.1. обеспечивать конфиденциальность персональных данных: Клуб и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом;
1.7.2. опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, сведениям о реализуемых требованиях к защите персональных данных;
1.7.3. принимать необходимые правовые, организационные и технические меры (или обеспечивать их принятие) для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
1.7.4. предоставлять ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
1.7.5. Клуб имеет иные обязанности, предусмотренные действующим законодательством.
1.8. Клуб имеет право проверять достоверность предоставленных персональных данных в порядке, не противоречащем законодательству Республики Казахстан, однако исходит из того, что субъект персональных данных предоставляет достоверные и достаточные персональные данные для осуществления целей обработки персональных данных, и поддерживает эту информацию в актуальном состоянии.
II ЦЕЛИ СБОРА и ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Клуб осуществляет обработку персональных данных для достижения конкретных, заранее определенных и законных целей, связанных с фактически осуществляемой Клубом деятельностью и бизнес-процессами в информационной системе персональных данных Клуба:
2.1.1. идентификации пользователя, зарегистрированного на сайте, для оформления заявки на услуги или соискание вакантной должности;
2.1.2. предоставление доступа к персонализированным ресурсам сайта;
2.1.3. обеспечение возможности обмена между пользователем и сайтом информацией, связанной с оказанием услуг;
2.1.4. предоставления пользователю доступа к информационным ресурсам и сервисам партнеров сайта;
2.1.5. осуществления деятельности по администрированию сайта и обеспечению его функциональности;
2.1.6. ведения статистического учета, проведение статистических и иных исследований на основе обезличенных данных;
2.1.7. заключения договоров с пользователями сайта, касающихся использования сайта, в том числе договоров на предоставление услуг, оказание пользователям дополнительных услуг;
2.1.8. оказания услуг субъектам персональных данных, в том числе не являющимся пользователями;
2.1.9. ведения деятельности Клуба в части заключения, учета и исполнения договоров с контрагентами (в частности – заказчиками, исполнителями).
2.1.10. Возможна обработка персональных данных в иных целях, не противоречащих действующему законодательству Республики Казахстан и условиям соглашений между Клубом и субъектами персональных данных.
III ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Правовыми основаниями обработки персональных данных являются совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Клуб осуществляет обработку персональных данных, в том числе:
3.1. Гражданский кодекс РК
3.2. Трудовой кодекс РК;
3.3. Налоговый кодекс РК;
3.4. О пенсионном обеспечении в Республике Казахстан;
3.5. Учредительные документы Клуба;
3.6. Договор возмездного оказания услуг, заключенный между Клубом и субъектом персональных данных (оферта) и иные гражданско-правовые договоры;
3.7. Согласие субъекта персональных данных на их обработку.
IV КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Физическое лицо – пользователь сайта:
– Фамилия, Имя, Отчество;
– число, месяц, год, место рождения;
– информация о гражданстве;
– фотография (изображение);
– адреса регистрации и фактического проживания (страна, город, улица, номер дома, номер корпуса, номер квартиры);
– номер телефона (домашний, мобильный);
– адреса электронной почты и мессенджеров;
– данные документа, удостоверяющего личность;
– сведения об используемом браузере;
– IP-адрес, местоположение;
– запрашиваемые интернет-страницы;
– источник захода на сайт.
4.2. Физическое лицо, не являющееся пользователем сайта, чьи персональные данные стали известны Клубу в связи с заключением и исполнением договора оказания услуг (в том числе – физические лица, чьи персональные данные и согласие на их обработку получены контрагентом, который передал персональные данные Клубу в рамках договора гражданско-правового характера):
– Фамилия, Имя, Отчество;
– число, месяц, год, место рождения;
– информация о гражданстве;
– фотография (изображение);
– адреса регистрации и фактического проживания (страна, город, улица, номер дома, номер корпуса, номер квартиры);
– номер телефона (домашний, мобильный);
– адреса электронной почты и мессенджеров;
– данные документа, удостоверяющего личность.
4.3. Физическое лицо – контрагент, с которым заключен договор гражданско-правового характера:
– Фамилия, Имя, Отчество;
– число, месяц, год, место рождения;
– информация о гражданстве;
– фотография (изображение);
– адреса регистрации и фактического проживания (страна, город, улица, номер дома, номер корпуса, номер квартиры);
– номер телефона (домашний, мобильный);
– адреса электронной почты и мессенджеров;
– данные расчетного счета;
– ИИН;
– данные документа, удостоверяющего личность.
