Құпиялылық саясаты

Дербес деректерді жинау, өңдеу және беру, соның ішінде трансшекаралық беру саясаты

Жалпы ережелер

Осы «Марш (сақтандыру брокерлері)» ЖШС-да дербес деректерді жинау, өңдеу және беру, соның ішінде трансшекаралық беру саясаты (бұдан әрі – Саясат) Қазақстан Республикасының 2013 жылғы 21 мамырдағы № 94-V «Дербес деректер және оларды қорғау туралы» заңына (бұдан әрі– Дербес деректер туралы заң) сәйкес әзірленді.

Осы Саясат дербес деректерді жинаған, өңдеген және берген, соның ішінде трансшекаралық берген кезде дербес деректер субъектілерінің құқықтарын қорғау мақсатында, «Марш (сақтандыру брокерлері)» ЖШС-да (бұдан әрі – Серіктестік) дербес деректерді жинау, өңдеу және беру, соның ішінде трансшекаралық беру тәртібін және олардың қауіпсіздігін қамтамасыз ету жөніндегі шараларды белгілейді.

Осы Саясатта келесі негізгі ұғымдар пайдаланылады:

Дербес деректерді автоматтандырылған түрде өңдеу – дербес деректерді есептеу техникасы құралдары арқылы өңдеу;

Дербес деректердi бұғаттау – дербес деректердi жинауды, жинақтауды, өзгертуді, толықтыруды, пайдалануды, таратуды, иесiздендiруді және жоюды уақытша тоқтату жөніндегі іс-әрекеттер;

Дербес деректердің ақпараттық жүйесі (ДДАЖ) – дерекқорда қамтылған дербес деректердің және оларды өңдеуді қамтамасыз ететін ақпараттық технологиялар мен техникалық құралдардың жиынтығы;

Дербес деректердi иесiздендiру – жасалуы нәтижесiнде дербес деректердiң дербес деректер субъектiсіне тиесiлiгiн анықтау мүмкін болмайтын iс-әрекеттер;

Дербес деректердi өңдеу – дербес деректерді жинауды, жазуды, жүйелеуді, жинақтауды, сақтауды, нақтылауды (жаңарту, өзгерту, толықтыру), алуды, пайдалануды, беруді (тарату, ұсыну, қол жеткізу), иесіздендіруді, бұғаттауды, алып тастауды, жоюды қоса алғанда, автоматтандыру құралдарын пайдалана отырып немесе мұндай құралдарды пайдаланбай дербес деректермен жасалатын кез келген іс-әрекет (операция) немесе іс-қимылдар (операциялар) жиынтығы;

Оператор – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке тұлға және (немесе) заңды тұлға;

Дербес деректер (ДДр) – айқындалған немесе олардың негізінде айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық тасымалдауышта тiркелген мәліметтер;

Дербес деректерді беру – белгілі бір тұлғаға немесе белгілі бір тұлғалар шеңберіне дербес деректерді ашу үшін бағытталған іс-әрекеттер;

Дербес деректердi тарату – жасалуы нәтижесінде дербес деректер берілетін, оның ішінде бұқаралық ақпарат құралдары арқылы берілетін немесе қандай да бiр өзгеше тәсiлмен дербес деректерге қол жеткізу рұқсаты берілетін іс-әрекеттер;

Дербес деректерді трансшекаралық беру – дербес деректерді шет мемлекеттердің аумағына беру;

Дербес деректердi жою – жасалуы нәтижесінде дербес деректердi қалпына келтiру мүмкін болмайтын iс-әрекеттер;

Дербес деректерді жинау, өңдеу және беру, соның ішінде трансшекаралық беру принциптері

Серіктестікте дербес деректерді жинау, өңдеу және беру, соның ішінде трансшекаралық беру келесі принциптер негізінде жүзеге асырылады:

– дербес деректерді жинау, өңдеу және беру, соның ішінде трансшекаралық беру заңды және әділ негізде жүзеге асырылады;

