Политика конфиденциальности и обработки персональных данных
Настоящая Политика конфиденциальности и обработки персональных данных (далее – Политика) является неотъемлемой частью Публичной оферты о заключении публичного договора на оказание СПА процедур и приобретении Подарочных сертификатов в Салонах тайского массажа и СПА процедур «Imbir Thai Spa Platinum» (далее – Оферты), действует в отношении всей информации, в том числе персональных данных Пользователя Сайта https://platinum.imbir.kz (его разделов, поддоменов), и определяет порядок сбора, обработки и мер по обеспечению безопасности персональных данных, предпринимаемых ТОО «Imbir Group».
ТОО «Imbir Group» (далее - Оператор) ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Настоящая Политика основана на Законе РК от 21 мая 2013 года № 94-V «О персональных данных и их защите» и действует в отношении всей информации, которую Оператор может получить о Пользователе Сайта https://platinum.imbir.kz (его разделов, поддоменов).
Действующая редакция настоящей Политики постоянно доступна на Сайте https://platinum.imbir.kz(его разделах, поддоменах).
Все обрабатываемые Персональные данные являются конфиденциальной, строго охраняемой информацией в соответствии с действующим законодательством РК.
Термины и определения:
Оператор базы, содержащей персональные данные (далее - Оператор) - государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных.
Субъект персональных данных (далее - Субъект) - физическое лицо, к которому относятся персональные данные.
Персональные данные - сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.
Сбор персональных данных - действия, направленные на получение персональных данных.
Обработка персональных данных - действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных.
Накопление персональных данных - действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные.
База, содержащая Персональные данные (далее - База) - совокупность упорядоченных Персональных данных Пользователя.
Хранение персональных данных - действия по обеспечению целостности, конфиденциальности и доступности Персональных данных.
Защита Персональных данных - комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных настоящей Политикой.
Уничтожение персональных данных - действия, в результате совершения которых невозможно восстановить Персональные данные.
Нарушение безопасности персональных данных - нарушение защиты персональных данных, повлекшее незаконное распространение, изменение и уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к ним.
Общие положения
1. Политика определяет любое действие (операцию) или совокупность действий (операций), по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (распространение, предоставление, доступ), обезличиванию, блокированию, удалению, уничтожению персональных данных, а также сведения о реализуемых требованиях к защите персональных данных.
Цели сбора персональных данных о Пользователе
2. Персональные данные обрабатываются Оператором в следующих целях:
- соблюдение законности обработки персональных данных;
- идентификация Пользователя для присоединения к Публичной оферте о заключении публичного договора на оказание СПА процедур и приобретении Подарочных сертификатов в Салонах тайского массажа и СПА процедур «Imbir Thai Spa Platinum» (далее – Салон), размещенной на Сайте https://platinum.imbir.kz(его разделах, поддоменах);
- установления с Пользователем обратной связи, включая, но, не ограничиваясь направление уведомлений, СМС сообщений, запросов, касающихся использования обработки Заявки/Записи на Услуги Салона от Оператора;
- подтверждения полноты данных, предоставленных Пользователем, необходимых для начала оказания Услуг;
- предоставления Пользователю эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта https://platinum.imbir.kz(его разделах, поддоменах);
- выполнение требований законодательства по определению порядка обработки и защиты персональных данных граждан, являющихся Клиентами Салона;
- в целях организации и проведения Салоном программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов;
- продвижения услуг Салона на рынке путем осуществления прямых контактов с Клиентами Салона с помощью различных средств связи, включая, но не ограничиваясь: по телефону с использованием специальных программ обмена сообщений, смс – рассылка сообщений и иными не запрещенными способами;
- в иных законных целях.
Состав, порядок и сроки обработки Персональных данных
3. Оператор может обрабатывать следующие персональные данные: фамилия, имя, отчество, номера телефонов, дата рождения.
4. Все обрабатываемые Оператором персональные данные являются конфиденциальной, строго охраняемой информацией в соответствии с законодательством.
5. Обработка и хранение Персональных данных осуществляется в соответствии с требованиями норм законодательства РК до момента прекращения Оператором деятельности, либо до ликвидации Сайта https://platinum.imbir.kz (его разделов, поддоменов) (в зависимости от того, какое событие наступит позднее).
6. Хранение Персональных данных осуществляется согласно действующему законодательству Республики Казахстан, любым законным способом, в том числе в информационных системах Персональных данных с использованием средств автоматизации или без использования таких средств. Оператор принимает необходимые и достаточные организационные и технические меры для защиты Персональных данных.
7. Оператор обязуется использовать Персональные данные в соответствии с Законом РК «О персональных данных и их защите» и внутренними документами Оператора.
8. Оператор имеет право передавать Персональные данные без согласия Пользователя правоохранительным органам, судам и иным уполномоченным государственным органам РК по их мотивированному запросу, а также в иных случаях, прямо предусмотренных действующим законодательством Республики Казахстан.
9. Передача персональных данных третьим лицам в остальных случаях возможна только с согласия субъекта персональных данных и только с целью исполнения обязанностей перед субъектом персональных данных.