4.4. Работники, представители юридических лиц – контрагентов и клиентов:
– наименование соответствующего юридического лица;
– Фамилия, Имя, Отчество;
– число, месяц, год, место рождения;
– информация о гражданстве;
– фотография (изображение);
– служебный адрес (страна, город, улица, номер дома, номер корпуса, номер офиса, кабинета);
– номер телефона (рабочий, домашний, мобильный);
– адреса электронной почты и мессенджеров;
– данные документа, удостоверяющего личность;
– данные документа, удостоверяющего связь с соответствующим юридическим лицом.
4.5. Соискатели вакантных должностей Клуба:
– Фамилия, Имя, Отчество;
– число, месяц, год, место рождения;
– информация о гражданстве;
– фотография (изображение);
– данные о характере, времени и месте получения образования, предшествующей работы;
– адреса регистрации и фактического проживания (страна, город, улица, номер дома, номер корпуса, номер квартиры);
– номер телефона (домашний, мобильный);
– адреса электронной почты и мессенджеров;
– данные расчетного счета;
– ИИН;
– данные документа, удостоверяющего личность.
V УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных в Клубе осуществляется с соблюдением принципов и условий, предусмотренных действующим законодательством Республики Казахстан о персональных данных.
5.2. Работники Клуба, получившие доступ к персональным данным, имеют обязательства не раскрывать их третьим лицам или неопределенному кругу лиц и не распространять иным образом без получения на то согласия соответствующих субъектов персональных данных, если иное прямо не предусмотрено действующим законодательством РК.
5.3. Обработка персональных данных осуществляется Клубом с момента предоставления субъектом персональных данных соответствующего согласия на их обработку. Обработка персональных данных прекращается по истечение срока действия согласия, или в случае отзыва согласия на обработку персональных данных соответствующим субъектом, или в случае выявления неправомерной обработки персональных данных.
5.4. Обработка персональных данных может осуществляться в статистических или иных исследовательских целях, за исключением целей, указанных в «О персональных данных», при условии обязательного обезличивания персональных данных.
5.5. Клуб вправе поручить обработку персональных данных третьим лицам с согласия соответствующих субъектов персональных данных, если иное не предусмотрено действующим законодательством Республики Казахстан. Лица, осуществляющие обработку персональных данных по поручению Клуба, обязуются соблюдать требования «О персональных данных» и данной Политики.
5.6. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется в период их обработки. В соответствии с «О персональных данных», при осуществлении хранения персональных данных Клуб обязан использовать (и обеспечивать использование контрагентами) базы данных, находящиеся на территории Республики Казахстан.
5.7. Если оказание услуг требует трансграничной передачи персональных данных, она осуществляется с обеспечением выполнения требований пп.5.1-5.6.
VI ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАНЫХ
6.1. Клуб осуществляет обработку персональных данных субъектов посредством совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая следующие:
– сбор;
– запись;
– систематизация;
– накопление;
– хранение;
– уточнение (обновление, изменение);
– извлечение;
– использование;
– передача (предоставление);
– обезличивание;
– блокирование;
– удаление;
– уничтожение.
6.2. Клуб получает персональные данные:
6.2.1. путем личной передачи субъектом персональных данных при внесении данных на Сайте;
6.2.2. путем личной передачи субъектом в рамках гражданско-правовых отношений;
6.2.3. от третьих лиц (клиентов, контрагентов);
6.2.4. из общедоступных источников.
6.3. Получение Клубом персональных данных от третьих лиц, а равно поручение обработки персональных данных третьим лицам осуществляется на основании договора, содержащего условия порядка обработки и сохранения конфиденциальности полученных персональных данных.
6.4. В случае, если Клуб поручает обработку персональных данных третьим лицам, не являющимся его сотрудниками, при заключении соответствующих договоров должно быть предусмотрено, что третьи лица обязуются соблюдать требования Закона РК «О персональных данных» и данной Политики. Клуб передает персональные данные для обработки третьим лицам только после момента подписания с ними соответствующих договоров.
6.5. В целях собственного информационного обеспечения Клуб может создавать общедоступные источники персональных данных, в том числе справочники и адресные книги, в которые персональные данные могут включаться только после проверки их подлинности и только с письменного согласия соответствующего субъекта. Персональные данные должны быть исключены из общедоступных источников Клуба в течение трех рабочих дней после получения требования соответствующего субъекта, либо решения суда, либо требования иных уполномоченных государственных органов.
6.6. Хранение персональных данных, цели обработки которых различны, осуществляется раздельно в рамках информационной системы или, при условии хранения на материальных носителях, в рамках структуры дел соответствующего подразделения Клуба.
