Политика конфиденциальности

Политика в отношении обработки персональных данных

Настоящая политика обработки персональных данных составлена в соответствии с требованиями Закона РК от 21.05.2013 г. № 94-V «О персональных данных и их защите» (далее — Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ТОО «Центр молекулярной медицины» (далее — Оператор).

1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее — Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://cmm.kz.

   ОБЩИЕ ПОЛОЖЕНИЯ

Основные понятия, используемые в политике

      Используются следующие основные понятия:

      1) биометрические данные – персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность;

      2) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

      2-1) государственный сервис контроля доступа к персональным данным (далее – государственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;

      2-2) негосударственный сервис контроля доступа к персональным данным (далее – негосударственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных при доступе к персональным данным, содержащимся в негосударственных объектах информатизации, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;

      3) блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;

      4) накопление персональных данных – действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;

      5) сбор персональных данных – действия, направленные на получение персональных данных;

      6) уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные;

      7) обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;

      8) база, содержащая персональные данные (далее – база), – совокупность упорядоченных персональных данных;

       9) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные; 

      10) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      11) защита персональных данных – комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных Законом РК «О персональных данных их защите»;

      11-1) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;

       12) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

      13) использование персональных данных – действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;

      14) хранение персональных данных – действия по обеспечению целостности, конфиденциальности и доступности персональных данных;

      15) распространение персональных данных – действия, в результате совершения которых происходит передача персональных данных, в том числе посредством масс-медиа, или предоставление доступа к персональным данным каким-либо иным способом;

      15-1) нарушение безопасности персональных данных – нарушение защиты персональных данных, повлекшее незаконное распространение, изменение и уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к ним;

      16) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные;

      17) третье лицо – лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных.

СБОР И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

Доступность персональных данных

      Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.

      Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.

      Сведения о субъекте, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, исключаются из общедоступных источников персональных данных в течение одного рабочего дня по требованию субъекта или его законного представителя либо по решению суда или иных уполномоченных государственных органов.

      При этом расходы, возникающие при уничтожении персональных данных с общедоступных источников персональных данных, возлагаются на собственника и (или) оператора, третье лицо.

      Объем расходов, возникающих при отзыве согласия субъекта или его законного представителя на распространение его персональных данных в общедоступных источниках персональных данных, связанных с уничтожением персональных данных с общедоступных источников персональных данных, а также лица, на которые возлагаются данные расходы, в случае возникновения необходимости определяются в судебном порядке.

      Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан.

Условия сбора, обработки персональных данных и особенности сбора, обработки персональных данных из общедоступных источников

       1. Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом уполномоченным органом, за исключением случаев, предусмотренных пунктом 5 настоящей статьи и статьей 9 Закона РК «О персональных данных их защите»;

      2. Сбор, обработка персональных данных умершего (признанного судом безвестно отсутствующим или объявленного умершим) субъекта осуществляются в соответствии с законодательством Республики Казахстан.

      3. Распространение персональных данных в общедоступных источниках допускается при наличии согласия субъекта или его законного представителя.

       4. Требования пункта 3 настоящей статьи не распространяются на обладателей информации в случаях публикации информации, обязанность размещения которой установлена законами Республики Казахстан.

       5. Допускается повторный сбор, обработка и распространение третьими лицами персональных данных, опубликованных на основании пунктов 3 и 4 настоящей статьи, при условии наличия ссылки на источник информации.

       6. Обработка персональных данных в виде трансграничной передачи персональных данных, за исключением случаев, предусмотренных статьей 16 настоящего Закона, распространения персональных данных в общедоступных источниках, а также их передачи третьим лицам осуществляется при условии согласия субъекта.

      7. Особенности сбора, обработки персональных данных в электронных информационных ресурсах, содержащих персональные данные, устанавливаются в соответствии с законодательством Республики Казахстан об информатизации с учетом положений настоящего Закона.

      8. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

      9. Не подлежат обработке персональные данные, содержание и объем которых являются избыточными по отношению к целям их обработки.

      10. Запрещаются сбор, обработка копий документов, удостоверяющих личность, на бумажном носителе, за исключением случаев отсутствия интеграции с объектами информатизации государственных органов и (или) государственных юридических лиц, невозможности идентификации субъекта с использованием технологических средств, а также в иных случаях, предусмотренных законами Республики Казахстан.

      Исключительные случаи сбора, обработки копий документов, удостоверяющих личность, на бумажном носителе, предусмотренные частью первой настоящего пункта, не распространяются на использование и представление документов, удостоверяющих личность, формируемых посредством сервиса цифровых документов.

Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных

      1. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия.

      При сборе и (или) обработке персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц, согласие предоставляется посредством государственного сервиса.

      2. Субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства.

      4. Согласие на сбор и обработку персональных данных включает:

      1) наименование (фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность), бизнес-идентификационный номер (индивидуальный идентификационный номер) оператора;

      2) фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность) субъекта;

      3) срок или период, в течение которого действует согласие на сбор, обработку персональных данных;

      4) сведения о возможности оператора или ее отсутствии передавать персональные данные третьим лицам;

      5) сведения о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки;

      6) сведения о распространении персональных данных в общедоступных источниках;

      7) перечень собираемых данных, связанных с субъектом;

      8) иные сведения, определяемые собственником и (или) оператором.

