Положение о защите персональных данных клиентов TOO "Norvind"
1. Терминдер мен анықтамалар
1.1. Дербес деректер - осындай ақпараттың негізінде айқындалатын жеке тұлғаға (дербес деректер субъектісіне) қатысты кез келген ақпарат, оның ішінде оның тегі, аты, әкесінің аты, жылы, айы, туған күні мен орны, мекенжайы, электрондық пошта мекенжайы, телефон нөмірі, отбасылық, әлеуметтік, мүліктік жағдайы, білімі, кәсіп, табыс, басқа ақпарат.
1.2. Дербес деректерді өңдеу - жинауды, жүйелеуді, жинақтауды, сақтауды, нақтылауды (жаңартуды, Өзгертуді), пайдалануды, таратуды (оның ішінде беруді), иесіздендіруді, бұғаттауды қоса алғанда, дербес деректермен жасалатын әрекеттер (операциялар).
1.3. Дербес деректердің құпиялылығы - дербес деректерге қол жеткізген тағайындалған жауапты тұлғаның сақталуы үшін міндетті, субъектінің келісімінсіз немесе өзге де заңды негіздемесіз олардың таралуына жол бермеу талабы.
1.4. Дербес деректерді тарату - дербес деректерді белгілі бір тұлғалар тобына беруге (дербес деректерді беру) немесе шектеусіз тұлғалар тобының дербес деректерімен танысуға, оның ішінде бұқаралық ақпарат құралдарында дербес деректерді жариялауға, ақпараттық-телекоммуникациялық желілерде орналастыруға немесе дербес деректерге қандай да бір өзге тәсілмен қол жеткізуге бағытталған іс-әрекеттер.
1.5. Дербес деректерді пайдалану - дербес деректер субъектілеріне қатысты заңды салдарлар туғызатын не өзге де жолмен олардың құқықтары мен бостандықтарын немесе басқа адамдардың құқықтары мен бостандықтарын қозғайтын шешімдер қабылдау немесе өзге де әрекеттер жасау мақсатында жасалатын дербес деректермен жасалатын әрекеттер (операциялар).
1.6. Дербес деректерді бұғаттау - дербес деректерді жинауды, жүйелеуді, жинақтауды, пайдалануды, таратуды, оның ішінде оларды беруді уақытша тоқтату.
1.7. Дербес деректерді жою - нәтижесінде дербес деректердің ақпараттық жүйесіндегі дербес деректердің мазмұнын қалпына келтіру мүмкін болмайтын немесе нәтижесінде дербес деректердің материалдық жеткізгіштері жойылатын әрекеттер.
1.8. Дербес деректерді иесіздендіру - нәтижесінде қосымша ақпаратты пайдаланбай дербес деректердің нақты субъектіге тиесілігін анықтау мүмкін болмайтын әрекеттер.
1.9. Жалпыға қолжетімді дербес деректер - субъектінің келісімімен берілген немесе заңдарға сәйкес құпиялылықты сақтау талабы қолданылмайтын адамдардың шектеусіз тобына қолжетімділік берілетін Дербес деректер.
1.10. Ақпарат - оларды ұсыну нысанына қарамастан мәліметтер (хабарламалар, деректер).
1.11. Клиент (дербес деректер субъектісі) - жеке тұлға, "Norvind" ЖШС, бұдан әрі "Оператор" қызметтерін тұтынушы.
1.12. Оператор - дербес немесе басқа тұлғалармен бірлесіп дербес деректерді өңдеуді ұйымдастыратын және (немесе) жүзеге асыратын, сондай-ақ дербес деректерді өңдеудің мақсаттарын, өңдеуге жататын дербес деректердің құрамын, дербес деректермен жасалатын әрекеттерді (операцияларды) айқындайтын мемлекеттік орган, муниципалдық орган, заңды немесе жеке тұлға. Осы ереже шеңберінде "Norvind"ЖШС оператор болып танылады;
2. Жалпы ережелер.
2.1. Осы дербес деректерді өңдеу туралы ереже (бұдан әрі — ереже) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасының 2013 жылғы 21 мамырдағы № 94-V Заңының (бұдан әрі - Дербес деректер туралы Заң), "Ақпараттандыру туралы" Қазақстан Республикасының 2015 жылғы 24 қарашадағы № 418-V Заңының талаптарына сәйкес әзірленді"(бұдан әрі-Ақпараттандыру туралы Заң) және Қазақстан Республикасының өзге де нормативтік құқықтық актілерімен және тәртібін айқындайды.
2.2. Ережені әзірлеудің мақсаты-оператордың өкілеттіктері негізінде деректері өңделетін оператордың барлық клиенттерінің дербес деректерін өңдеу және қорғау тәртібін айқындау; адамның және азаматтың дербес деректерін өңдеу кезінде оның құқықтары мен бостандықтарын қорғауды, оның ішінде жеке өмірге, жеке және отбасылық құпияға қол сұғылмаушылық құқықтарын қорғауды қамтамасыз ету, сондай-ақ лауазымды тұлғалардың жауапкершілігін белгілеу дербес деректерді өңдеуді және қорғауды реттейтін нормалардың талаптарын орындамағаны үшін дербес деректерге қол жеткізе алады.
2.3. Ережені қолданысқа енгізу және өзгерту тәртібі.
2.3.1. Осы Ереже оператордың Бас директоры бекіткен сәттен бастап күшіне енеді және оны жаңа ережемен алмастырғанға дейін мерзімсіз әрекет етеді.
2.3.2. Ережеге өзгерістер "Norvind" ЖШС Бас директорының бұйрықтары негізінде енгізіледі.
3. Дербес деректердің құрамы.
3.1. Клиенттердің дербес деректерінің құрамына оның ішінде:
3.1.1. Тегі, Аты, Әкесінің аты.
3.1.2. Туған жылы.
3.1.3. Туған айы.
3.1.4. Туған күні.
3.1.5. Электрондық пошта мекенжайы.
3.1.6. Телефон нөмірі (үй, ұялы).
3.1.7. Тапсырысты (тауарларды/қызметтерді) жеткізу мекен-жайы.
3.2. Оператор келесі құжаттар мен мәліметтерді , оның ішінде клиенттер туралы деректерді қамтитын электрондық түрде құра, жинай және сақтай алады:
3.2.1. Клиенттің сауалнамасы (профилі).
3.2.2. Тіркеуге өтінім-жеке тұлға.
3.2.3. Шарт (жария оферта).
3.2.4. Шартқа қосылу туралы растау.
3.2.5. Жеке басын куәландыратын құжаттардың, сондай-ақ клиент ұсынатын және дербес деректері бар өзге де құжаттардың көшірмелері.
3.2.6. Клиенттің төлем және өзге де деректемелерін қамтитын тапсырыстарды (тауарларды/қызметтерді) төлеу жөніндегі деректер.
3.2.7. Тапсырыстарды (тауарларды/қызметтерді) жеткізу мекенжайлары бойынша деректер.
3.2.8. Телефон жазбалары және электрондық хат алмасу.
4. Дербес деректерді өңдеу мақсаты.
4.1. Дербес деректерді өңдеудің мақсаты-мақсатқа жетуге бағытталған іс-қимылдар кешенін жүзеге асыру, оның ішінде:
4.1.1. Консультациялық және ақпараттық қызметтер көрсету;
4.1.2. Сайтта Клиентті тіркеу/авторизациялау үшін https://norvind.kz/kz(бұдан әрі-Сайт);
4.1.3. Клиенттің тапсырыстарын өңдеу және клиент алдындағы міндеттемелерін орындау үшін;
4.1.4. Тауарлар мен қызметтерді ілгерілету жөніндегі қызметті жүзеге асыру үшін;
клиенттің сатып алу ерекшеліктерін талдау және жеке ұсыныстар беру;
4.1.5. Смс хабарлау арқылы орындалатын тапсырыстың мәртебесі туралы хабарлау үшін;
4.1.6. Клиенттің адалдық бағдарламаларына қатысуы үшін;
4.1.2. Заңнамада тыйым салынбаған өзге де мәмілелер, сондай-ақ жоғарыда көрсетілген мәмілелерді орындау үшін қажетті дербес деректермен іс-қимылдар кешені.
