1. Область применения

Настоящий документ «Политика конфиденциальности ТОО «КПЕ Центр разработки (Казахстан)» (далее – «Политика») принята в соответствии с пунктом 2 статьи 25 Закона Республики Казахстан «О персональных данных и их защите» и действует в ТОО «КПЕ Центр разработки (Казахстан)» (далее – «Компания»), зарегистрированном по адресу: Казахстан, город Алматы, Проспект Аль-Фараби, здание 77/2, почтовый индекс: 050040.

2. Используемые определения

Персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.
Сбор персональных данных – действия, направленные на получение персональных данных.
Уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные.
Оператор базы, содержащей персональные данные (далее – «оператор»), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных.
Защита персональных данных – комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите».
Обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно.
Обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.
Использование персональных данных – действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица.
Хранение персональных данных – действия по обеспечению целостности, конфиденциальности и доступности персональных данных.
Распространение персональных данных – действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом.
Накопление персональных данных – действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные.
Третье лицо – лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных.
Пользователь – физическое лицо, к которому относятся персональные данные, использующее Сервисы Компании.
Сервисы Компании – приложения, службы, продукты и услуги Компании, обеспечивающие информационное взаимодействие Компании и третьих лиц с Пользователями при доступе к персональным данным.

3. Общие положения

3.1. Настоящая Политика определяет порядок обработки персональных данных, которые Пользователь предоставляет Компании при использовании Сервисов Компании, а также определяет необходимые меры Компании, в том числе правовые, организационные и технические, для защиты персональных данных. Компания осуществляет сбор, обработку и защиту персональных данных Пользователей в полном соответствии с настоящей Политикой, Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите», иными законами и нормативными актами Республики Казахстан.
3.2. Настоящая Политика регулирует отношения между Компанией и Пользователем, связанные со сбором, обработкой и защитой его персональных данных.
3.3. Настоящая Политика распространяется на персональные данные, которые Пользователь предоставляет Компании при использовании Сервисов Компании. При обработке полученных персональных данных Компания выступает в качестве Оператора.
3.4. Используя Сервисы Компании и предоставляя Компании свои персональные данные, Пользователь подтверждает, что действует добровольно и дает конкретное информированное и сознательное согласие на обработку персональных данных в соответствии с данной Политикой. Обработка персональных данных Пользователя осуществляется Компанией исключительно на основании его согласия. Пользователь дает согласие на сбор, обработку персональных данных письменно, посредством Сервиса Компании, либо иным способом, позволяющим подтвердить получение согласия. Данное положение применимо ко всем случаям, установленным в настоящей Политике, при наступлении которых требуется письменное согласие Пользователя.
3.5. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии с Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите».

4. Порядок действия Политики конфиденциальности и внесения в нее изменений

4.1. Политика вступает в силу с даты ее утверждения Компанией, срок ее действия неограничен. Действующая Политика признается недействительной после публикации ее новой редакции, утвержденной Компанией.
4.2. Действующая редакция Политики, являющаяся публичным документом, доступна любому Пользователю Компании при использовании Сервисов Компании. Компания вправе вносить изменения в Политику, которые не противоречат законодательству Республики Казахстан. Размещение новой редакции Политики после ее утверждения является уведомлением Пользователей Сервисов Компании о внесенных в Политику изменениях.

5. Условия и цели обработки персональных данных

5.1. Компания обрабатывает персональные данные исключительно для тех целей, для которых они были представлены, в том числе для:
- оформления анкет кандидатов на замещение вакантных должностей;
- направления Пользователю уведомлений, запросов и информации от Компании;
- участие Пользователя в обучающих мероприятиях (предоставление необходимого доступа для участия в обучающих мероприятиях, направление предложений и рекомендаций по результатам участия в обучающих мероприятиях);
- обработки запросов Пользователя, предоставления ответов и коммуникации с Пользователем, когда Пользователь обращается в Компанию.
5.2.Компания не размещает персональные данные Пользователя в общедоступных источниках. Компания не принимает решений, порождающих для Пользователя юридические последствия или иным образом затрагивающих права Пользователя и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
5.3.Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.4. На основании проведенного анализа собственник и (или) оператор по форме, согласно приложению к Правилам определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, утвержденным Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 июня 2023 года № 199/НҚ, определяют перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач с указанием целей их сбора и обработки в рамках задач.

