Политика в отношении сбора и обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. При осуществлении своей деятельности Уполномоченное агентство TEZ TOUR в г. Алматы TOO "SUNSHINE TRAVEL" (далее – Компания) вступает в отношения, связанные со сбором и обработкой (далее – обработка) персональных данных и является собственником и оператором базы, содержащей персональные данные.
Политика регламентирует порядок и условия обработки персональных данных субъектов персональных данных, права и обязанности субъектов персональных данных.
1.2. Термины, используемые в настоящей Политике, применяются в значениях, установленных Законом РК от 21 мая 2013 года № 94-V «О персональных данных и их защите» (далее – «Закон о персональных данных») и нормами действующего законодательства РК.
1.3. Политика разработана на основе требований нормативных и правовых документов в сфере защиты и обработки персональных данных: Конституции РК; законов РК «О персональных данных», «Об информатизации», и другими нормативно-правовыми актами РК.
2. ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных Компанией производится в целях:
– заключения, изменения, и исполнения договоров купли-продажи туристского продукта, договоров оферты и предоставления услуг, связанных с туристским продуктом;
– предоставления иных услуг и заключения, изменения и исполнения иных договоров с партнерами и клиентами Компании;
– оценки уровня платежеспособности клиентов Компании, в том числе осуществляемой третьими лицами;
– предоставления клиентам услуг контактного центра Компании для информирования и консультирования по вопросам заключения, изменения и исполнения купли-продажи туристского продукта, договоров оферты и иным вопросам, связанным с деятельностью Компании;
– проведение рекламных и маркетинговых акций, в том числе рекламных и маркетинговых акций третьих лиц;
– идентификации пользователей сайта Компании в сети Интернет;
– осуществление досудебной и судебной работы, в том числе в целях взыскания дебиторской задолженности;
– выполнения иных требований законодательства Республики Казахстан.
3. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных осуществляется Компанией с согласия субъекта персональных данных в следующих случаях:
– для заключения и исполнения договора, стороной которого является субъект персональных данных, в том числе в случае реализации Компанией своего права на уступку прав (требований) по такому договору;
– иных случаях, установленных нормативными правовыми актами.
4. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ИХ ПРАВА И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Компания осуществляет обработку персональных данных следующих категорий субъектов:
– физических лиц – клиентов Компании, заключивших договоры купли-продажи туристского продукта, договоры оферты с Компанией; посетителей сайта Компании в сети Интернет; пользователей приложений/сервисов Компании; физических лиц – контрагентов Компании; физических лиц, являющихся представителями юридических лиц – контрагентов Компании; физических лиц, трудовой или гражданско-правовой договор с которыми был заключен и/или расторгнут; физических лиц, проходящих проверку в качестве кандидатов на замещение вакансий при приеме на работу в Компанию; физических лиц, обратившихся в Компанию с запросами (включая претензии, письма), в том числе, через контактный центр, чат, социальные сети; уполномоченных на основании доверенности представителей вышеперечисленных субъектов.
4.2. Права субъектов персональных данных
– получать полную информацию об их персональных данных, обрабатываемых Компанией;
– иметь доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законом;
– уточнять свои персональные данные, требовать их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
– отзывать согласие на обработку персональных данных;
– осуществлять иные права, предусмотренные законодательством Республики Казахстан.
4.3. Категории персональных данных
Компания вправе производить обработку следующих категорий персональных данных:
– Фамилия, имя, отчество (в том числе прежние); пол; дата и место рождения; адрес места жительства и дата регистрации по месту жительства или по месту пребывания; гражданство, данные удостоверения личности (номер, дата выдачи документа, наименование органа, выдавшего документ, срок действия, ИИН); сведения о пенсионных отчислениях; сведения о семейном положении; контактная информация; сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки; сведения о повышении квалификации и переподготовке; сведения о трудовой деятельности; сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней; сведения о членах семьи; сведения о заработной плате; сведения об имущественном положении; сведения о задолженности по договору лизинга/займа, в том числе, о размере такой задолженности; фотографии.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таких средств.
5.2. Условия обработки персональных данных
Согласие на обработку персональных данных Компанией может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством.
5.3. Сроки обработки персональных данных
Срок обработки персональных данных клиентов Компании, заключивших с Компанией договоры лизинга, контрагентов – физических лиц, физических лиц – представителей контрагентов Компании, работников Компании, их уполномоченных представителей составляет не менее 5 лет с момента расторжения договора или прекращения отношения с ним по иным основаниям.
Срок обработки персональных данных иных субъектов персональных данных определяется Компанией как срок, необходимый для достижения целей обработки, если иное не указано в согласии на обработку персональных данных, предоставленной субъектом персональных данных.