4.1.3. Қазақстан Республикасы заңнамасының талаптарын орындау мақсатында.
4.2. Дербес деректерді өңдеуді тоқтату шарты операторды тарату, сондай-ақ клиенттің тиісті талабы болып табылады.
5. Дербес деректерді жинау, өңдеу және қорғау.
5.1. Дербес деректерді алу (жинау) тәртібі:
5.1.1. Осы Ереженің 5.1.4 және 5.1.6-тармақтарында айқындалған жағдайларды және Қазақстан Республикасының заңдарында көзделген өзге де жағдайларды қоспағанда, клиенттің барлық дербес деректерін оның жазбаша келісімімен жеке өзі алуы тиіс.
5.1.2. Клиенттің оның дербес деректерін пайдалануға келісімі операторда қағаз және / немесе электрондық түрде сақталады.
5.1.3. Субъектінің дербес деректерді өңдеуге келісімі Шарттың бүкіл қолданылу мерзімі ішінде, сондай-ақ клиенттің оператормен шарттық қатынастарының қолданылуы тоқтатылған күннен бастап 5 жыл ішінде қолданылады. Көрсетілген мерзім өткеннен кейін Келісімнің қолданылуы клиент оны қайтарып алуы туралы мәліметтер болмаған кезде әрбір келесі бес жылға ұзартылды деп есептеледі.
5.1.4. Егер Клиенттің дербес деректерін тек үшінші тараптан алуға болатын болса, клиентке бұл туралы алдын ала хабарлануы және одан жазбаша келісім алынуы тиіс. Клиенттің дербес деректерін ұсынатын үшінші тұлғаның субъектінің оператордың дербес деректерін беруге келісімі болуға тиіс . Оператор Клиенттің дербес деректерін беретін үшінші тұлғадан дербес деректердің оның келісімімен берілетіндігі туралы растама алуға міндетті. Оператор үшінші тұлғалармен өзара іс-қимыл жасау кезінде олармен клиенттердің дербес деректеріне қатысты ақпараттың құпиялылығы туралы келісім жасасуға міндетті.
5.1.5. Оператор клиентке дербес деректерді алудың мақсаттары, болжамды көздері мен тәсілдері, сондай-ақ алуға жататын дербес деректердің сипаты және Клиенттің дербес деректерді алудан бас тартуының салдары туралы оларды алуға жазбаша келісім беруге міндетті.
5.1.6. Клиенттердің дербес деректерін олардың келісімінсіз өңдеу мынадай жағдайларда жүзеге асырылады:
5.1.6.1. Жеке деректер жалпыға қол жетімді.
5.1.6.2. Қазақстан Республикасының Заңында көзделген жағдайларда өкілетті мемлекеттік органдардың талабы бойынша.
5.1.6.3. Дербес деректерді өңдеу оның мақсатын, дербес деректерді алу шарттарын және дербес деректері өңдеуге жататын субъектілер шеңберін белгілейтін, сондай-ақ оператордың өкілеттіктерін айқындайтын заң негізінде жүзеге асырылады.
5.1.6.4. Дербес деректерді өңдеу Тараптардың бірі Дербес деректер субъектісі – Клиент болып табылатын шартты жасасу және орындау мақсатында жүзеге асырылады.
5.1.6.5. Дербес деректерді өңдеу статистикалық мақсаттар үшін дербес деректерді міндетті түрде иесіздендіру шартымен жүзеге асырылады.
5.1.6.6. Заңда көзделген өзге де жағдайларда.
5.1.7. Оператордың клиенттің нәсілдік, ұлттық қатыстылығы, саяси көзқарастары, діни немесе философиялық сенімдері, денсаулық жағдайы, жақын өмірі туралы дербес деректерін алуға және өңдеуге құқығы жоқ.
5.2. Дербес деректерді өңдеу тәртібі:
5.2.1. Дербес деректер субъектісі операторға өзі туралы дұрыс мәліметтер береді.
5.2.2. Клиенттердің дербес деректерін өңдеуге Клиенттің дербес деректерімен жұмыс істеуге жіберілген және Клиенттің дербес деректерін жария етпеу туралы келісімге қол қойған оператордың қызметкерлері ғана қол жеткізе алады.
5.2.3. Оператордың Клиенттің дербес деректеріне қол жеткізу құқығы бар:
* "Norvind"ЖШС Бас директоры;
* Операциялық жұмысты жүргізуге жауапты қызметкерлер (Бухгалтерия, қаржы бөлімі).
* Клиенттермен жұмыс бөлімінің қызметкерлері.
* Серіктестерді қолдау бөлімінің қызметкерлері.
* Маркетинг бөлімінің қызметкерлері.
* Персонал қызметінің қызметкерлері.
* Заң қызметінің қызметкерлері.
* IT қызметкерлері (ақпараттық технологиялар бөлімі).
* Клиент жеке деректер субъектісі ретінде.
5.2.3.1. Клиенттердің дербес деректеріне қол жеткізе алатын оператор қызметкерлерінің атаулы тізбесі Оператор Бас директорының бұйрығымен айқындалады.
5.2.4. Клиенттің дербес деректерін өңдеу Ережеде белгіленген және Қазақстанның заңдары мен өзге де нормативтік құқықтық актілерін сақтау мақсатында ғана жүзеге асырылуы мүмкін.
5.2.5. Өңделетін дербес деректердің көлемі мен мазмұнын айқындау кезінде Оператор Қазақстан Республикасының Конституциясын, Дербес деректер және оларды қорғау туралы заңды, Ақпараттандыру туралы заңды және өзге де нормативтік құқықтық актілерді басшылыққа алады.
5.3. Дербес деректерді қорғау:
5.3.1. Клиенттің дербес деректерін қорғау деп оларға заңсыз немесе кездейсоқ қол жеткізуді, субъектілердің дербес деректерін жоюды, Өзгертуді, бұғаттауды, көшіруді, таратуды болдырмауға, сондай-ақ өзге де заңсыз әрекеттерден аулақ болуға бағытталған шаралар кешені (ұйымдық-өкімдік, техникалық, заңдық) түсініледі.
5.3.2. Клиенттің дербес деректерін қорғау оператордың есебінен Қазақстан Республикасының Заңында белгіленген тәртіппен жүзеге асырылады.
5.3.3. Оператор клиенттердің дербес деректерін қорғау кезінде барлық қажетті деректерді қабылдайды
ұйымдастыру-өкімдік, заңдық және техникалық шаралар, оның ішінде:
* Шифрлау (криптографиялық) құралдары.
* Антивирустық қорғаныс.
* Қауіпсіздікті талдау.
* Интрузияларды анықтау және алдын алу.
* Кіруді басқару.
* Тіркеу және есепке алу.
* Тұтастықты қамтамасыз ету.
* Дербес деректерді қорғауды реттейтін нормативтік-әдістемелік жергілікті актілердің операторы.
5.3.4. Клиенттердің дербес деректерін қорғаудың жалпы ұйымын "Norvind" ЖШС жүзеге асырады.
5.3.5. Оператордың қызметкерлері Клиенттің дербес деректеріне қол жеткізе алады, оларға Еңбек міндеттерін орындауға байланысты дербес деректер қажет.
5.3.6. Клиенттердің дербес деректерін алуға, өңдеуге және қорғауға байланысты барлық қызметкерлер клиенттердің дербес деректерін жария етпеу туралы келісімге қол қоюға міндетті.
5.3.7. Клиенттің дербес деректеріне қол жеткізуді ресімдеу рәсімі мыналарды қамтиды:
* Қызметкерді осы Ережемен қол қою арқылы таныстыру. Клиенттің дербес деректерін өңдеуді және қорғауды реттейтін өзге де нормативтік актілер (бұйрықтар, өкімдер, нұсқаулықтар және т.б.) болған кезде де осы актілермен қол қойғызып танысу жүргізіледі.