– дербес деректерді жинау, өңдеу және беру, соның ішінде трансшекаралық беру нақты, алдын ала айқындалған және заңды мақсаттарға қол жеткізумен шектеледі. Дербес деректерді жинау мақсаттарына сәйкес келмейтін жолмен дербес деректерді жинауға, өңдеуге, беруге, соның ішінде трансшекаралық беруге рұқсат етілмейді;

– жиналуы және өңделуі өзара үйлеспейтін мақсаттарда жүзеге асырылатын дербес деректерді қамтитын дерекқорды біріктіруге рұқсат етілмейді;

– жинау, өңдеу және беру, соның ішінде трансшекаралық беру мақсаттарына сай келетін дербес деректерді ғана жинауға, өңдеуге және беруге, соның ішінде трансшекаралық беруге болады;

– өңделетін дербес деректердің мазмұны мен көлемі жинаудың және өңдеудің мәлімделген мақсаттарына сәйкес келеді;

– дербес деректерді жинаған, өңдеген және берген, соның ішінде трансшекаралық берген кезде дербес деректердің дәлдігі, олардың жеткіліктігі, ал қажет болған жағдайларда дербес деректерді жинау және өңдеу мақсаттарына қатысты өзектілігі қамтамасыз етіледі. Серіктестік толық емес немесе дәл емес деректерді жою немесе нақтылау бойынша қажетті шаралар қабылдайды не олардың қабылдануын қамтамасыз етеді;

– дербес деректерді сақтау мерзімі Дербес деректер туралы заңда, дербес деректер субъектісі тарапы немесе ол бойынша пайда алушы не кепіл беруші болып табылатын шартта белгіленбесе, дербес деректерді сақтау дербес деректер субъектісін анықтауға мүмкіндік беретін формада, дербес деректерді жинау және өңдеу мақсаттары талап етуден аспайтын мерзімде жүзеге асырылады;

– Дербес деректер туралы заңда басқасы көзделмесе, жинау және өңдеу мақсаттарына жеткен кезде немесе осындай мақсаттарға жету қажеттілігі жоғалған жағдайда, өңделетін дербес деректер жойылуы немесе иесіздендірілуі тиіс.

Дербес деректерді жинау және өңдеу мақсаттары

Серіктестік дербес деректер субъектілерінің төмендегідей санаттарының дербес деректерін жинауды және өңдеуді жүзеге асырады:

– бос лауазымдарға кандидаттар;

– Серіктестіктің қазіргі немесе жұмыстан шығарылған жұмыскерлері;

– АҚС (азаматтық-құқықтық сипаттағы) шарттары бойынша жұмыстарды орындайтын (ҚР азаматтары, сондай-ақ шет мемлекеттердің азаматтары болып табылатын) жеке тұлғалар;

– серіктес компаниялардың клиенттері;

– клиент компаниялардың жұмыскерлері және олардың туыстары;

– Серіктестік жұмыскерлерінің туыстары;

– төтенше жағдайлар болған кезде Серіктестік жұмыскерлерінің байланысуға болатын адамдары;

– контрагенттің атынан сенімхат бойынша әрекет ететін контрагенттердің лауазымды тұлғалары.

Серіктестік дербес деректер субъектілерінің дербес деректерін тікелей дербес деректер субъектілерінен, серіктес компаниялардан және клиент компаниялардан алады.