Негосударственный сервис

      1. Собственники и (или) операторы, третьи лица в целях оптимизации процедур по получению согласия субъекта или его законного представителя на сбор и (или) обработку персональных данных в случае отсутствия взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, вправе использовать негосударственные сервисы.

      2. Посредством негосударственного сервиса обеспечиваются:

      1) предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку персональных данных;

      2) уведомление субъекта о действиях с его персональными данными (просмотр, изменение, дополнение, передача, блокирование, уничтожение);

      3) уведомление субъекта о доступе третьих лиц к его персональным данным.

Сбор, обработка персональных данных без согласия субъекта

      Сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях:

      1) осуществления деятельности правоохранительных органов, судов и иных уполномоченных государственных органов, которые возбуждают и рассматривают дела об административных правонарушениях, исполнительного производства;

      2) осуществления государственной статистической деятельности;

     3) использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;

      4) реализации международных договоров, ратифицированных Республикой Казахстан;

      5) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно;

      5-1) осуществления единым накопительным пенсионным фондом деятельности, связанной с открытием пенсионных счетов, предоставлением информации о сумме пенсионных накоплений, а также об условных пенсионных счетах;

      6) в иных случаях, установленных законами Республики Казахстан.

      Доступ к персональным данным

      1. Доступ к персональным данным определяется условиями согласия субъекта или его законного представителя, предоставленного собственнику и (или) оператору на их сбор и обработку, если иное не предусмотрено законодательством Республики Казахстан.

      Доступ к персональным данным должен быть запрещен, если собственник и (или) оператор, и (или) третье лицо отказываются принять на себя обязательства по обеспечению выполнения требований настоящего Закона или не могут их обеспечить.

       2. Обращение (запрос) субъекта или его законного представителя относительно доступа к своим персональным данным подается собственнику и (или) оператору письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан. 

      3. Отношения между собственником и (или) оператором, и (или) третьим лицом относительно доступа к персональным данным регулируются законодательством Республики Казахстан.

      4. Третьи лица могут получать персональные данные, содержащиеся в объектах информатизации государственных органов и (или) государственных юридических лиц, через веб-портал «электронного правительства» при условии согласия субъекта, подтвержденного через государственный сервис.

Конфиденциальность персональных данных

      1. Собственники и (или) операторы, а также третьи лица, получающие доступ к персональным данным ограниченного доступа, обеспечивают их конфиденциальность путем соблюдения требований не допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания.

      2. Лица, которым стали известны персональные данные ограниченного доступа в связи с профессиональной, служебной необходимостью, а также трудовыми отношениями, обязаны обеспечивать их конфиденциальность.

     3. Конфиденциальность биометрических данных устанавливается законодательством Республики Казахстан.

Накопление и хранение персональных данных

       1. Накопление персональных данных производится путем сбора персональных данных, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом. 

      2. Хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, находящейся на территории Республики Казахстан.

      Срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством Республики Казахстан.

Изменение и дополнение персональных данных 

      Изменение и дополнение персональных данных осуществляются собственником и (или) оператором на основании обращения (запроса) субъекта или его законного представителя либо в иных случаях, предусмотренных законами Республики Казахстан.

Использование персональных данных

      Использование персональных данных должно осуществляться собственником, оператором и третьим лицом только для ранее заявленных целей их сбора.

Распространение персональных данных

      1. Распространение персональных данных допускается при условии согласия субъекта или его законного представителя, если при этом не затрагиваются законные интересы иных физических и (или) юридических лиц.

      2. Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.

Трансграничная передача персональных данных 

       1. Трансграничная передача персональных данных – передача персональных данных на территорию иностранных государств. 

      2. В соответствии с настоящим Законом трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения этими государствами защиты персональных данных.

      3. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:

      1) наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных;

      2) предусмотренных международными договорами, ратифицированными Республикой Казахстан;

      3) предусмотренных законами Республики Казахстан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения;

      4) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно.

      4. Трансграничная передача персональных данных на территорию иностранных государств может быть запрещена или ограничена законами Республики Казахстан.

      5. Особенности трансграничной передачи служебной информации об абонентах и (или) пользователях услуг связи определяются Законом Республики Казахстан «О связи».

Обезличивание персональных данных

      1. При сборе, обработке персональных данных для проведения статистических, социологических, научных, маркетинговых исследований собственник и (или) оператор, а также третье лицо, передающие персональные данные, обязаны их обезличить в соответствии с правилами сбора, обработки персональных данных.

      2. При сборе, обработке персональных данных для осуществления аналитики данных в целях реализации государственными органами деятельности обезличивание персональных данных осуществляется оператором информационно-коммуникационной инфраструктуры «электронного правительства» в соответствии с требованиями по управлению данными, за исключением случаев, когда обезличивание персональных данных произведено собственником и (или) оператором.