* Қызметкерден (бас директорды қоспағанда) құпия ақпараттың қауіпсіздігін қамтамасыз ету мәселелерін реттейтін оператордың ішкі жергілікті актілеріне сәйкес клиенттердің дербес деректерінің құпиялылығын сақтау және оларды өңдеу ережелерін сақтау туралы жазбаша міндеттемені талап ету.
5.3.8. Еңбек міндеттерін орындауға байланысты клиенттердің дербес деректеріне қол жеткізе алатын оператордың қызметкері:
* Клиенттің үшінші тұлғалардың оларға қол жеткізуін болдырмайтын дербес деректері бар ақпараттың сақталуын қамтамасыз етеді.
* Қызметкер болмаған жағдайда оның жұмыс орнында клиенттердің дербес деректерін қамтитын құжаттар болмауы тиіс.
* Демалысқа шыққан кезде, қызметтік іссапар кезінде және қызметкер өз жұмыс орнында ұзақ уақыт болмаған өзге де жағдайларда ол қоғамның жергілікті актісімен (бұйрықпен, өкіммен) оның Еңбек міндеттерін орындау жүктелетін тұлғаға клиенттердің дербес деректері бар құжаттар мен өзге де жеткізгіштерді беруге міндетті.
· Егер мұндай тұлға тағайындалмаған жағдайда, онда клиенттердің дербес деректері бар құжаттар мен өзге де тасығыштар оператордың Бас директорының нұсқауы бойынша клиенттердің дербес деректеріне қол жеткізе алатын басқа қызметкерге беріледі.
* Клиенттердің дербес деректеріне қол жеткізе алатын қызметкер жұмыстан шығарылған кезде клиенттердің дербес деректері бар құжаттар мен өзге де тасығыштар Бас директордың нұсқауы бойынша клиенттердің дербес деректеріне қол жеткізе алатын басқа қызметкерге беріледі.
* Тапсырылған тапсырманы орындау мақсатында және Бас директордың оң қарары бар қызметтік жазба негізінде клиенттің дербес деректеріне қол жеткізу өзге қызметкерге берілуі мүмкін. Тиісті ресімделген қолжетімділігі жоқ оператордың басқа қызметкерлерін Клиенттің дербес деректеріне жіберуге тыйым салынады.
5.3.9. Персонал қызметінің менеджері:
* Қызметкерлерді осы Ережемен қол қою арқылы таныстыру.
* Қызметкерлерден құпиялылықты сақтау туралы жазбаша міндеттемені талап ету
Клиенттің дербес деректері (жария етпеу туралы келісім)және оларды өңдеу ережелерін сақтау.
* Қызметкерлердің Клиенттің дербес деректерін қорғау жөніндегі шараларды сақтауын жалпы бақылау.
5.3.10. Оператордың электрондық деректер базасында сақталатын клиенттердің дербес деректерін ақпаратты рұқсатсыз кіруден, бұрмалаудан және жоюдан, сондай-ақ өзге де заңсыз әрекеттерден қорғауды жүйелік әкімші қамтамасыз етеді.
5.4. Дербес деректерді сақтау:
5.4.1. Клиенттердің дербес деректері қағаз тасымалдағыштарда сейфтерде сақталады.
5.4.2. Клиенттердің дербес деректері оператордың жергілікті компьютерлік желісінде, Бас директордың және клиенттердің дербес деректерін өңдеуге жіберілген қызметкерлердің дербес компьютерлеріндегі электрондық папкалар мен файлдарда электрондық түрде сақталады.
5.4.3. Клиенттердің дербес деректері бар құжаттар рұқсатсыз кіруден қорғауды қамтамасыз ететін құлыпталатын шкафтарда (сейфтерде) сақталады. Жұмыс күнінің соңында клиенттердің дербес деректері бар барлық құжаттар рұқсатсыз кіруден қорғауды қамтамасыз ететін шкафтарға (сейфтерге) орналастырылады.
5.4.4. Клиенттердің дербес деректерін қамтитын электрондық деректер базасына қол жеткізуді қорғау қамтамасыз етіледі:
* Оператордың жергілікті желісіне рұқсатсыз кіруге жол бермейтін лицензияланған антивирустық және хакерлікке қарсы бағдарламаларды пайдалану арқылы жүзеге асырылады.
* Есептік жазбаны пайдалану арқылы қол жеткізу құқықтарының аражігін ажырату арқылы.
* Екі сатылы пароль жүйесі: жергілікті компьютерлік желі деңгейінде және мәліметтер базасы деңгейінде. Құпия сөздерді оператордың жүйелік әкімшісі орнатады және клиенттердің жеке деректеріне қол жеткізе алатын қызметкерлерге жеке хабарлайды.
5.4.4.1. Клиенттердің дербес деректері бар ДК-ге рұқсатсыз кіру жүйелік әкімші орнататын және жария етуге жатпайтын парольмен бұғатталады.
5.4.4.2. Клиенттердің жеке деректері бар барлық электрондық қалталар мен файлдар оператордың компьютерге жауапты қызметкері орнататын және жүйелік әкімшіге хабарланатын құпия сөзбен қорғалады.
5.4.4.3. Жүйелік әкімшінің құпия сөздерді өзгертуі 3 айда кемінде 1 рет жүзеге асырылады.
5.4.5. Клиенттің дербес деректерін көшіруге және үзінді көшірме жасауға оператордың бас директорының жазбаша рұқсатымен тек қызметтік мақсатта ғана рұқсат етіледі.
5.4.6. Клиенттердің дербес деректері туралы басқа ұйымдар мен мекемелердің жазбаша сұрауларына жауаптар, егер Қазақстан заңнамасында өзгеше белгіленбесе, клиенттің өзінің жазбаша келісімімен ғана беріледі. Жауаптар жазбаша түрде, оператордың бланкісінде және Клиенттің дербес деректерінің артық көлемін жария етпеуге мүмкіндік беретін көлемде ресімделеді.
6. Жеке деректерді бұғаттау, иесіздендіру, жою
6.1. Дербес деректерді бұғаттау және бұғаттан шығару тәртібі:
6.1.1. Клиенттердің дербес деректерін бұғаттау Клиенттің жазбаша өтінішінен жүзеге асырылады.
6.1.2. Жеке деректерді бұғаттау мыналарды білдіреді:
6.1.2.1. Жеке деректерді өңдеуге тыйым салу.
6.1.2.2. Дербес деректерді кез келген құралдармен (e-mail, ұялы байланыс, материалдық тасымалдаушылар) таратуға тыйым салу.
6.1.2.3. Жаппай таратылымдарда (sms, e-mail, пошта) дербес деректерді пайдалануға тыйым салу.
6.1.2.4. Клиентке қатысты және оның дербес деректері бар қағаз құжаттарды оператордың ішкі құжат айналымынан алып қою және оларды пайдалануға тыйым салу.
6.1.3. Егер бұл Қазақстан Республикасының заңнамасын сақтау үшін талап етілсе, Клиенттің дербес деректерін бұғаттау уақытша алынып тасталуы мүмкін.
6.1.4. Клиенттің дербес деректерінің құлпын ашу оның жазбаша келісімімен (келісім алу қажет болған жағдайда) немесе клиенттің өтінішімен жүзеге асырылады.
6.1.5. Клиенттің өзінің дербес деректерін өңдеуге қайта келісуі (қажет болған жағдайда оны алу) оның дербес деректерінің құлпын ашуға әкеп соғады.
6.2. Дербес деректерді иесіздендіру және жою тәртібі:
6.2.1. Клиенттің дербес деректерін иесіздендіру барлық шарттық қатынастар аяқталған және соңғы шарт аяқталған күннен бастап кемінде 5 жыл өткен жағдайда Клиенттің жазбаша өтініші бойынша жүргізіледі.
6.2.2. Иесіздендіру кезінде ақпараттық жүйелердегі Дербес деректер таңбалар жиынтығымен ауыстырылады, оған сәйкес дербес деректердің нақты клиентке тиесілігін анықтау мүмкін емес.