6.7. Сотрудник Клуба, имеющий доступ к персональным данным в связи с исполнением трудовых обязанностей, обеспечивает исключение доступа к персональным данным других лиц.
6.8. Обработка персональных данных прекращается в связи с:
6.8.1. достижением цели обработки персональных данных или утратой необходимости в достижении цели обработки персональных данных – в течение тридцати календарных дней, если иное не предусмотрено договором;
6.8.2. отзывом согласия субъектом персональных данных – в течение трех рабочих дней после достижения цели обработки персональных данных или утратой необходимости в достижении цели обработки персональных данных;
6.8.3. истечением срока действия согласия субъекта персональных данных – в течение десяти рабочих дней;
6.8.4. выявлением неправомерной обработки персональных данных – в течение трех рабочих дней с даты выявления;
6.8.5. невозможностью обеспечения правомерной обработки персональных данных – в течение десяти рабочих дней.
6.9. После окончания обработки персональных данных они подлежат уничтожению либо обезличиванию.
6.10. Не допускается хранение персональных данных в Cookies. Содержащаяся в Cookies информация может использоваться исключительно при осуществлении целей, предусмотренных п.2.1.6.
VII ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Безопасность персональных данных, обработка которых осуществляется Клубом, обеспечивается посредством применения правовых, организационных, технических и программных мер, необходимых и достаточных для соблюдения требований действующего законодательства Республики Казахстан о персональных данных.
7.2. Перечень конкретных мер, принимаемых Клубом в целях обеспечения безопасности персональных данных, определяется Клубом самостоятельно и может включать в себя, в частности:
– ограничение состава работников Клуба, имеющих доступ к персональным данным;
– назначение ответственных за организацию обработки персональных данных в подразделениях Клуба;
– ознакомление сотрудников Клуба с требованиями действующего законодательства Республики Казахстан о персональных данных и данным Положением;
– реализация разрешительной системы доступа пользователей сайта к информационным ресурсам сайта, содержащим персональные данные;
– регистрация и учет действий пользователей сайта;
– осуществление антивирусного контроля программного обеспечения;
– использование средств защиты информации, отвечающих требованиям действующего законодательства Республики Казахстан;
– иные меры, соответствующие требованиям, предъявляемым действующим законодательством Республики Казахстан к защите персональных данных.
7.3. Мероприятия по защите персональных данных регламентируются Положениями, Приказами, Инструкциями и другими локальными актами Клуба.
VIII ЗАПРОСЫ, ОБРАЩЕНИЯ И ПОРЯДОК ИХ ОБРАБОТКИ
8.1. Клуб обязан безвозмездно предоставить возможность ознакомления с персональными данными соответствующему субъекту или его представителю в день личного обращения или ответить на направленный запрос в течение трех рабочих дней с момента его получения. В случае предоставления сведений о неполноте, неточности или неактуальности персональных данных соответствующим субъектом или его представителем, Клуб обязан внести в них необходимые изменения в течение трех рабочих дней. В случае предоставления сведений о незаконном получении или несоответствии заявленной цели обработки персональных данных соответствующим субъектом или его представителем, Клуб обязан уничтожить их в течение семи рабочих дней. О внесенных изменениях и предпринятых действиях Клуб информирует субъекта персональных данных или его представителя.
8.2. Если обработка персональных данных осуществляется другим лицом, действующим по поручению, Клуб организует осуществление необходимых действий, при этом сроки, указанные в п.8.1, увеличиваются на два рабочих дня.
8.3. По запросу уполномоченного органа по защите прав субъектов персональных данных Клуб сообщает необходимую информацию в течение тридцати календарных дней с момента получения такого запроса.
IX ПРОЧИЕ ПОЛОЖЕНИЯ
9.1. Данная Политика подлежит изменениям в случаях внесения соответствующих изменений или дополнений в действующее законодательство Республики Казахстан о персональных данных, а также может быть изменена в любое время по усмотрению Клуба.
9.2. Действующая редакция Политики размещается для просмотра неограниченным кругом лиц на Сайте.
9.3. Все отношения с участием Клуба, касающиеся обработки и защиты персональных данных и не получившие непосредственного регулирования в данной Политике, регулируются другими локальными актами Клуба и положениями действующего законодательства Республики Казахстан о персональных данных.
9.4. Все сотрудники Клуба, допущенные к работе с персональными данными, должны быть ознакомлены с данной Политикой до начала работы с персональными данными.