Политика ТОО «Флорист.кз» в отношении сбора, обработки и защиты персональных данных
Редакция от 28 июня 2022 года
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Сбор, обработка и защита персональных данных в ТОО «ФЛОРИСТ.КЗ» осуществляется в соответствии с требованиями Конституции Республики Казахстан, Закона Республики Казахстан «О персональных данных и их защите» (далее по тексту – «Закон»), подзаконных актов, других определяющих особенности сбора, обработки персональных данных законов Республики Казахстан, руководящих и методических документов Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, а также его уполномоченных комитетов, Устава ТОО «ФЛОРИСТ.КЗ» и Политики в отношении сбора, обработки и защиты персональных данных.
1.2. Настоящий Документ (далее по тексту - «Политика») разработан ТОО «ФЛОРИСТ.КЗ» (далее по тексту - «Оператор»), которое самостоятельно или совместно с третьими лицами организует и осуществляет сбор, обработку и защиту персональных данных в процессе осуществления своей предпринимательской и хозяйственной деятельности в соответствии с требованиями действующего законодательства Республики Казахстан о персональных данных и их защите.
1.2.1. На территории Республики Казахстан Оператор является официальным Администратором Маркетплейса «Флорист.ру», действующего на электронной торговой площадке (далее по тексту «Торговая площадка» или «Маркетплейс»), расположенной на официальном интернет ресурсе Маркетплейса - сайте https://www.florist.ru (далее по тексту «Официальный сайт») и в официальном мобильном приложении (далее по тексту «Мобильное приложение»).
1.2.2. В настоящем Документе используются основные понятия и термины в соответствии с определениями, указанными в настоящей Политике, а если они прямо не указаны в Политике, то в соответствии с действующим Законом Республики Казахстан «О персональных данных и их защите».
1.3. Персональными данными (далее по тексту - «Персональные данные») являются сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.
1.4. Оператор осуществляет сбор, обработку и защиту персональных данных субъектов в соответствии с принципами:
1.4.1. Соблюдения конституционных прав и свобод человека и гражданина.
1.4.2. Законности.
1.4.3. Конфиденциальности персональных данных ограниченного доступа.
1.4.4. Равенства прав субъектов, собственников и операторов.
1.4.5. Обеспечения безопасности личности, общества и государства.
1.5. Субъектами персональных данных (далее по тексту - «Субъекты») являются физические лица, к которым относятся персональные данные. Оператор собирает, обрабатывает и защищает персональные данные:
1.5.1. Клиентов Оператора (далее по тексту «Покупатели»), использующих функционал Маркетплейса для выбора и приобретения цветов и подарков (далее по тексту «Заказы») с доставкой своим Получателям (далее по тексту - «Получатели заказов») и для проведения оплаты Заказов, включая пользователей официального интернет-ресурса и мобильного приложения https://www.florist.ru, принадлежащих ООО «Флорист.ру-Диджитал» - собственнику базы, содержащей персональные данные (далее по тексту - «Собственник») и используемых Оператором на законных основаниях.
1.5.2. Представителей и сотрудников контрагентов Оператора - Поставщиков товаров и услуг (далее по тексту - «Поставщики»), использующих функционал Торговой площадки для продажи цветов и подарков Покупателям, для выполнения Заказов и проведения расчётов с Маркетплейсом.
1.5.3. Действующих и бывших работников и кандидатов на работу Оператора (далее по тексту – «Работники» и «Кандидаты»).
1.5.4. Физических лиц, выполняющих работы и услуги для Оператора (далее по тексту – «Исполнители») на основании заключенных договоров гражданского-правового характера (далее «ГПХ»).
1.5.5. Иных субъектов персональных данных в целях, указанных в п.2.1. настоящей Политики.
2. ЦЕЛИ СБОРА И ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Оператор осуществляет сбор и обработку персональных данных Субъектов для достижения нижеследующих законных целей:
Цели сбора и обработки персональных данных | Категории субъектов персональных данных | Перечень персональных данных субъектов |
---|---|---|
2.1.1. Для осуществления прав и законных интересов Оператора и обеспечения деятельности Оператора в сфере электронной торговли: 2.1.2. Для заключения и исполнения договоров Оператора с субъектами -выгодоприобретателями или поручителями:
1) Обеспечения возможности использования субъектами официального интернет-ресурса и мобильного приложения, |
1) Покупатели; |
1) Гражданство; |
2.1.3. Для надлежащего оформления и регулирования трудовых отношений Оператора с Работниками и Кандидатами и обеспечения кадровой работы: |
1) Работники; |
1) Гражданство; |
2.1.4. Для обеспечения соблюдения и исполнения требований действующего законодательства Республики Казахстан: |
1) Контрагенты Оператора; |
1) Гражданство; |
3. УСЛОВИЯ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор осуществляет сбор и обработку персональных данных субъектов, в том числе передачу персональных данных на территорию иностранных государств (далее по тексту - «Трансграничная передача»), при наличии одного из нижеперечисленных условий:
3.1.1. С согласия субъекта персональных данных или его законного представителя;
3.1.2. Для защиты жизни, здоровья или иных жизненно важных интересов, конституционных прав и свобод человека и гражданина, если получение согласия субъекта персональных данных или его законного представителя невозможно;
3.1.3. В случае неисполнения субъектом персональных данных своих обязанностей по предоставлению персональных данных в соответствии с требованиями действующего законодательства Республики Казахстан;
3.1.4. В случае, когда требуется обязательное опубликование персональных данных в соответствии с требованиями законодательства Республики Казахстан;
3.1.5. В иных случаях, когда законодательством Республики Казахстан предусматривается сбор, обработка персональных данных без согласия субъекта персональных данных.