6.2.3. Құжаттардың қағаз тасығыштары дербес деректерді иесіздендіру кезінде жойылады.
6.2.4. Оператор әзірлеушінің аумағында Ақпараттық жүйелерді сынау қажет болған кезде дербес деректерге қатысты құпиялылықты қамтамасыз етуге және әзірлеушіге берілетін ақпараттық жүйелерде дербес деректерді иесіздендіруді жүргізуге міндетті.
6.2.5. Клиенттің дербес деректерін жою Клиенттің дербес деректеріне қандай да бір қолжетімділікті тоқтатуды білдіреді.
6.2.6. Клиенттің дербес деректері жойылған кезде оператордың қызметкерлері ақпараттық жүйелерде субъектінің дербес деректеріне қол жеткізе алмайды.
6.2.7. Құжаттардың қағаз тасығыштары Дербес деректер жойылған кезде жойылады, ақпараттық жүйелердегі Дербес деректер иесіздендіріледі. Дербес деректер қалпына келтіруге жатпайды.
6.2.8. Дербес деректерді жою операциясы қайтымсыз.
6.2.9. Клиенттің дербес деректерін жою операциясы мүмкін болатын мерзім осы Ереженің 7.3-тармағында көрсетілген мерзімнің аяқталуымен айқындалады.
7. Дербес деректерді беру және сақтау
7.1. Дербес деректерді беру:
7.1.1. Субъектінің дербес деректерін беру деп байланыс арналары арқылы және материалдық жеткізгіштерде ақпаратты тарату түсініледі.
7.1.2. Дербес деректерді беру кезінде оператордың қызметкерлері мынадай талаптарды сақтауы тиіс:
7.1.2.1. Коммерциялық мақсатта Клиенттің дербес деректерін хабарлауға болмайды.
7.1.2.2. Қазақстан Республикасының Заңында белгіленген жағдайларды қоспағанда, Клиенттің дербес деректерін Клиенттің жазбаша келісімінсіз үшінші Тарапқа хабарлауға болмайды.
7.1.2.3. Клиенттің дербес деректерін алатын адамдарға бұл деректер олар хабарланған мақсаттарда ғана пайдаланылуы мүмкін екендігі туралы ескерту және осы адамдардан осы Ереженің сақталғанын растауды талап ету;
7.1.2.4. Клиенттердің дербес деректеріне тек арнайы уәкілетті тұлғаларға қол жеткізуге рұқсат беру, бұл ретте аталған тұлғалар нақты функцияларды орындау үшін қажетті клиенттердің дербес деректерін ғана алуға құқылы болуы тиіс.
7.1.2.5. Осы Ережеге, нормативтік-технологиялық құжаттамаға және лауазымдық нұсқаулықтарға сәйкес Оператор шегінде клиенттің дербес деректерін беруді жүзеге асыру.
7.1.2.6. Клиенттің өтініш берген кезде немесе клиенттің сұрауын алған кезде клиенттің өзінің дербес деректеріне қол жеткізуін қамтамасыз ету. Оператор клиентке ол туралы дербес деректердің болуы туралы ақпаратты хабарлауға, сондай-ақ олармен жүгінген сәттен бастап он жұмыс күні ішінде танысу мүмкіндігін беруге міндетті.
7.1.2.7. Клиенттің дербес деректерін заңнамада және нормативтік-технологиялық құжаттамада белгіленген тәртіппен клиенттің өкілдеріне беру және бұл ақпаратты аталған өкілдердің өз функцияларын орындауы үшін қажетті субъектінің дербес деректерімен ғана шектеу.
7.1.2.8. Клиенттердің берілген дербес деректерін есепке алу журналын жүргізуді қамтамасыз ету, онда клиенттердің дербес деректері берілген тұлға туралы мәліметтер, дербес деректерді беру күні немесе дербес деректерді беруден бас тарту туралы хабарлама күні жазылады, сондай-ақ нақты қандай ақпарат берілгені белгіленеді (№1 қосымша Нысаны бойынша).
7.2. Дербес деректерді сақтау және пайдалану:
7.2.1. Жеке деректерді сақтау деп ақпараттық жүйелерде және материалдық тасымалдағыштарда жазбалардың болуы түсініледі.
7.2.2. Клиенттердің дербес деректері ақпараттық жүйелерде, сондай-ақ операторда қағаз тасымалдағыштарда өңделеді және сақталады. Клиенттердің дербес деректері электрондық түрде де сақталады: оператордың жергілікті компьютерлік желісінде, Бас директордың және клиенттердің дербес деректерін өңдеуге жіберілген қызметкерлердің компьютеріндегі электрондық папкалар мен файлдарда.
7.2.3. Клиенттің дербес деректерін сақтау, егер Қазақстан Республикасының заңдарында өзгеше көзделмесе, өңдеу мақсаттары талап еткеннен ұзағырақ жүзеге асырылуы мүмкін.
7.3. Дербес деректерді сақтау мерзімдері:
7.3.1. Клиенттердің дербес деректерін қамтитын, сондай-ақ оларды жасасуға, құжаттардың орындалуына ілеспе азаматтық - құқықтық шарттарды сақтау мерзімдері-шарттардың қолданысы аяқталған сәттен бастап 5 жыл.
7.3.2. Сақтау мерзімі ішінде дербес деректерді иесіздендіруге немесе жоюға болмайды.
7.3.3. Сақтау мерзімі өткеннен кейін Дербес деректер ақпараттық жүйелерде иесіздендірілуі және Қазақстан Республикасының ережесінде және қолданыстағы заңнамасында белгіленген тәртіппен қағаз жеткізгіште жойылуы мүмкін.
8. Дербес деректер операторының құқықтары
Оператор құқылы:
8.1. Сотта өз мүдделерін қорғау.
8.2. Егер бұл қолданыстағы заңнамада (салық, құқық қорғау органдары және т.б.) немесе клиентпен келісімде көзделсе, клиенттердің дербес деректерін үшінші тұлғаларға ұсыну.
8.3. Қазақстан Республикасының заңнамасында көзделген жағдайларда дербес деректерді беруден бас тартылсын.
8.4. Қазақстан Республикасының заңнамасында көзделген жағдайларда клиенттің дербес деректерін оның келісімінсіз пайдалану.
9. Клиенттің Құқықтары
Клиент құқылы:
9.1. Егер дербес деректер толық емес, ескірген, дұрыс емес, заңсыз алынған немесе мәлімделген өңдеу мақсаты үшін қажет болып табылмаса, өзінің дербес деректерін нақтылауды, оларды бұғаттауды немесе жоюды талап етуге, сондай-ақ өз құқықтарын қорғау жөнінде заңда көзделген шараларды қабылдауға;
9.2. Операторда бар өңделетін дербес деректердің тізбесін және оларды алу көзін талап ету.
9.3. Дербес деректерді өңдеу мерзімдері, оның ішінде оларды сақтау мерзімдері туралы ақпарат алу.
9.4. Бұрын оның дербес деректері дұрыс емес немесе толық емес деп хабарланған барлық адамдарға оларда жасалған барлық ерекшеліктер, түзетулер немесе толықтырулар туралы хабарлауды талап ету.
9.5. Дербес деректер субъектілерінің құқықтарын қорғау жөніндегі уәкілетті органға немесе оның дербес деректерін өңдеу кезінде заңсыз әрекеттерге немесе әрекетсіздікке сот тәртібімен шағымдануға.
10. Дербес деректерді өңдеуді және қорғауды реттейтін нормаларды бұзғаны үшін жауапкершілік
10.1. Дербес деректерді алуды, өңдеуді және қорғауды реттейтін нормалардың бұзылуына кінәлі оператордың қызметкерлері Қазақстан Республикасының қолданыстағы заңнамасына және оператордың ішкі жергілікті актілеріне сәйкес тәртіптік, әкімшілік, азаматтық-құқықтық немесе қылмыстық жауаптылықта болады.
