Политика обработки персональных данных в ТОО «ULAN MUSIC»
(для неограниченного доступа, опубликовано в соответствии с ч.2 ст.18.1 Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите»)
Общие положения
- Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ТОО «ULAN MUSIC» (далее ─ Компания) с целью обеспечение защиты прав и свобод человека и гражданина при сборе и обработке его персональных данных
- Политика обработки персональных данных в Компании (далее ─ Положение) разработана в соответствии с Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (далее ─ Закон № 94-V).
-
В настоящей Политике используются следующие термины и определения:
- персональные данные - сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
- блокирование персональных данных - действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
- накопление персональных данных - действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;
- сбор персональных данных - действия, направленные на получение персональных данных;
- уничтожение персональных данных - действия, в результате совершения которых невозможно восстановить персональные данные;
- обезличивание персональных данных - действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;
- база, содержащая персональные данные (далее - база), - совокупность упорядоченных персональных данных;
- оператор базы, содержащей персональные данные (далее - оператор), - государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
- защита персональных данных - комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных законом;
- обработка персональных данных - действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
- использование персональных данных - действия с персональными данными, направленные на реализацию целей деятельности оператора и третьего лица;
- хранение персональных данных - действия по обеспечению целостности, конфиденциальности и доступности персональных данных;
- распространение персональных данных - действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;
- субъект персональных данных (далее - субъект) - физическое лицо, к которому относятся персональные данные;
- третье лицо - лицо, не являющееся субъектом и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных.
- Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Компании с применением средств автоматизации и без применения таких средств.
- К настоящей Политике должен иметь доступ любой субъект персональных данных.
Принципы и условия обработки персональных данных
-
Обработка персональных данных в Компании осуществляется на основе следующих принципов:
- соблюдения конституционных прав и свобод человека и гражданина;
- законности;
- конфиденциальности персональных данных ограниченного доступа;
- равенства прав субъектов и операторов;
- обеспечения безопасности личности, общества и государства.
-
Компания обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Согласие может быть выражено в письменной форме или в форме электронного документа (в виде проставления знака V при регистрации на сайте). Субъект вправе дать согласие на сбор, обработку персональных данных через кабинет пользователя на веб-портале «электронного правительства», а также посредством зарегистрированного на веб-портале «электронного правительства» абонентского номера сотовой связи субъекта путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала «электронного правительства»;
- обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Республики Казахстан на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
- Компания и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом.
- Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом № 94-V.
-
Обработка Компанией биометрических данных, допускается в случаях, если:
- субъект персональных данных дал согласие на обработку своих биометрических данных;
- биометрических данных сделаны общедоступными субъектом персональных данных;
- обработка биометрических данных необходима для установления или осуществления прав субъекта биометрических данных или третьих лиц, а равно и в связи с осуществлением правосудия.
- Трансграничная передача персональных данных на территории иностранных государств может осуществляться Компанией только в случае обеспечения этими государствами защиты персональных данных.
-
Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:
- наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных;
- предусмотренных международными договорами, ратифицированными Республикой Казахстан;
- предусмотренных законами Республики Казахстан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения;
- защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно.
- Трансграничная передача персональных данных на территорию иностранных государств может быть запрещена или ограничена законами Республики Казахстан. До начала осуществления трансграничной передачи персональных данных Компания обязана убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
Права субъекта персональных данных
Субъект имеет право:
- принимать решение о предоставлении его персональных данных и дать согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем;
-
знать о наличии у оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
- подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
- перечень персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения;
- требовать от оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
- требовать от оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
- требовать от оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных нормативными правовыми актами Республики Казахстан;
- отозвать согласие на сбор, обработку персональных данных;
- дать согласие (отказать) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
- на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
- на осуществление иных прав, предусмотренных законами Республики Казахстан.
Права и обязанности оператора
- Оператор имеют право осуществлять сбор, обработку персональных данных в порядке, установленном законом.
-
Оператор обязаны:
- утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан;
- принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;
- соблюдать законодательство Республики Казахстан о персональных данных и их защите;
- принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных законом;
- представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;
- сообщать информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан;
- в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан;
-
в течение одного рабочего дня:
- изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
- блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
- уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных нормативными правовыми актами Республики Казахстан;
- снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных.
Обеспечение безопасности персональных данных
-
Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
- реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
- обеспечения их целостности и сохранности;
- соблюдения их конфиденциальности;
- реализации права на доступ к ним;
- предотвращения незаконного их сбора и обработки.
- Безопасность персональных данных, обрабатываемых Компанией, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.
-
Для целенаправленного создания в Компании неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий Компанией применяются следующие организационно─технические меры:
- назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
- ограничение и регламентация состава работников, имеющих доступ к персональным данным;
- ознакомление работников с требованиями законодательства и нормативных документов Компании по обработке и защите персональных данных;
- обеспечение учёта и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
- разработка на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем;
- проверка готовности и эффективности использования средств защиты информации;
- реализация разрешительной системы доступа пользователей к информационным ресурсам, программно─аппаратным средствам обработки и защиты информации;
- регистрация и учёт действий пользователей информационных систем персональных данных;
- парольная защита доступа пользователей к информационной системе персональных данных;
- применение средств контроля доступа к коммуникационным портам, устройствам ввода─вывода информации, съёмным машинным носителям и внешним накопителям информации;
- применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи и хранении на машинных носителях информации;
- осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ─вирусов) и программных закладок;
- применение межсетевого экранирования;
- обнаружение вторжений в корпоративную сеть Компании, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
- централизованное управление системой защиты персональных данных.
- резервное копирование информации;
- обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;
- учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;
- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;
- размещение технических средств обработки персональных данных, в пределах охраняемой территории;
- организация пропускного режима на территорию Компании;
- поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.
Заключительные положения
- Иные права и обязанности Компании, как оператора персональных данных, определяются законодательством Республики Казахстан в области персональных данных. Должностные лица Компании, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско─правовую или уголовную ответственность в порядке, установленном законами.