Порядок сбора, хранения, передачи и иных видов обработки персональных данных
10. Обработка персональных данных происходит автоматизированным и неавтоматизированным способом.
11. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей). Оператором установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Оператор обеспечивает сохранность персональных данных и принимает меры, исключающие несанкционированный доступ к персональным данным.
12. Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится при условии выполнения следующих действий:
- Оператор проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование;
- Оператор производит резервное копирование данных, с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществляется постоянный контроль за обеспечением уровня защищенности персональных данных.
13. К обработке персональных данных допускаются только сотрудники, прошедшие определенную процедуру допуска, к которой относятся:
- ознакомление сотрудника под роспись с локальными нормативными актами, регламентирующими порядок и процедуру работы с персональными данными;
- взятие с сотрудника подписки о соблюдении конфиденциальности в отношении персональных данных при работе с ними;
- получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам, содержащим в себе персональные данные. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы персональных данных.
Сотрудники, имеющие доступ к персональным данным, получают только те персональные данные, которые необходимы им для выполнения конкретных трудовых обязанностей.
14. Персональные данные хранятся в бумажном и электронном виде.
15. При хранении персональных данных соблюдаются организационные и технические меры по обеспечению их сохранности и исключению несанкционированного доступа к ним.
Основные права и обязанности Оператора
16. Оператор имеет право:
- получать от Субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные и осуществлять их обработку в соответствии с настоящей Политикой.
17. Оператор обязан:
- утверждать документы, определяющие политику Оператора в отношении сбора, обработки и защиты персональных данных;
- организовывать обработку персональных данных в порядке, установленном действующим законодательством РК;
- принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;
- предоставлять Субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
- соблюдать законодательство РК о персональных данных и их защите;
- исполнять иные обязанности, предусмотренные Законом РК «О персональных данных и их защите».
Основные права и обязанности Субъектов персональных данных
18. Субъекты персональных данных имеют право:
- знать о наличии у Оператора своих персональных данных, а также получать информацию, содержащую: подтверждение факта, цели, источников, способов сбора и обработки персональных данных; перечень персональных данных; сроки обработки персональных данных, в том числе сроки их хранения;
- требовать от Оператора изменения и дополнения своих персональных данных если персональные данные являются неполными, неактуальными, неточными, незаконно полученными;
- требовать от Оператора блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
- требовать от Оператора уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
- отозвать согласие на сбор, обработку персональных данных;
- дать согласие (отказать) Оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
- на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
- на осуществление иных прав, предусмотренных настоящим Законом и иными законами Республики Казахстан.
19. Субъекты персональных данных обязаны:
- предоставлять Оператору достоверные данные о себе, а также их изменения (уточнения);
- своевременно представлять Оператору изменения (уточнения) своих персональных данных.
Ответственность сторон
20. Оператор несет ответственность за умышленное разглашение Персональных данных в соответствии с действующим законодательством РК, за исключением случаев, предусмотренных действующим законодательством, а также пунктом 21 настоящей Политики.
21. В случае утраты или разглашения Персональных данных Оператор не несет ответственность, если Персональные данные:
- стали публичным достоянием до их утраты или разглашения;
- были получены от третьей стороны до момента их получения от Пользователя;
- были получены третьими лицами путем несанкционированного доступа к файлам Сайта https://platinum.imbir.kz (его разделам, поддоменам);
- были разглашены с согласия Пользователя.
22. Лица, предоставившие Оператору недостоверные данные о себе, либо сведения о другом Субъекте персональных данных без согласия последнего, несут ответственность в соответствии с действующим законодательством РК.
Разрешение споров
23. К настоящей Политике и отношениям между Пользователем и Оператором, возникающим в связи с применением Политики, подлежит применению право Республики Казахстан.
24. Все возможные споры подлежат разрешению в соответствии с действующим законодательством по месту регистрации Оператора. Перед обращением в суд Пользователь должен соблюсти обязательный досудебный порядок и направить Оператору соответствующую претензию в письменном виде. Срок ответа на претензию составляет 30 (тридцать) календарных дней.
Заключительные положения
25. Оператор вправе по своему усмотрению вносить изменения в настоящую Политику полностью или в части) без получения дополнительного согласия с Пользователем, публикуя или размещая изменения или обновленную версию на Сайте https://platinum.imbir.kz (его разделах, поддоменах).
26. Если по тем или иным причинам одно или несколько положений Политики конфиденциальности будут признаны недействительными или не имеющими юридической силы, это не оказывает влияния на действительность или применимость остальных положений Политики конфиденциальности.
27. Пользователь обязуется самостоятельно следить за изменениями Политики конфиденциальности путем ознакомления с актуальной редакцией.
28. Изменения, внесенные в Политику конфиденциальности, вступают в силу с момента размещения измененной Политики конфиденциальности на Сайте https://platinum.imbir.kz (его разделах, поддоменах), если иной порядок не будет предусмотрен вносимыми изменениями.