1.1. Дербес деректер - осындай ақпараттың негізінде айқындалатын жеке тұлғаға (дербес деректер субъектісіне) қатысты кез келген ақпарат, оның ішінде оның тегі, аты, әкесінің аты, жылы, айы, туған күні мен орны, мекенжайы, электрондық пошта мекенжайы, телефон нөмірі, отбасылық, әлеуметтік, мүліктік жағдайы, білімі, кәсіп, табыс, басқа ақпарат.
1.2. Дербес деректерді өңдеу - жинауды, жүйелеуді, жинақтауды, сақтауды, нақтылауды (жаңартуды, Өзгертуді), пайдалануды, таратуды (оның ішінде беруді), иесіздендіруді, бұғаттауды қоса алғанда, дербес деректермен жасалатын әрекеттер (операциялар).
1.3. Дербес деректердің құпиялылығы - дербес деректерге қол жеткізген тағайындалған жауапты тұлғаның сақталуы үшін міндетті, субъектінің келісімінсіз немесе өзге де заңды негіздемесіз олардың таралуына жол бермеу талабы.
1.4. Дербес деректерді тарату - дербес деректерді белгілі бір тұлғалар тобына беруге (дербес деректерді беру) немесе шектеусіз тұлғалар тобының дербес деректерімен танысуға, оның ішінде бұқаралық ақпарат құралдарында дербес деректерді жариялауға, ақпараттық-телекоммуникациялық желілерде орналастыруға немесе дербес деректерге қандай да бір өзге тәсілмен қол жеткізуге бағытталған іс-әрекеттер.
1.5. Дербес деректерді пайдалану - дербес деректер субъектілеріне қатысты заңды салдарлар туғызатын не өзге де жолмен олардың құқықтары мен бостандықтарын немесе басқа адамдардың құқықтары мен бостандықтарын қозғайтын шешімдер қабылдау немесе өзге де әрекеттер жасау мақсатында жасалатын дербес деректермен жасалатын әрекеттер (операциялар).
1.6. Дербес деректерді бұғаттау - дербес деректерді жинауды, жүйелеуді, жинақтауды, пайдалануды, таратуды, оның ішінде оларды беруді уақытша тоқтату.
1.7. Дербес деректерді жою - нәтижесінде дербес деректердің ақпараттық жүйесіндегі дербес деректердің мазмұнын қалпына келтіру мүмкін болмайтын немесе нәтижесінде дербес деректердің материалдық жеткізгіштері жойылатын әрекеттер.
1.8. Дербес деректерді иесіздендіру - нәтижесінде қосымша ақпаратты пайдаланбай дербес деректердің нақты субъектіге тиесілігін анықтау мүмкін болмайтын әрекеттер.
1.9. Жалпыға қолжетімді дербес деректер - субъектінің келісімімен берілген немесе заңдарға сәйкес құпиялылықты сақтау талабы қолданылмайтын адамдардың шектеусіз тобына қолжетімділік берілетін Дербес деректер.
1.10. Ақпарат - оларды ұсыну нысанына қарамастан мәліметтер (хабарламалар, деректер).
1.11. Клиент (дербес деректер субъектісі) - жеке тұлға, "Norvind" ЖШС, бұдан әрі "Оператор" қызметтерін тұтынушы.
1.12. Оператор - дербес немесе басқа тұлғалармен бірлесіп дербес деректерді өңдеуді ұйымдастыратын және (немесе) жүзеге асыратын, сондай-ақ дербес деректерді өңдеудің мақсаттарын, өңдеуге жататын дербес деректердің құрамын, дербес деректермен жасалатын әрекеттерді (операцияларды) айқындайтын мемлекеттік орган, муниципалдық орган, заңды немесе жеке тұлға. Осы ереже шеңберінде "Norvind"ЖШС оператор болып танылады;
2. Жалпы ережелер.
2.1. Осы дербес деректерді өңдеу туралы ереже (бұдан әрі — ереже) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасының 2013 жылғы 21 мамырдағы № 94-V Заңының (бұдан әрі - Дербес деректер туралы Заң), "Ақпараттандыру туралы" Қазақстан Республикасының 2015 жылғы 24 қарашадағы № 418-V Заңының талаптарына сәйкес әзірленді"(бұдан әрі-Ақпараттандыру туралы Заң) және Қазақстан Республикасының өзге де нормативтік құқықтық актілерімен және тәртібін айқындайды.
2.2. Ережені әзірлеудің мақсаты-оператордың өкілеттіктері негізінде деректері өңделетін оператордың барлық клиенттерінің дербес деректерін өңдеу және қорғау тәртібін айқындау; адамның және азаматтың дербес деректерін өңдеу кезінде оның құқықтары мен бостандықтарын қорғауды, оның ішінде жеке өмірге, жеке және отбасылық құпияға қол сұғылмаушылық құқықтарын қорғауды қамтамасыз ету, сондай-ақ лауазымды тұлғалардың жауапкершілігін белгілеу дербес деректерді өңдеуді және қорғауды реттейтін нормалардың талаптарын орындамағаны үшін дербес деректерге қол жеткізе алады.
2.3. Ережені қолданысқа енгізу және өзгерту тәртібі.
2.3.1. Осы Ереже оператордың Бас директоры бекіткен сәттен бастап күшіне енеді және оны жаңа ережемен алмастырғанға дейін мерзімсіз әрекет етеді.
2.3.2. Ережеге өзгерістер "Norvind" ЖШС Бас директорының бұйрықтары негізінде енгізіледі.
3. Дербес деректердің құрамы.
3.1. Клиенттердің дербес деректерінің құрамына оның ішінде:
3.1.1. Тегі, Аты, Әкесінің аты.
3.1.2. Туған жылы.
3.1.3. Туған айы.
3.1.4. Туған күні.
3.1.5. Электрондық пошта мекенжайы.
3.1.6. Телефон нөмірі (үй, ұялы).
3.1.7. Тапсырысты (тауарларды/қызметтерді) жеткізу мекен-жайы.
3.2. Оператор келесі құжаттар мен мәліметтерді , оның ішінде клиенттер туралы деректерді қамтитын электрондық түрде құра, жинай және сақтай алады:
3.2.1. Клиенттің сауалнамасы (профилі).
3.2.2. Тіркеуге өтінім-жеке тұлға.
3.2.3. Шарт (жария оферта).
3.2.4. Шартқа қосылу туралы растау.
3.2.5. Жеке басын куәландыратын құжаттардың, сондай-ақ клиент ұсынатын және дербес деректері бар өзге де құжаттардың көшірмелері.
3.2.6. Клиенттің төлем және өзге де деректемелерін қамтитын тапсырыстарды (тауарларды/қызметтерді) төлеу жөніндегі деректер.
3.2.7. Тапсырыстарды (тауарларды/қызметтерді) жеткізу мекенжайлары бойынша деректер.
3.2.8. Телефон жазбалары және электрондық хат алмасу.
4. Дербес деректерді өңдеу мақсаты.
4.1. Дербес деректерді өңдеудің мақсаты-мақсатқа жетуге бағытталған іс-қимылдар кешенін жүзеге асыру, оның ішінде:
4.1.1. Консультациялық және ақпараттық қызметтер көрсету;
4.1.2. Сайтта Клиентті тіркеу/авторизациялау үшін https://norvind.kz/kz(бұдан әрі-Сайт);
4.1.3. Клиенттің тапсырыстарын өңдеу және клиент алдындағы міндеттемелерін орындау үшін;
4.1.4. Тауарлар мен қызметтерді ілгерілету жөніндегі қызметті жүзеге асыру үшін;
клиенттің сатып алу ерекшеліктерін талдау және жеке ұсыныстар беру;
4.1.5. Смс хабарлау арқылы орындалатын тапсырыстың мәртебесі туралы хабарлау үшін;
4.1.6. Клиенттің адалдық бағдарламаларына қатысуы үшін;
4.1.2. Заңнамада тыйым салынбаған өзге де мәмілелер, сондай-ақ жоғарыда көрсетілген мәмілелерді орындау үшін қажетті дербес деректермен іс-қимылдар кешені.
