Политика обработки персональных данных в ТОО «ULAN MUSIC»

(для неограниченного доступа, опубликовано в соответствии с ч.2 ст.18.1 Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите»)

Общие положения

  1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ТОО «ULAN MUSIC» (далее ─ Компания) с целью обеспечение защиты прав и свобод человека и гражданина при сборе и обработке его персональных данных
  2. Политика обработки персональных данных в Компании (далее ─ Положение) разработана в соответствии с Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (далее ─ Закон № 94-V).
  3. В настоящей Политике используются следующие термины и определения:
    • персональные данные - сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
    • блокирование персональных данных - действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
    • накопление персональных данных - действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;
    • сбор персональных данных - действия, направленные на получение персональных данных;
    • уничтожение персональных данных - действия, в результате совершения которых невозможно восстановить персональные данные;
    • обезличивание персональных данных - действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;
    • база, содержащая персональные данные (далее - база), - совокупность упорядоченных персональных данных;
    • оператор базы, содержащей персональные данные (далее - оператор), - государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
    • защита персональных данных - комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных законом;
    • обработка персональных данных - действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
    • использование персональных данных - действия с персональными данными, направленные на реализацию целей деятельности оператора и третьего лица;
    • хранение персональных данных - действия по обеспечению целостности, конфиденциальности и доступности персональных данных;
    • распространение персональных данных - действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;
    • субъект персональных данных (далее - субъект) - физическое лицо, к которому относятся персональные данные;
    • третье лицо - лицо, не являющееся субъектом и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных.
  4. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Компании с применением средств автоматизации и без применения таких средств.
  5. К настоящей Политике должен иметь доступ любой субъект персональных данных.

Принципы и условия обработки персональных данных

  1. Обработка персональных данных в Компании осуществляется на основе следующих принципов:
    • соблюдения конституционных прав и свобод человека и гражданина;
    • законности;
    • конфиденциальности персональных данных ограниченного доступа;
    • равенства прав субъектов и операторов;
    • обеспечения безопасности личности, общества и государства.
  2. Компания обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
    • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Согласие может быть выражено в письменной форме или в форме электронного документа (в виде проставления знака V при регистрации на сайте). Субъект вправе дать согласие на сбор, обработку персональных данных через кабинет пользователя на веб-портале «электронного правительства», а также посредством зарегистрированного на веб-портале «электронного правительства» абонентского номера сотовой связи субъекта путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала «электронного правительства»;
    • обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Республики Казахстан на оператора функций, полномочий и обязанностей;
    • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
    • обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
  3. Компания и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом.
  4. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом № 94-V.
  5. Обработка Компанией биометрических данных, допускается в случаях, если:
    • субъект персональных данных дал согласие на обработку своих биометрических данных;
    • биометрических данных сделаны общедоступными субъектом персональных данных;
    • обработка биометрических данных необходима для установления или осуществления прав субъекта биометрических данных или третьих лиц, а равно и в связи с осуществлением правосудия.
  6. Трансграничная передача персональных данных на территории иностранных государств может осуществляться Компанией только в случае обеспечения этими государствами защиты персональных данных.
  7. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:
    • наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных;
    • предусмотренных международными договорами, ратифицированными Республикой Казахстан;
    • предусмотренных законами Республики Казахстан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения;
    • защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно.
  8. Трансграничная передача персональных данных на территорию иностранных государств может быть запрещена или ограничена законами Республики Казахстан. До начала осуществления трансграничной передачи персональных данных Компания обязана убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

Права субъекта персональных данных

Субъект имеет право:

  1. принимать решение о предоставлении его персональных данных и дать согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем;
  2. знать о наличии у оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
    • подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
    • перечень персональных данных;
    • сроки обработки персональных данных, в том числе сроки их хранения;
  3. требовать от оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
  4. требовать от оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
  5. требовать от оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных нормативными правовыми актами Республики Казахстан;
  6. отозвать согласие на сбор, обработку персональных данных;
  7. дать согласие (отказать) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
  8. на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
  9. на осуществление иных прав, предусмотренных законами Республики Казахстан.

Права и обязанности оператора

  1. Оператор имеют право осуществлять сбор, обработку персональных данных в порядке, установленном законом.
  2. Оператор обязаны:
    • утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан;
    • принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;
    • соблюдать законодательство Республики Казахстан о персональных данных и их защите;
    • принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных законом;
    • представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;
    • сообщать информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан;
    • в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан;
    • в течение одного рабочего дня:
      • изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
      • блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
      • уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных нормативными правовыми актами Республики Казахстан;
      • снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных.

Обеспечение безопасности персональных данных

  1. Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
    • реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
    • обеспечения их целостности и сохранности;
    • соблюдения их конфиденциальности;
    • реализации права на доступ к ним;
    • предотвращения незаконного их сбора и обработки.
  2. Безопасность персональных данных, обрабатываемых Компанией, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.
  3. Для целенаправленного создания в Компании неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий Компанией применяются следующие организационно─технические меры:
    • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
    • ограничение и регламентация состава работников, имеющих доступ к персональным данным;
    • ознакомление работников с требованиями законодательства и нормативных документов Компании по обработке и защите персональных данных;
    • обеспечение учёта и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
    • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
    • разработка на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем;
    • проверка готовности и эффективности использования средств защиты информации;
    • реализация разрешительной системы доступа пользователей к информационным ресурсам, программно─аппаратным средствам обработки и защиты информации;
    • регистрация и учёт действий пользователей информационных систем персональных данных;
    • парольная защита доступа пользователей к информационной системе персональных данных;
    • применение средств контроля доступа к коммуникационным портам, устройствам ввода─вывода информации, съёмным машинным носителям и внешним накопителям информации;
    • применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи и хранении на машинных носителях информации;
    • осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ─вирусов) и программных закладок;
    • применение межсетевого экранирования;
    • обнаружение вторжений в корпоративную сеть Компании, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
    • централизованное управление системой защиты персональных данных.
    • резервное копирование информации;
    • обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;
    • учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;
    • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
    • проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;
    • размещение технических средств обработки персональных данных, в пределах охраняемой территории;
    • организация пропускного режима на территорию Компании;
    • поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.

Заключительные положения

  1. Иные права и обязанности Компании, как оператора персональных данных, определяются законодательством Республики Казахстан в области персональных данных. Должностные лица Компании, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско─правовую или уголовную ответственность в порядке, установленном законами.
наверх