5.4. Сбор персональных данных осуществляется следующими способами:
– ввод или сообщение иным образом персональных данных непосредственно субъектом персональных данных на сайте Компании в сети Интернет, через Мобильное приложение, контактный центр или социальные сети;
– сбор персональных данных контрагентами Компании при обращении субъекта персональных данных с намерением заключить договор купли-продажи туристского продукта, договор оферты;
– сбор посредством электронной почты или иных электронно-коммуникационных каналов связи, анкет и иных документов по установленной Компанией форме, содержащих персональные данные субъектов, при наличии электронных копий документов и сверке достоверности собираемых персональных данных субъекта с электронными копиями при наличии такой возможности;
– сбор копий бумажных документов, содержащих персональные данные субъекта, при наличии оригиналов документов или их копий и сверке достоверности собираемых персональных данных субъекта с оригиналами документов или их копиями;
– сбор анкет и иных документов за личной подписью субъекта персональных данных по установленной Компанией форме, содержащих персональные данные субъектов, при наличии оригиналов документов или их копий и сверке достоверности собираемых персональных данных субъекта с оригиналами документов или их копиями при наличии такой возможности; в случае отсутствия такой возможности Компания предпринимает разумные и достаточные меры по проверке достоверности персональных данных, содержащихся в анкете и ином документе, всеми доступными способами.
Субъект обязан предоставлять достоверные сведения о себе и своевременно сообщать об изменении своих персональных данных. Компания имеет право проверять достоверность данных, предоставленных субъектом, сверяя эти данные с уже имеющимися у Компании документами.
Компания предпринимает разумные и достаточные меры по проверке достоверности введенных через сайт или Мобильное приложение персональных данных всеми доступными способами.
5.5. Хранение Персональных данных осуществляется следующими способами:
– на бумажных носителях; в виде копий собранных документов на бумажном носителе; на электронных носителях; на электронных носителях, размещенных на серверах Компании, а также системах резервного копирования; на электронных носителях, размещенных в серверах, арендуемых Компанией у хостинг-провайдеров.
Компания обеспечивает хранение персональных данных в базе на территории Республики Казахстан. В процессе хранения персональных данных Компанией обеспечивается их сохранность и доступ к персональным данным исключительно уполномоченных лиц.
5.6. Конфиденциальность и безопасность персональных данных
Компанией не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан. Компания принимает все необходимые меры по обеспечению безопасности персональных данных, установленные законодательством Республики Казахстан.
5.7. Передача персональных данных
Компания при осуществлении своей деятельности может передавать персональные данные субъектов в строгом соответствии с требованиями законодательства Республики Казахстан и при надлежащем обеспечении безопасности этих данных.
Передача персональных данных может осуществляться как с использованием средств автоматизации, так и без использования таких средств.
5.8. Обработка персональных данных в целях продвижения товаров, работ, услуг
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным клиентом с помощью средств связи может осуществляться Компанией только при условии получения предварительного согласия субъекта персональных данных и прекращается по его требованию.
5.9. Блокирование персональных данных
Компания осуществляет блокирование персональных данных в следующих случаях:
– при наличии подозрений на недостоверность персональных данных субъекта до получения достоверных персональных данных/подтверждения достоверности уже собранных персональных данных;
– при обращении субъекта персональных данных по вопросам соблюдения их законных прав.
Выбор способа блокирования персональных данных определяется ответственным сотрудником на основе особенностей условий обработки персональных данных, в том числе возможностей программного обеспечения, используемого в обработке.
5.10. Прекращение обработки и уничтожение персональных данных
Обработка персональных данных прекращается или обеспечивается её прекращение, если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании, а собранные персональные данные уничтожаются в сроки, установленные законодательством Республики Казахстан, в следующих случаях, если иное не установлено законодательством Республики Казахстан:
– по истечению установленного срока обработки персональных данных;
– по достижении целей обработки или при утрате необходимости в их достижении;
– по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных — если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
– при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством;
– при невозможности устранения Компанией допущенных нарушений при обработке персональных данных.
6. ОБРАЩЕНИЯ И ЗАПРОСЫ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Общие положения
Субъект персональных данных имеет право на получение сведений о Компании, о месте ее нахождения, о наличии у Компании персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными.
Субъект персональных данных вправе требовать от Компании уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения о наличии персональных данных предоставляются субъекту персональных данных в доступной форме и на безвозмездной основе. Кроме того, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Компанией, а также цель такой обработки; способы обработки персональных данных, применяемые Компанией; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения.
Порядок
Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Компанией при обращении либо при получении запроса субъекта персональных данных или его законного представителя (далее – Обращение). Обращения субъектов принимаются Компанией в течение рабочего дня. Обращение должно содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Обращение может быть направлено письменно или в электронной форме с применением элементов защитных действий в соответствии с законодательством Республики Казахстан.
Компания обязана отправить ответ на Обращение субъекта персональных данных в срок, не превышающий трех рабочих дней с момента получения Обращения.
Передача ответа на поступившее Обращение субъекту персональных данных или его законному представителю производится в электронной форме в соответствии с законодательством Республики Казахстан.
7. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Лица, виновные в нарушении норм, регулирующих процессы обработки и защиты персональных данных, обрабатываемых в информационных системах персональных данных Компании, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Республики Казахстан ответственность.