4.1.3. Қазақстан Республикасы заңнамасының талаптарын орындау мақсатында.
4.2. Дербес деректерді өңдеуді тоқтату шарты операторды тарату, сондай-ақ клиенттің тиісті талабы болып табылады.
5. Дербес деректерді жинау, өңдеу және қорғау.
5.1. Дербес деректерді алу (жинау) тәртібі:
5.1.1. Осы Ереженің 5.1.4 және 5.1.6-тармақтарында айқындалған жағдайларды және Қазақстан Республикасының заңдарында көзделген өзге де жағдайларды қоспағанда, клиенттің барлық дербес деректерін оның жазбаша келісімімен жеке өзі алуы тиіс.
5.1.2. Клиенттің оның дербес деректерін пайдалануға келісімі операторда қағаз және / немесе электрондық түрде сақталады.
5.1.3. Субъектінің дербес деректерді өңдеуге келісімі Шарттың бүкіл қолданылу мерзімі ішінде, сондай-ақ клиенттің оператормен шарттық қатынастарының қолданылуы тоқтатылған күннен бастап 5 жыл ішінде қолданылады. Көрсетілген мерзім өткеннен кейін Келісімнің қолданылуы клиент оны қайтарып алуы туралы мәліметтер болмаған кезде әрбір келесі бес жылға ұзартылды деп есептеледі.
5.1.4. Егер Клиенттің дербес деректерін тек үшінші тараптан алуға болатын болса, клиентке бұл туралы алдын ала хабарлануы және одан жазбаша келісім алынуы тиіс. Клиенттің дербес деректерін ұсынатын үшінші тұлғаның субъектінің оператордың дербес деректерін беруге келісімі болуға тиіс . Оператор Клиенттің дербес деректерін беретін үшінші тұлғадан дербес деректердің оның келісімімен берілетіндігі туралы растама алуға міндетті. Оператор үшінші тұлғалармен өзара іс-қимыл жасау кезінде олармен клиенттердің дербес деректеріне қатысты ақпараттың құпиялылығы туралы келісім жасасуға міндетті.
5.1.5. Оператор клиентке дербес деректерді алудың мақсаттары, болжамды көздері мен тәсілдері, сондай-ақ алуға жататын дербес деректердің сипаты және Клиенттің дербес деректерді алудан бас тартуының салдары туралы оларды алуға жазбаша келісім беруге міндетті.
5.1.6. Клиенттердің дербес деректерін олардың келісімінсіз өңдеу мынадай жағдайларда жүзеге асырылады:
5.1.6.1. Жеке деректер жалпыға қол жетімді.
5.1.6.2. Қазақстан Республикасының Заңында көзделген жағдайларда өкілетті мемлекеттік органдардың талабы бойынша.
5.1.6.3. Дербес деректерді өңдеу оның мақсатын, дербес деректерді алу шарттарын және дербес деректері өңдеуге жататын субъектілер шеңберін белгілейтін, сондай-ақ оператордың өкілеттіктерін айқындайтын заң негізінде жүзеге асырылады.
5.1.6.4. Дербес деректерді өңдеу Тараптардың бірі Дербес деректер субъектісі – Клиент болып табылатын шартты жасасу және орындау мақсатында жүзеге асырылады.
5.1.6.5. Дербес деректерді өңдеу статистикалық мақсаттар үшін дербес деректерді міндетті түрде иесіздендіру шартымен жүзеге асырылады.
5.1.6.6. Заңда көзделген өзге де жағдайларда.
5.1.7. Оператордың клиенттің нәсілдік, ұлттық қатыстылығы, саяси көзқарастары, діни немесе философиялық сенімдері, денсаулық жағдайы, жақын өмірі туралы дербес деректерін алуға және өңдеуге құқығы жоқ.
5.2. Дербес деректерді өңдеу тәртібі:
5.2.1. Дербес деректер субъектісі операторға өзі туралы дұрыс мәліметтер береді.
5.2.2. Клиенттердің дербес деректерін өңдеуге Клиенттің дербес деректерімен жұмыс істеуге жіберілген және Клиенттің дербес деректерін жария етпеу туралы келісімге қол қойған оператордың қызметкерлері ғана қол жеткізе алады.
5.2.3. Оператордың Клиенттің дербес деректеріне қол жеткізу құқығы бар:
* "Norvind"ЖШС Бас директоры;
* Операциялық жұмысты жүргізуге жауапты қызметкерлер (Бухгалтерия, қаржы бөлімі).
* Клиенттермен жұмыс бөлімінің қызметкерлері.
* Серіктестерді қолдау бөлімінің қызметкерлері.
* Маркетинг бөлімінің қызметкерлері.
* Персонал қызметінің қызметкерлері.
* Заң қызметінің қызметкерлері.
* IT қызметкерлері (ақпараттық технологиялар бөлімі).
* Клиент жеке деректер субъектісі ретінде.
5.2.3.1. Клиенттердің дербес деректеріне қол жеткізе алатын оператор қызметкерлерінің атаулы тізбесі Оператор Бас директорының бұйрығымен айқындалады.
5.2.4. Клиенттің дербес деректерін өңдеу Ережеде белгіленген және Қазақстанның заңдары мен өзге де нормативтік құқықтық актілерін сақтау мақсатында ғана жүзеге асырылуы мүмкін.
5.2.5. Өңделетін дербес деректердің көлемі мен мазмұнын айқындау кезінде Оператор Қазақстан Республикасының Конституциясын, Дербес деректер және оларды қорғау туралы заңды, Ақпараттандыру туралы заңды және өзге де нормативтік құқықтық актілерді басшылыққа алады.
5.3. Дербес деректерді қорғау:
5.3.1. Клиенттің дербес деректерін қорғау деп оларға заңсыз немесе кездейсоқ қол жеткізуді, субъектілердің дербес деректерін жоюды, Өзгертуді, бұғаттауды, көшіруді, таратуды болдырмауға, сондай-ақ өзге де заңсыз әрекеттерден аулақ болуға бағытталған шаралар кешені (ұйымдық-өкімдік, техникалық, заңдық) түсініледі.
5.3.2. Клиенттің дербес деректерін қорғау оператордың есебінен Қазақстан Республикасының Заңында белгіленген тәртіппен жүзеге асырылады.
5.3.3. Оператор клиенттердің дербес деректерін қорғау кезінде барлық қажетті деректерді қабылдайды
ұйымдастыру-өкімдік, заңдық және техникалық шаралар, оның ішінде:
* Шифрлау (криптографиялық) құралдары.
* Антивирустық қорғаныс.
* Қауіпсіздікті талдау.
* Интрузияларды анықтау және алдын алу.
* Кіруді басқару.
* Тіркеу және есепке алу.
* Тұтастықты қамтамасыз ету.
* Дербес деректерді қорғауды реттейтін нормативтік-әдістемелік жергілікті актілердің операторы.
5.3.4. Клиенттердің дербес деректерін қорғаудың жалпы ұйымын "Norvind" ЖШС жүзеге асырады.
5.3.5. Оператордың қызметкерлері Клиенттің дербес деректеріне қол жеткізе алады, оларға Еңбек міндеттерін орындауға байланысты дербес деректер қажет.
5.3.6. Клиенттердің дербес деректерін алуға, өңдеуге және қорғауға байланысты барлық қызметкерлер клиенттердің дербес деректерін жария етпеу туралы келісімге қол қоюға міндетті.
5.3.7. Клиенттің дербес деректеріне қол жеткізуді ресімдеу рәсімі мыналарды қамтиды:
* Қызметкерді осы Ережемен қол қою арқылы таныстыру. Клиенттің дербес деректерін өңдеуді және қорғауды реттейтін өзге де нормативтік актілер (бұйрықтар, өкімдер, нұсқаулықтар және т.б.) болған кезде де осы актілермен қол қойғызып танысу жүргізіледі.