Дербес деректер субъектілерінің әрбір санаты үшін Серіктестік дербес деректерді жинау және өңдеу мақсаттарын белгіледі:

– бос лауазымдарға кандидаттар – қызметкерлерді іріктеуді, кандидаттарға жұмысқа орналасуда жәрдемдесу процесін жүзеге асыру;

– Серіктестіктің қазіргі немесе жұмыстан шығарылған жұмыскерлері – ҚР еңбек заңнамасының және жұмыскермен жасалған еңбек шартының талаптарын жүзеге асыру, жұмыскерлерге әлеуметтік кепілдіктерді қамтамасыз ету, міндетті есептілікті қалыптастыру;

– АҚС (азаматтық-құқықтық сипаттағы) шарттары бойынша жұмыстарды орындайтын (ҚР азаматтары, сондай-ақ шет мемлекеттердің азаматтары болып табылатын) жеке тұлғалар – орындаушылармен жасалған АҚС шарттарының талаптарын орындау;

– серіктес компаниялардың клиенттері – сақтандыру шарттары бойынша міндеттемелерді орындау;

– клиент компаниялардың жұмыскерлері және олардың туыстары – сақтандыру шарттары бойынша міндеттемелерді орындау;

– Серіктестік жұмыскерлерінің туыстары – ЕМС (ерікті медициналық сақтандыру) шартын жасау;

– төтенше жағдайлар болған кездегі Серіктестік жұмыскерлерінің байланысуға болатын адамдары – төтенше жағдай туындаған кезде Серіктестіктің жұмыскері туралы байланысуға болатын адамға хабарлау;

– контрагенттің атынан сенімхат бойынша әрекет ететін контрагенттердің лауазымды тұлғалары – шартқа қол қою мақсаттары үшін контрагенттердің лауазымды тұлғаларының өкілеттіктерін растау, [Серіктестіктің ішкі бақылауы] және «Қылмыстық жолмен алынған кірістерді заңдастыруға (жылыстатуға) және терроризмді қаржыландыруға қарсы іс-қимыл туралы» 2009 жылғы 28 тамыздағы № 191-IV Қазақстан Республикасы заңының талаптарын сақтау.

Дербес деректерді жинау, өңдеу және беру, соның ішінде трансшекаралық беру шарттары

Серіктестік дербес деректерді жинауды, өңдеуді және беруді, соның ішінде трансшекаралық беруді мынадай шарттардың кем дегенде біреуі болған кезде, жүзеге асырады:

– дербес деректерді жинау, өңдеу және беру, соның ішінде трансшекаралық беру дербес деректер субъектісі өзінің дербес деректерін жинауға, өңдеуге және беруге соның ішінде трансшекаралық беруге келісімін берген кезде, жүзеге асырылады;

– дербес деректерді жинау, өңдеу және беру, соның ішінде трансшекаралық беру дербес деректер субъектісі тарапы не ол бойынша пайда алушы немесе кепіл беруші болып табылатын шартты орындау үшін, сондай-ақ дербес деректер субъектісінің бастамасы бойынша шартты немесе дербес деректер субъектісі пайда алушы не кепіл беруші болып табылатын шартты жасасу үшін қажет;

– дербес деректерді жинау, өңдеу және беру, соның ішінде трансшекаралық беру Операторға немесе үшінші тұлғаға дербес деректер субъектісі дербес деректерді жинауға, өңдеуге және беруге, соның ішінде трансшекаралық беруге келісім берген жағдайда, Оператордың немесе үшінші тұлғалардың құқықтары мен заңды мүдделерін жүзеге асыру үшін қажет;

– дербес деректерді жинау және өңдеу дербес деректерді міндетті түрде иесіздендіру талабымен статистикалық немесе өзге де зерттеу мақсаттарында жүзеге асырылады.

Дербес деректердің құпиялығы

Дербес деректерге қол жеткізген серіктестік және өзге де тұлғалар дербес деректер субъектісінің немесе оның заңды өкілінің келісімінсіз не өзге де заңды негіз болмаса, дербес деректерді үшінші тұлғаларға ашпауға және таратпауға міндетті.

Дербес деректердің жалпыға қолжетімді көздері

Ақпараттық қамтамасыз ету мақсатында Серіктестікте дербес деректер субъектілерінің жалпыға қолжетімді дербес деректерінің көздері, атап айтқанда телефон анықтамалары құрылады. Дербес деректер субъектісінің жазбаша келісімімен дербес деректердің жалпыға қолжетімді көздеріне дербес деректер субъектісінің тегі, аты, әкесінің аты, лауазымы, байланыс телефондарының нөмірлері енгізіледі.