3.2. Сбор и обработка персональных данных Оператором ограничивается достижением конкретных и законных целей, указанных в главе 2 настоящей Политики. Оператор не допускает обработку персональных данных, несовместимую с целями сбора персональных данных.
3.3. Оператор в лице его руководителей и сотрудников принимает все необходимые правовые, организационные и технические меры для защиты персональных данных Субъектов от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления и распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.4. Оператор по запросу субъекта персональных данных, предоставляет необходимую информацию, касающуюся сбора, обработки и защиты его персональных данных.
3.5. Оператор осуществляет обработку и хранение персональных данных субъектов в форме, позволяющей идентифицировать субъекта персональных данных, в сроки не превышающие требования заявленных целей сбора и обработки персональных данных:
3.5.1. С согласия субъекта персональных данных на обработку его персональных данных - в течение срока, на который было дано согласие на обработку персональных данных;
3.5.2. Для достижения целей, предусмотренных международным договором Республики Казахстан или Законом, для осуществления и выполнения возложенных законодательством Республики Казахстан на оператора функций, полномочий и обязанностей - в течение срока, установленного соответствующими международными договорами или законами;
3.5.3. При необходимости обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Республики Казахстан, - в течение срока, установленного соответствующими законами;
3.5.4. Для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Республики Казахстан об исполнительном производстве - в течение срока, необходимого для исполнения соответствующего акта;
3.5.5. В связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах - в течение срока участия в соответствующем судопроизводстве, включая сроки обжалования (оспаривания) судебных актов, кроме случаев, когда более длительный срок обработки персональных данных установлен действующим законодательством Республики Казахстан.
4. ПОРЯДОК СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. При посещении Пользователями официального сайта или при использовании ими мобильного приложения и сервисов Маркетплейса для обеспечения работоспособности сервисов «Флорист.ру» и повышения качества оказываемых услуг, а также для исправления ошибок и улучшения работы сервисов, Оператор без цели идентифицировать конкретного пользователя осуществляет сбор и обработку нижеследующей технической информации:
4.1.1. IP-адрес;
4.1.2. Тип используемого мобильного устройства;
4.1.3. Операционная система устройства и тип браузера;
4.1.4. Уникальный идентификатор устройства;
4.1.5. Адрес ссылающихся веб-сайтов;
4.1.6. Путь, по которому пользователь проходит через официальный сайт;
4.1.7. Иная техническая информация, необходимая для достижения целей, указанных в п.4.1. настоящей Политики.
4.2. При сборе и обработки технической информации, указанной в п.4.1. настоящей Политики, Оператор использует нижеследующие технологии:
4.2.1. Файлы cookie, позволяющие Оператору предоставлять пользователям соответствующую информацию по мере использования ими официального сайта и мобильного приложения «Флорист.ру», в том числе при открытии и загрузке соответствующих страниц сервисов;
4.2.2. Веб-маяки, позволяющие Оператору получать информацию о посещении определённой страницы сервисов, о том, было ли открыто электронное письмо или оценить эффективность рекламных баннеров;
4.2.3. Идентификаторы мобильных устройств Пользователей.
4.3. Оператор принимает все необходимые и достаточные правовые, организационные и технические меры для обеспечения исполнения требований законодательства Республики Казахстан и локальных правовых актов Оператора в области сбора, обработки и защиты персональных данных и для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных:
4.3.1. Назначает лицо, ответственное за организацию и осуществление сбора, обработки и защиты персональных данных;
4.3.2. Утверждает локальные правовые акты, определяющие политику, цели, условия и все другие необходимые вопросы, регулирующие сбор, обработку и защиту персональных данных;
4.3.3. Все работники Оператора, осуществляющие сбор и обработку персональных данных, в обязательном порядке проходят соответствующее обучение и ознакомление с настоящей Политикой и локальными правовыми актами Оператора, а также с требованиями законодательства Республики Казахстан в области о сборе, обработке и защите персональных данных;
4.3.4. Размещает полный текст настоящей Политики на официальном сайте и в мобильном приложении Маркетплейса «Флорист.ру», и обеспечивает доступ к данному документу для любого субъекта персональных данных;
4.3.5. Прекращает обработку персональных данных и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Казахстан в области персональных данных;
4.3.6. Определяет угрозы безопасности персональных данных при их сборе и обработке в базе Маркетплейса «Флорист.ру» и информационной базе Оператора.