* Қызметкерден (бас директорды қоспағанда) құпия ақпараттың қауіпсіздігін қамтамасыз ету мәселелерін реттейтін оператордың ішкі жергілікті актілеріне сәйкес клиенттердің дербес деректерінің құпиялылығын сақтау және оларды өңдеу ережелерін сақтау туралы жазбаша міндеттемені талап ету.
5.3.8. Еңбек міндеттерін орындауға байланысты клиенттердің дербес деректеріне қол жеткізе алатын оператордың қызметкері:
* Клиенттің үшінші тұлғалардың оларға қол жеткізуін болдырмайтын дербес деректері бар ақпараттың сақталуын қамтамасыз етеді.
* Қызметкер болмаған жағдайда оның жұмыс орнында клиенттердің дербес деректерін қамтитын құжаттар болмауы тиіс.
* Демалысқа шыққан кезде, қызметтік іссапар кезінде және қызметкер өз жұмыс орнында ұзақ уақыт болмаған өзге де жағдайларда ол қоғамның жергілікті актісімен (бұйрықпен, өкіммен) оның Еңбек міндеттерін орындау жүктелетін тұлғаға клиенттердің дербес деректері бар құжаттар мен өзге де жеткізгіштерді беруге міндетті.
· Егер мұндай тұлға тағайындалмаған жағдайда, онда клиенттердің дербес деректері бар құжаттар мен өзге де тасығыштар оператордың Бас директорының нұсқауы бойынша клиенттердің дербес деректеріне қол жеткізе алатын басқа қызметкерге беріледі.
* Клиенттердің дербес деректеріне қол жеткізе алатын қызметкер жұмыстан шығарылған кезде клиенттердің дербес деректері бар құжаттар мен өзге де тасығыштар Бас директордың нұсқауы бойынша клиенттердің дербес деректеріне қол жеткізе алатын басқа қызметкерге беріледі.
* Тапсырылған тапсырманы орындау мақсатында және Бас директордың оң қарары бар қызметтік жазба негізінде клиенттің дербес деректеріне қол жеткізу өзге қызметкерге берілуі мүмкін. Тиісті ресімделген қолжетімділігі жоқ оператордың басқа қызметкерлерін Клиенттің дербес деректеріне жіберуге тыйым салынады.
5.3.9. Персонал қызметінің менеджері:
* Қызметкерлерді осы Ережемен қол қою арқылы таныстыру.
* Қызметкерлерден құпиялылықты сақтау туралы жазбаша міндеттемені талап ету
Клиенттің дербес деректері (жария етпеу туралы келісім)және оларды өңдеу ережелерін сақтау.
* Қызметкерлердің Клиенттің дербес деректерін қорғау жөніндегі шараларды сақтауын жалпы бақылау.
5.3.10. Оператордың электрондық деректер базасында сақталатын клиенттердің дербес деректерін ақпаратты рұқсатсыз кіруден, бұрмалаудан және жоюдан, сондай-ақ өзге де заңсыз әрекеттерден қорғауды жүйелік әкімші қамтамасыз етеді.
5.4. Дербес деректерді сақтау:
5.4.1. Клиенттердің дербес деректері қағаз тасымалдағыштарда сейфтерде сақталады.
5.4.2. Клиенттердің дербес деректері оператордың жергілікті компьютерлік желісінде, Бас директордың және клиенттердің дербес деректерін өңдеуге жіберілген қызметкерлердің дербес компьютерлеріндегі электрондық папкалар мен файлдарда электрондық түрде сақталады.
5.4.3. Клиенттердің дербес деректері бар құжаттар рұқсатсыз кіруден қорғауды қамтамасыз ететін құлыпталатын шкафтарда (сейфтерде) сақталады. Жұмыс күнінің соңында клиенттердің дербес деректері бар барлық құжаттар рұқсатсыз кіруден қорғауды қамтамасыз ететін шкафтарға (сейфтерге) орналастырылады.
5.4.4. Клиенттердің дербес деректерін қамтитын электрондық деректер базасына қол жеткізуді қорғау қамтамасыз етіледі:
* Оператордың жергілікті желісіне рұқсатсыз кіруге жол бермейтін лицензияланған антивирустық және хакерлікке қарсы бағдарламаларды пайдалану арқылы жүзеге асырылады.
* Есептік жазбаны пайдалану арқылы қол жеткізу құқықтарының аражігін ажырату арқылы.
* Екі сатылы пароль жүйесі: жергілікті компьютерлік желі деңгейінде және мәліметтер базасы деңгейінде. Құпия сөздерді оператордың жүйелік әкімшісі орнатады және клиенттердің жеке деректеріне қол жеткізе алатын қызметкерлерге жеке хабарлайды.
5.4.4.1. Клиенттердің дербес деректері бар ДК-ге рұқсатсыз кіру жүйелік әкімші орнататын және жария етуге жатпайтын парольмен бұғатталады.
5.4.4.2. Клиенттердің жеке деректері бар барлық электрондық қалталар мен файлдар оператордың компьютерге жауапты қызметкері орнататын және жүйелік әкімшіге хабарланатын құпия сөзбен қорғалады.
5.4.4.3. Жүйелік әкімшінің құпия сөздерді өзгертуі 3 айда кемінде 1 рет жүзеге асырылады.
5.4.5. Клиенттің дербес деректерін көшіруге және үзінді көшірме жасауға оператордың бас директорының жазбаша рұқсатымен тек қызметтік мақсатта ғана рұқсат етіледі.
5.4.6. Клиенттердің дербес деректері туралы басқа ұйымдар мен мекемелердің жазбаша сұрауларына жауаптар, егер Қазақстан заңнамасында өзгеше белгіленбесе, клиенттің өзінің жазбаша келісімімен ғана беріледі. Жауаптар жазбаша түрде, оператордың бланкісінде және Клиенттің дербес деректерінің артық көлемін жария етпеуге мүмкіндік беретін көлемде ресімделеді.
6. Жеке деректерді бұғаттау, иесіздендіру, жою
6.1. Дербес деректерді бұғаттау және бұғаттан шығару тәртібі:
6.1.1. Клиенттердің дербес деректерін бұғаттау Клиенттің жазбаша өтінішінен жүзеге асырылады.
6.1.2. Жеке деректерді бұғаттау мыналарды білдіреді:
6.1.2.1. Жеке деректерді өңдеуге тыйым салу.
6.1.2.2. Дербес деректерді кез келген құралдармен (e-mail, ұялы байланыс, материалдық тасымалдаушылар) таратуға тыйым салу.
6.1.2.3. Жаппай таратылымдарда (sms, e-mail, пошта) дербес деректерді пайдалануға тыйым салу.
6.1.2.4. Клиентке қатысты және оның дербес деректері бар қағаз құжаттарды оператордың ішкі құжат айналымынан алып қою және оларды пайдалануға тыйым салу.
6.1.3. Егер бұл Қазақстан Республикасының заңнамасын сақтау үшін талап етілсе, Клиенттің дербес деректерін бұғаттау уақытша алынып тасталуы мүмкін.
6.1.4. Клиенттің дербес деректерінің құлпын ашу оның жазбаша келісімімен (келісім алу қажет болған жағдайда) немесе клиенттің өтінішімен жүзеге асырылады.
6.1.5. Клиенттің өзінің дербес деректерін өңдеуге қайта келісуі (қажет болған жағдайда оны алу) оның дербес деректерінің құлпын ашуға әкеп соғады.
6.2. Дербес деректерді иесіздендіру және жою тәртібі:
6.2.1. Клиенттің дербес деректерін иесіздендіру барлық шарттық қатынастар аяқталған және соңғы шарт аяқталған күннен бастап кемінде 5 жыл өткен жағдайда Клиенттің жазбаша өтініші бойынша жүргізіледі.
6.2.2. Иесіздендіру кезінде ақпараттық жүйелердегі Дербес деректер таңбалар жиынтығымен ауыстырылады, оған сәйкес дербес деректердің нақты клиентке тиесілігін анықтау мүмкін емес.
6.2.3. Құжаттардың қағаз тасығыштары дербес деректерді иесіздендіру кезінде жойылады.