Дербес деректер субъектісі туралы мәліметтер дербес деректер субъектісінің талабы бойынша не соттың немесе өзге де уәкілетті мемлекеттік органдардың шешімі бойынша дербес деректердің жалпыға қолжетімді көздерінен шығарылуы тиіс.

Қол жеткізу шектеулі дербес деректер

Серіктестік келесі жағдайларда Серіктестік жұмыскерлерінің, Серіктестік жұмыскерлері туыстарының, Серіктестіктің клиент компаниялары жұмыскерлерінің және Серіктестіктің клиент компаниялары жұмыскерлері туыстарының денсаулық жағдайларына қатысты қол жеткізу шектелген дербес деректерді жинау мен өңдеуді автоматтандырылмаған жолмен жүзеге асырады:

– дербес деректер субъектісі осындай дербес деректерді жинауға және өңдеуге жазбаша түрде келісім берді;

– клиент компаниямен жасалған шартта клиент компанияның өз жұмыскерлерінің дербес деректерін жинауға және өңдеуге, оның ішінде қол жеткізу шектеулі дербес деректерді жинауға және өңдеуге келісімінің болуы туралы ереже қамтылған.

Дербес деректер туралы заңда басқасы белгіленбесе, қол жеткізу шектеулі дербес деректерді жинауды және өңдеуді жүзеге асыру себептері жойылса, оларды жинау мен өңдеу дереу тоқтатылады.

Дербес деректерді жинауды және өңдеуді басқа тұлғаға тапсыру

Дербес деректер туралы заңда басқасы көзделмесе, Серіктестік дербес деректер субъектісінің келісімімен дербес деректерді жинауды және өңдеуді басқа тұлғамен жасалатын шарт негізінде осындай тұлғаға тапсыруға құқылы. Серіктестік дербес деректерді жинауды және өңдеуді басқа тұлғаға тапсырған кезде, Дербес деректер туралы заңда көзделген дербес деректерді өңдеудің принциптері мен қағидаларын сақтауға міндетті.

Серіктестік Оператордың тапсырмасы бойынша дербес деректер субъектілерінің келесідей санаттарының дербес деректерін жинауды және өңдеуді жүзеге асырады, бұл ретте Оператор дербес деректер субъектілерінің олардың дербес деректерін жинауға, өңдеуге және беруге келісімін алғандығының растауын ұсынуы тиіс:

– серіктес компаниялардың клиенттері;

– клиент компаниялардың жұмыскерлері мен олардың туыстары.

Серіктестік Оператордың тапсырмасы бойынша дербес деректерді жинауды және өңдеуді жүзеге асырған кезде, дербес деректер субъектісінің олардың дербес деректерін жинауға және өңдеуге келісімін алуға міндетті емес. Дербес деректер субъектісінің алдында Серіктестіктің іс-әрекеттері үшін Оператор жауапты болады. Серіктестік Оператордың тапсырмасы бойынша дербес деректерді жинауды және өңдеуді жүзеге асыра отырып, Оператор алдында жауапты болады.

Дербес деректерді трансшекаралық беру

Серіктестік дербес деректер субъектілерінің дербес деректерін трансшекаралық беруді, дербес деректер субъектісінің оның дербес деректерін трансшекаралық беруге келісімі болған кезде, дербес деректер субъектісі тарапы болып табылатын шартты орындау үшін жазбаша түрде немесе электрондық құжат үлгісінде не Қазақстан Республикасының заңнамасына қайшы келмейтін қорғау іс-әрекеттері элементтерін пайдалана отырып,өзге де тәсілмен жүзеге асырады.