6. Состав персональных данных

Для обеспечения реализации целей, указанных в разделе 5 настоящей Политики, обрабатываются следующие персональные данные, которые Пользователь предоставляет Компании при заполнении информационных полей Сервиса Компании:
- персональные данные, которые Пользователь предоставляет Компании при заполнении анкет кандидатов на замещение вакантных должностей (ФИО; страна проживания; стек, с которым работает; адрес электронной почты; номер телефона; документ, удостоверяющий личность (ИИН, когда и кем выдан) дата рождения; место рождения; адрес регистрации по месту жительства; адрес фактического проживания; гражданство; опыт работы (наименование организации, должность, период работы); сведения об образовании (уровень образования, учебное заведение, факультет, специальность, период обучения, форма обучения, документ об образовании), дополнительное образование (наименование курса/семинара/тренинга/сертификации, город обучения, период обучения, документ о дополнительном образовании); сведения о наличии/отсутствии инвалидности; сведения о факте прохождения службы в армии; сведения о наличии/отсутствии гражданской, административной, уголовной ответственности; сведения об участии в работе каких-либо организаций всех форм собственности (ИП, АО, ТДО, ТОО).
- персональные данные, которые Пользователь предоставляет Компании при регистрации для участия в организуемых Компанией акциях, конкурсах, опросах, исследованиях и иных мероприятиях (город проживания; сфера деятельности; компания; занимаемая должность);
- персональные данные, которые Пользователь предоставляет Компании при заполнении форм (анкет) для участия в обучающих мероприятиях (предоставление необходимого доступа для участия в обучающих мероприятиях, направление предложений и рекомендаций по результатам участия в обучающих мероприятиях) (ФИО, контактный номер телефона, адрес электронной почты, страна проживания, город, дата рождения, сведения об образовании (наименование учебного заведения, факультет, специализация, год выпуска);
- техническую документацию, которая автоматически передается с устройства Пользователя (файлы cookie и аналогичные технологии для обеспечения работы своих Сервисов и сбора аналитических данных);
Компания исходит из того, что информация, которую Пользователь предоставляет, является достоверной и достаточной. Компания не проверяет достоверность предоставляемой персональной информации. Последствия предоставления недостоверной или недостаточной информации определяются условиями использования Сервисов Компании, правилами и условиями проведения мероприятий, предоставления услуг.
Обработка специальных категорий персональных данных, касающихся расовой принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, а также иных персональных данных, объем которых являются избыточными по отношению к целям их обработки, в Компании не осуществляется.
Запрещаются сбор, обработка копий документов, удостоверяющих личность, на бумажном носителе, за исключением случаев отсутствия интеграции с объектами информатизации государственных органов и (или) государственных юридических лиц, невозможности идентификации субъекта с использованием технологических средств, а также в иных случаях, предусмотренных законами Республики Казахстан.
Исключительные случаи сбора, обработки копий документов, удостоверяющих личность, на бумажном носителе, не распространяются на использование и представление документов, удостоверяющих личность, формируемых посредством сервиса цифровых документов.

7. Перечень действий с персональными данными и способ их обработки

Компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление), обезличивание, блокирование, удаление и уничтожение персональных данных.
Обработка персональных данных в Компании ведется смешанным образом: с использованием средства автоматизации и без. В случае возникновения необходимости, трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения государствами защиты персональных данных
(в соответствии с частью 2 статьи 16 Закона Республики Казахстан от 21 мая 2013 года № 94-V
«О персональных данных и их защите»). Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться при наличии согласия субъекта или его законного представителя на трансграничную передачу его персональных данных (в соответствии с частью 3 статьи 16 Закона Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите»).

8. Права Пользователя

Обеспечение защиты прав Пользователя и свобод в сфере персональных данных – важнейшее условие, соблюдаемое Компанией при обработке персональных данных. Чтобы обеспечить защиту прав и свобод Пользователя по просьбе Пользователя, Компания, в срок, установленный законодательством Республики Казахстан:
- подтвердит, обрабатывает ли Компания персональные данные Пользователя и предоставит Пользователю возможность ознакомиться с ними, если это не противоречит требованиям законодательства Республики Казахстан, не нарушает права и законные интересы третьих лиц;
- сообщит Пользователю о составе его персональных данных, которые Компания обрабатывает, об источнике их получения, если иной порядок предоставления таких данных не предусмотрен законом;
- сообщит Пользователю о правовых основаниях, целях, сроках, и способах обработки персональных данных Пользователя;
- внесет необходимые изменения в персональные данные Пользователя, если Пользователь подтвердит, что они неполные, неточные или неактуальные, и уведомит Пользователя о внесенных изменениях;
- уведомит Пользователя о порядке осуществления его прав при обработке Компанией персональных данных Пользователя;
- прекратит обработку персональных данных Пользователя по причине получения отзыва согласия, если для дальнейшей обработки персональных данных не будет правовых оснований, предусмотренных законодательством Республики Казахстан;
- прекратит обработку персональных данных Пользователя, если будет подтверждено, что Компания их обрабатывает неправомерно, и уведомит Пользователя о предпринятых мерах;
- блокирует персональные данные Пользователя, если Пользователь заявляет о неправомерной обработке персональных данных либо о неточности персональных данных на период проверки, если блокирование персональных данных не нарушает права и законные интересы Пользователя;
- уничтожит персональные данные Пользователя, если будет подтверждено, что они незаконно получены или не соответствуют заявленным целям обработки;
- ответит на вопросы Пользователя, касающиеся его персональных данных, которые Компания обрабатывает;
- в случае отказа в предоставлении информации Пользователю представит мотивированный ответ;
- представит доказательство о получении согласия Пользователя на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан.