6.2.4. Оператор әзірлеушінің аумағында Ақпараттық жүйелерді сынау қажет болған кезде дербес деректерге қатысты құпиялылықты қамтамасыз етуге және әзірлеушіге берілетін ақпараттық жүйелерде дербес деректерді иесіздендіруді жүргізуге міндетті.
6.2.5. Клиенттің дербес деректерін жою Клиенттің дербес деректеріне қандай да бір қолжетімділікті тоқтатуды білдіреді.
6.2.6. Клиенттің дербес деректері жойылған кезде оператордың қызметкерлері ақпараттық жүйелерде субъектінің дербес деректеріне қол жеткізе алмайды.
6.2.7. Құжаттардың қағаз тасығыштары Дербес деректер жойылған кезде жойылады, ақпараттық жүйелердегі Дербес деректер иесіздендіріледі. Дербес деректер қалпына келтіруге жатпайды.
6.2.8. Дербес деректерді жою операциясы қайтымсыз.
6.2.9. Клиенттің дербес деректерін жою операциясы мүмкін болатын мерзім осы Ереженің 7.3-тармағында көрсетілген мерзімнің аяқталуымен айқындалады.
7. Дербес деректерді беру және сақтау
7.1. Дербес деректерді беру:
7.1.1. Субъектінің дербес деректерін беру деп байланыс арналары арқылы және материалдық жеткізгіштерде ақпаратты тарату түсініледі.
7.1.2. Дербес деректерді беру кезінде оператордың қызметкерлері мынадай талаптарды сақтауы тиіс:
7.1.2.1. Коммерциялық мақсатта Клиенттің дербес деректерін хабарлауға болмайды.
7.1.2.2. Қазақстан Республикасының Заңында белгіленген жағдайларды қоспағанда, Клиенттің дербес деректерін Клиенттің жазбаша келісімінсіз үшінші Тарапқа хабарлауға болмайды.
7.1.2.3. Клиенттің дербес деректерін алатын адамдарға бұл деректер олар хабарланған мақсаттарда ғана пайдаланылуы мүмкін екендігі туралы ескерту және осы адамдардан осы Ереженің сақталғанын растауды талап ету;
7.1.2.4. Клиенттердің дербес деректеріне тек арнайы уәкілетті тұлғаларға қол жеткізуге рұқсат беру, бұл ретте аталған тұлғалар нақты функцияларды орындау үшін қажетті клиенттердің дербес деректерін ғана алуға құқылы болуы тиіс.
7.1.2.5. Осы Ережеге, нормативтік-технологиялық құжаттамаға және лауазымдық нұсқаулықтарға сәйкес Оператор шегінде клиенттің дербес деректерін беруді жүзеге асыру.
7.1.2.6. Клиенттің өтініш берген кезде немесе клиенттің сұрауын алған кезде клиенттің өзінің дербес деректеріне қол жеткізуін қамтамасыз ету. Оператор клиентке ол туралы дербес деректердің болуы туралы ақпаратты хабарлауға, сондай-ақ олармен жүгінген сәттен бастап он жұмыс күні ішінде танысу мүмкіндігін беруге міндетті.
7.1.2.7. Клиенттің дербес деректерін заңнамада және нормативтік-технологиялық құжаттамада белгіленген тәртіппен клиенттің өкілдеріне беру және бұл ақпаратты аталған өкілдердің өз функцияларын орындауы үшін қажетті субъектінің дербес деректерімен ғана шектеу.
7.1.2.8. Клиенттердің берілген дербес деректерін есепке алу журналын жүргізуді қамтамасыз ету, онда клиенттердің дербес деректері берілген тұлға туралы мәліметтер, дербес деректерді беру күні немесе дербес деректерді беруден бас тарту туралы хабарлама күні жазылады, сондай-ақ нақты қандай ақпарат берілгені белгіленеді (№1 қосымша Нысаны бойынша).
7.2. Дербес деректерді сақтау және пайдалану:
7.2.1. Жеке деректерді сақтау деп ақпараттық жүйелерде және материалдық тасымалдағыштарда жазбалардың болуы түсініледі.
7.2.2. Клиенттердің дербес деректері ақпараттық жүйелерде, сондай-ақ операторда қағаз тасымалдағыштарда өңделеді және сақталады. Клиенттердің дербес деректері электрондық түрде де сақталады: оператордың жергілікті компьютерлік желісінде, Бас директордың және клиенттердің дербес деректерін өңдеуге жіберілген қызметкерлердің компьютеріндегі электрондық папкалар мен файлдарда.
7.2.3. Клиенттің дербес деректерін сақтау, егер Қазақстан Республикасының заңдарында өзгеше көзделмесе, өңдеу мақсаттары талап еткеннен ұзағырақ жүзеге асырылуы мүмкін.
7.3. Дербес деректерді сақтау мерзімдері:
7.3.1. Клиенттердің дербес деректерін қамтитын, сондай-ақ оларды жасасуға, құжаттардың орындалуына ілеспе азаматтық - құқықтық шарттарды сақтау мерзімдері-шарттардың қолданысы аяқталған сәттен бастап 5 жыл.
7.3.2. Сақтау мерзімі ішінде дербес деректерді иесіздендіруге немесе жоюға болмайды.
7.3.3. Сақтау мерзімі өткеннен кейін Дербес деректер ақпараттық жүйелерде иесіздендірілуі және Қазақстан Республикасының ережесінде және қолданыстағы заңнамасында белгіленген тәртіппен қағаз жеткізгіште жойылуы мүмкін.
8. Дербес деректер операторының құқықтары
Оператор құқылы:
8.1. Сотта өз мүдделерін қорғау.
8.2. Егер бұл қолданыстағы заңнамада (салық, құқық қорғау органдары және т.б.) немесе клиентпен келісімде көзделсе, клиенттердің дербес деректерін үшінші тұлғаларға ұсыну.
8.3. Қазақстан Республикасының заңнамасында көзделген жағдайларда дербес деректерді беруден бас тартылсын.
8.4. Қазақстан Республикасының заңнамасында көзделген жағдайларда клиенттің дербес деректерін оның келісімінсіз пайдалану.
9. Клиенттің Құқықтары
Клиент құқылы:
9.1. Егер дербес деректер толық емес, ескірген, дұрыс емес, заңсыз алынған немесе мәлімделген өңдеу мақсаты үшін қажет болып табылмаса, өзінің дербес деректерін нақтылауды, оларды бұғаттауды немесе жоюды талап етуге, сондай-ақ өз құқықтарын қорғау жөнінде заңда көзделген шараларды қабылдауға;
9.2. Операторда бар өңделетін дербес деректердің тізбесін және оларды алу көзін талап ету.
9.3. Дербес деректерді өңдеу мерзімдері, оның ішінде оларды сақтау мерзімдері туралы ақпарат алу.
9.4. Бұрын оның дербес деректері дұрыс емес немесе толық емес деп хабарланған барлық адамдарға оларда жасалған барлық ерекшеліктер, түзетулер немесе толықтырулар туралы хабарлауды талап ету.
9.5. Дербес деректер субъектілерінің құқықтарын қорғау жөніндегі уәкілетті органға немесе оның дербес деректерін өңдеу кезінде заңсыз әрекеттерге немесе әрекетсіздікке сот тәртібімен шағымдануға.
10. Дербес деректерді өңдеуді және қорғауды реттейтін нормаларды бұзғаны үшін жауапкершілік
10.1. Дербес деректерді алуды, өңдеуді және қорғауды реттейтін нормалардың бұзылуына кінәлі оператордың қызметкерлері Қазақстан Республикасының қолданыстағы заңнамасына және оператордың ішкі жергілікті актілеріне сәйкес тәртіптік, әкімшілік, азаматтық-құқықтық немесе қылмыстық жауаптылықта болады.
© Желдету жүйесін өндіруші
ЖШС "Norvind " Қазақстанда
ЖШС "Norvind " Қазақстанда
Сайтты әзірлеу
Бөлімдер
Байланыс