Дербес деректер субъектісінің құқықтары

Дербес деректер субъектісінің дербес деректерін жинауға, өңдеуге және беруге, соның ішінде трансшекаралық беруге келісімі

Дербес деректер субъектісі өзінің дербес деректерін беру туралы шешім қабылдайды және оларды жинауға, өңдеуге және беруге, соның ішінде трансшекаралық беруге еркін түрде, өз еркімен және өзінің мүддесінде келісім береді. Дербес деректер субъектісі немесе оның өкілі дербес деректерді жинауға, өңдеуге және беруге, соның ішінде трансшекаралық беруге келісімін жазбаша түрде немесе электрондық құжат үлгісінде не Қазақстан Республикасының заңнамасына қайшы келмейтін қорғау іс-әрекеттері элементтерін пайдалана отырып, ұсына алады.

Субъектінің оның дербес деректерін жинауға, өңдеуге және беруге, соның ішінде трансшекаралық беруге келісімін алуының дәлелдемесін немесе Дербес деректер туралы заңда көрсетілген негіздердің болуының дәлелдемесін беру міндеті Серіктестікке жүктеледі.

Серіктестіктің тапсырмасы бойынша дербес деректерді жинауды және өңдеуді жүзеге асыратын тұлға дербес деректер субъектісінің олардың дербес деректерін жинауға және өңдеуге келісімін алуға міндетті емес.

Дербес деректер субъектісінің құқықтары

Дербес деректер субъектісінің дербес деректер субъектісіне тиесілі, заңда белгіленген ақпаратқа қол жеткізу құқықтарының сақталуын қамтамасыз ететін Дербес деректер туралы заңның талаптарын орындау мақсатында, Серіктестік дербес деректер субъектілерінің сұрауларымен және өтініштерімен жұмыс істеу процедурасын әзірлеп, енгізді. Осы процедура дербес деректер субъектілерінің келесі құқықтарының сақталуын қамтамасыз етеді:

– дербес деректер субъектісі Серіктестіктің қолында дербес деректердің болуын білуге, сондай-ақ дербес деректерді жинау және өңдеу фактісін, мақсатын, көздерін, тәсілдерін растауды, дербес деректердің тізбесін және дербес деректерді өңдеу мерзімдерін, оның ішінде оларды сақтау мерзімдерін қамтитын ақпаратты алуға құқылы;

– тиісті құжаттар арқылы расталған негіздемелер болған кезде, дербес деректер субъектісі Серіктестіктен өзінің дербес деректерін өзгертуді және толықтыруды талап етуге құқылы;

– дербес деректерді жинау, өңдеу шарттарының бұзылғаны жөнінде ақпарат болған жағдайда, дербес деректер субъектісі Серіктестіктен өзінің дербес деректерін бұғаттауды талап етуге құқылы;

– дербес деректер субъектісі Серіктестіктен жиналуы мен өңделуі Қазақстан Республикасының заңнамасын бұзып, жүргізілген, сондай-ақ Дербес деректер туралы заңда және Қазақстан Республикасының өзге де нормативтік құқықтық актілерінде белгіленген өзге де жағдайларда, өзінің дербес деректерін жоюды талап етуге құқылы;

– дербес деректер субъектісі дербес деректерін жинауға, өңдеуге берген келісімін қайтарып алуға құқылы;

– дербес деректер субъектісі өзінің дербес деректерін дербес деректердің  жалпыға қолжетімді көздерінде таратуға өз келісімін беруге (келісім беруден бас тартуға) құқылы;

– дербес деректер субъектісінің өз құқықтары мен заңды мүдделерінің қорғалуына, оның ішінде моральдық және материалдық зиянның өтелуіне құқығы бар;

– дербес деректер субъектісі Дербес деректер туралы заңда және Қазақстан Республикасының өзге де заңдарында көзделген өзге де құқықтарды жүзеге асыруға құқылы.