9. Накопление, хранение и уничтожение персональных данных

Компания производит накопление персональных данных в объеме необходимом и достаточном для осуществления целей их предоставления Пользователем.
Хранение персональных данных осуществляется Компания в базе, находящейся на территории Республики Казахстан.
Персональные данные Пользователей подлежат уничтожению Компанией:
- сразу после достижения целей их сбора и обработки либо в случае утраты необходимости в достижении этих целей;
- при прекращении правоотношений между Компанией и Пользователем;
- по требованию Пользователя, если обрабатываемые персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки невозможно;
- при выявлении сбора и обработки персональных данных без согласия Пользователя;
- по истечении срока действия согласия Пользователя на обработку персональных данных или в случае отзыва Пользователем такого согласия;
- в случае ликвидации Компании;
- в иных случаях, установленных законодательством Республики Казахстан.
Компания обеспечивает конфиденциальность персональных данных ограниченного доступа путем соблюдения требований допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания.

10. Безопасность и защита персональных данных

10.1.Для обеспечения безопасности персональных данных Пользователя при их обработке Компания принимает необходимые и достаточные правовые, организационные, физические и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. В целях обеспечения адекватной защиты персональных данных Пользователя Компания проводит оценку вреда, который может быть причинен в случае нарушения безопасности персональных данных Пользователя, а также определяет актуальные угрозы безопасности персональных данных Пользователя при их обработке в информационных системах персональных данных.
10.2.Компания своим приказом, из числа своих сотрудников, назначает лицо, ответственное за сбор, обработку и хранение персональных данных Пользователя.
10.3.Компания хранит информацию, которую собирает, в течение срока, который необходим, за исключением случаев, когда законом требуется или разрешен более длительный срок хранения.
10.4.В Компании применяется порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта, предусмотренный настоящей Политикой.
10.5.В Компании утверждается перечень лиц, имеющих доступ к персональным данным ограниченного доступа.
10.6.Компания осуществляет оповещение уполномоченного органа об инцидентах информационной безопасности, связанным с незаконным доступом к персональным данным ограниченного доступа, в порядке и случаях, предусмотренных законодательством.
10.7.Компания обеспечивает установку достаточных средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа.
10.8.В Компании, в случаях, предусмотренных законодательством, ведется журнал событий систем управления базами при обработке персональных данных ограниченного доступа, а также журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа. Ведение журналов, указанных в настоящем пункте Политики, может осуществляться в электронной либо иных формах, по усмотрению Компании.
10.9.В Компании применяются достаточные и надежные средства контроля целостности персональных данных ограниченного доступа.
10.10.Передача персональных данных ограниченного доступа иным лицам в Компании допускается только по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных.
10.11.Компания обеспечивает применение надлежащих и достаточных средств и способов идентификации и (или) аутентификации пользователей при работе с персональными данными ограниченного доступа.

11. Порядок внесения изменений в политику

Компания оставляет за собой право изменять и обновлять Политику по мере необходимости без предварительного уведомления Пользователя. Компания рекомендует Пользователю периодически проверять актуальность данной Политики. Продолжая пользоваться Сервисами Компании после изменения Политики, Пользователь подтверждает согласие с внесенными изменениями. В случае если отдельное положение настоящей Политики будет признано или объявлено недействительным или незаконным, такое положение не подлежит применению в той мере, в которой оно является недействительным или не имеющим законной силы, что не влияет на действительность и юридическую силу самой Политики и прочих ее положений.

12. Связь с Компанией

Пользователь может обратиться в Компанию с запросом, касающимся обработки его персональных данных, направив в Компанию письмо (предпочтительно с указанием темы обращения, например, «Запрос о персональных данных» либо «Запрос об изменении персональных данных» если Пользователь хочет изменить какие-то данные о себе, либо «Отзыв согласия на обработку персональных данных» в случае отзыва согласия на обработку персональных данных) на адрес электронной почты: info@kpecom.kz.

13. Контроль

В Компании осуществляется пересмотр настоящей Политики работниками Компании в случаях изменения законодательства Республики Казахстан в области персональных данных или производственных процессов Компании.

14. Ответственность

Положения настоящей Политики являются обязательными для исполнения всеми работниками Компании, имеющими доступ к персональным данным и/или участвующими в организации процессов обработки и обеспечения безопасности персональных данных. Ответственность за нарушение требований настоящей Политики определяется в соответствии с действующим законодательством Республики Казахстан.