      Уничтожение персональных данных

       Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом: 

       1) по истечении срока хранения в соответствии с пунктом 2 статьи 12 настоящего Закона; 

      2) при прекращении правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом;

       3) при вступлении в законную силу решения суда; 

       3-1) при выявлении сбора и обработки персональных данных без согласия субъекта или его законного представителя, за исключением случаев, предусмотренных пунктом 5 статьи 7 и статьей 9 настоящего Закона;

      4) в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан.

Сообщение о действиях с персональными данными

       1. При наличии условия об уведомлении субъекта о передаче его персональных данных третьему лицу собственник и (или) оператор в течение десяти рабочих дней уведомляют об этом субъекта или его законного представителя, если иное не предусмотрено законами Республики Казахстан. 

       2. Требования пункта 1 настоящей статьи не распространяются на случаи: 

      1) выполнения государственными органами своих функций, предусмотренных законодательством Республики Казахстан, а также осуществления деятельности частными нотариусами, частными судебными исполнителями и адвокатами;

      2) осуществления сбора и обработки персональных данных в статистических, социологических или научных целях.

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Гарантия защиты персональных данных

      1. Персональные данные подлежат защите, которая гарантируется государством и осуществляется в порядке, определяемом уполномоченным органом.

       2. Сбор и обработка персональных данных осуществляются только в случаях обеспечения их защиты. 

Цели защиты персональных данных 

      Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:

      1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;

      2) обеспечения их целостности и сохранности;

      3) соблюдения их конфиденциальности;

      4) реализации права на доступ к ним;

      5) предотвращения незаконного их сбора и обработки.

Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных 

      1. Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных в соответствии с настоящим Законом и порядком, определяемым уполномоченным органом, обеспечивающие:

      1) предотвращение несанкционированного доступа к персональным данным;

      2) своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;

      3) минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным;

      4) предоставление доступа государственной технической службе к объектам информатизации, использующим, хранящим, обрабатывающим и распространяющим персональные данные ограниченного доступа, содержащиеся в электронных информационных ресурсах, для осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах в порядке, определяемом уполномоченным органом.

       5) регистрацию и учет действий, предусмотренных подпунктами 3), 4), 5) и 6) пункта 4 статьи 8 настоящего Закона.

      2. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.

      Защита электронных информационных   ресурсов, содержащих персональные данные

      Особенности защиты электронных информационных ресурсов, содержащих персональные данные, осуществляются в соответствии с настоящим Законом и законодательством Республики Казахстан об информатизации.

ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА,
СОБСТВЕННИКА И (ИЛИ) ОПЕРАТОРА

Права и обязанности субъекта 

      1. Субъект имеет право:

       1) знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую: 

       подтверждение факта, цели, источников, способов сбора и обработки персональных данных; 

       перечень персональных данных; 

      сроки обработки персональных данных, в том числе сроки их хранения;

      2) требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;

      3) требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;

      4) требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;

       5) отозвать согласие на сбор, обработку, распространение в общедоступных источниках, передачу третьим лицам и трансграничную передачу персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 настоящего Закона;

      6) дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;

      7) на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;

      8) на осуществление иных прав, предусмотренных настоящим Законом и иными законами Республики Казахстан.

      2. Субъект обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.

Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных

      1. Собственник и (или) оператор имеют право осуществлять сбор, обработку персональных данных в порядке, установленном настоящим Законом и иными нормативными правовыми актами Республики Казахстан.

      2. Собственник и (или) оператор обязаны:

       1) утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан; 

      1-1) утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных;

      2) принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;

      3) соблюдать законодательство Республики Казахстан о персональных данных и их защите;

       3-1) предоставлять по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований настоящего Закона;

      4) принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;

       5) представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан; 

       6) по обращению субъекта сообщать информацию, относящуюся к нему, в сроки, предусмотренные законодательством Республики Казахстан; 

       7) в случае отказа в предоставлении информации субъекту или его законному представителю представить мотивированный ответ в сроки, предусмотренные законодательством Республики Казахстан; 

      8) в течение одного рабочего дня:

      изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;

      блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;

      уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;

      снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных;

      c момента обнаружения нарушения безопасности персональных данных уведомить уполномоченный орган о таком нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии);

      9) предоставлять безвозмездно субъекту или его законному представителю возможность ознакомления с персональными данными, относящимися к данному субъекту;

      10) назначить лицо, ответственное за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами.

      Действие подпункта 10) части первой настоящего пункта не распространяется на обработку персональных данных в деятельности судов.

      3. Лицо, ответственное за организацию обработки персональных данных, обязано:

      1) осуществлять внутренний контроль за соблюдением собственником и (или) оператором и его работниками законодательства Республики Казахстан о персональных данных и их защите, в том числе требований к защите персональных данных;

      2) доводить до сведения работников собственника и (или) оператора положения законодательства Республики Казахстан о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных;

      3) осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей.

Заключительные положения

1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты info@cmm.kz.

2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.