Дербес деректердің қауіпсіздігін қамтамасыз ету

Серіктестік өңдейтін дербес деректердің қауіпсіздігі Дербес деректер туралы заңның дербес деректерді қорғау саласындағы талаптарын қамтамасыз ету үшін қажетті шаралардың құқықтық, ұйымдастырушылық және техникалық кешендерін іске асыру арқылы қамтамасыз етіледі.

Дербес деректерге рұқсатсыз қол жеткізуге жол бермеу үшін Серіктестік мынадай ұйымдастыру-техникалық шараларын қолданады:

– дербес деректердің өңделуін ұйымдастыру үшін жауапты лауазымды тұлғаны тағайындау;

– дербес деректерге қол жеткізе алатын тұлғалар құрамын шектеу;

– жұмыскерлерді Дербес деректер туралы заңның және Серіктестіктің дербес деректерді жинау, өңдеу және қауіпсіздігін қамтамасыз ету жөніндегі нормативтік құжаттардың талаптарымен таныстыру;

– дербес деректер субъектілерінің өтініштерін есепке алуды, сақтауды және бақылауды ұйымдастыру;

– дербес деректерді жинаған және дербес деректердің ақпараттық жүйелерінде өңдеген кезде, олардың қауіпсіздігіне төнетін қауіп-қатерлерді анықтау, олардың негізінде дербес деректердің қауіпсіздігіне төнетін Қауіп-қатерлер мен бұзушы моделін қалыптастыру;

– рұқсатсыз қол жеткізудің алдын алу мүмкін болмаса, дербес деректерге осындай рұқсатсыз қол жеткізу фактілерін уақытылы анықтау;

– дербес деректерге рұқсатсыз қол жеткізудің жағымсыз салдарын барынша төмендету;

– пайдаланушылардың ақпараттық ресурстарға және ақпаратты жинау, өңдеу және қорғаудың бағдарламалық-аппараттық құралдарына қол жеткізуін шектеу;

– дербес деректердің қауіпсіздігін қамтамасыз ету үшін қажетті ақпаратты қорғау құралдарын, соның ішінде криптографиялық құралдарды пайдалану;

– дербес деректерге рұқсатсыз қол жеткізу салдарынан жойылған немесе түрлендірілген дербес деректерді қалпына келтіруді қамтамасыз ету;

– дербес деректерді өңдеу жерлерін белгілеу;

– дербес деректердің қауіпсіздігін қамтамасыз ету бойынша қолданылған шаралар тиімділігін бағалау;

– дербес деректердің қауіпсіздігін қамтамасыз ету бойынша қолданатын шараларды және дербес деректердің қорғалу деңгейін бақылауды қамтамасыз ету;

– Серіктестік аумағына рұқсатнамалық тәртіппен кіруді, дербес деректерді өңдейтін техникалық құралдары бар үй-жайларды күзетуді ұйымдастыру.

Қорытынды ережелер

Осы Саясат 2 (екі) жылда 1 (бір) рет немесе Қазақстан Республикасының дербес деректер қауіпсіздігін қамтамасыз ету саласындағы заңнамасы өзгерген жағдайда қайта қарастырылады.

Саясатқа енгізілетін барлық өзгерістер Өзгерістерді тіркеу парағында көрсетіледі.

Саясатқа енгізілетін өзгерістер Серіктестіктің Бас директорының бұйрығымен бекітіледі.

Серіктестік осы саясатты келесі мекенжай бойынша орналасқан Серіктестіктің ресми сайтында жариялау арқылы осы Саясатқа шектеусіз қолжетімділікті қамтамасыз етуге міндетті: [https://www.marsh.com/kz/ru/home.html/].

Серіктестіктің өзге де құқықтары мен міндеттері Қазақстан Республикасының дербес деректер саласындағы заңнамасында белгіленген.

Жауапкершілік

Дербес деректер туралы заңның талаптарын бұзғаны үшін кінәлі Серіктестік жұмыскерлері Қазақстан Республикасының заңнамасында көзделген жауапкершілікті көтереді.