4.3.7. Осуществляет необходимую техническую и криптографическую защиту персональных данных;
4.3.8. Проводит оценку эффективности мер, принимаемых для обеспечения безопасности персональных данных до момента ввода в эксплуатацию информационной базы персональных данных;
4.3.9. Принимает все необходимые меры защиты при обнаружении фактов несанкционированного доступа к персональным данным;
4.3.10. Восстанавливает персональные данные в случае их модификации или уничтожения вследствие несанкционированного доступа;
4.3.11. Устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе (базе) персональных данных;
4.3.12. Обеспечивает регистрацию и учёт всех действий, совершаемых с персональными данными в информационной базе персональных данных;
4.3.13. Обеспечивает контроль за мерами, принимаемыми для безопасности персональных данных и уровня защищенности информационных баз персональных данных;
4.3.14. Проводит учёт машинных носителей персональных данных;
4.3.15. Проводит мониторинг действий пользователей;
4.3.16. Проводит служебные расследования по всем фактам нарушения требований безопасности персональных данных;
4.3.17. Совершает иные необходимые действия, предусмотренные законодательством Республики Казахстан в области персональных данных.
4.4. Оператор уничтожает или обезличивает персональные данные при достижении целей сбора и обработки, а также в случае, когда необходимость достижения целей сбора и обработки Оператором утрачена.
4.5. Сбор и обработка персональных данных на бумажных носителях без использования средств автоматизации осуществляется Оператором в следующем порядке:
4.5.1. Определяется место хранения персональных данных для каждой категории субъектов;
4.5.2. Устанавливается перечень лиц, имеющих доступ к персональным данным и осуществляющих их обработку;
4.5.3. Обеспечивается раздельное хранение бумажных носителей персональных данных с различными целями обработки;
4.5.4. Соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
5. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В случаях, когда это прямо не запрещено законодательством Республики Казахстан, Оператор вправе передавать персональные данные третьим лицам: поставщикам услуг хостинга, поставщикам заказов Маркетплейса, поставщикам товаров и услуг доставки, поставщикам услуг по выставлению счетов и возврату средств, банкам, платежным системам, процессорам платежных карт, сотрудникам контактных центров по работе с покупателями, поставщикам и разработчикам IT- услуг, и другим лицам на основании заключённых с Оператором договоров при соблюдении условий, указанных в настоящей Политике и в соответствии с действующим законодательствам Республики Казахстан.
5.2. Третьи лица, указанные в п.5.1. настоящей Политики, соблюдают принципы и правила сбора, обработки и защиты персональных данных, предусмотренные Законом Республики Казахстан «О персональных данных и их защите» и иными нормативными правовыми актами Республики Казахстан. Для каждого третьего лица, получающего персональные данные, в заключаемом с ними Оператором договоре определяются цели обработки персональных данных, перечень действий, которые будут совершаться третьим лицом с персональными данными, обязанности по соблюдению конфиденциальности персональных данных и меры по обеспечению защиты персональных данных.
5.3. В случаях, установленных законодательством Республики Казахстан, Оператор вправе осуществлять трансграничную передачу персональных данных.
6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъект персональных данных имеет право:
6.1.1. Знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую: подтверждение факта, цели, источников, способов сбора и обработки персональных данных; перечень персональных данных; сроки обработки персональных данных, в том числе сроки их хранения;
6.1.2. Требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
6.1.3. Требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
6.1.4. Требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
6.1.5. Отозвать согласие на сбор, обработку, распространение в общедоступных источниках, передачу третьим лицам и трансграничную передачу персональных данных, кроме случаев, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства;
6.1.6. Дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
6.1.7. На защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
6.1.8. На осуществление иных прав, предусмотренных настоящим Законом и иными законами Республики Казахстан.
6.2. Субъект вправе направить собственноручно подписанное соответствующее заявление Оператору в письменной форме по адресу: 050057 Республики Казахстан, город Алматы, проспект Гагарина, дом 124 или в электронной форме, подписанное электронной цифровой подписью и направленное в адрес электронной почты Оператора info@florist.kz.
6.3. Субъект персональных данных имеет право обжаловать действия или бездействие Оператора, нарушающие его права при сборе, обработке и защите его персональных данных, в уполномоченный орган в сфере защиты персональных данных (Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан) и в судебные органы в порядке, предусмотренном законодательством Республики Казахстан, а также иным образом защищать свои права и законные интересы, в том числе путём требования о возмещении морального и материального вреда.
7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1. Все вопросы непредусмотренные и неурегулированные в настоящей Политике, разрешаются в соответствии с действующим законодательством Республики Казахстан.
7.2. Настоящая Политика вступает в силу с момента её утверждения первым руководителем Оператора и распространяется на все персональные данные субъектов, собираемые и обрабатываемые Оператором с применением средств автоматизации и без применения таких средств.
7.3. Настоящая Политика, размещённая на официальном сайте и в мобильном приложении Маркетплейса «Флорист.ру», является общедоступным документом для любого субъекта персональных данных.
7.4. Оператор вправе в одностороннем порядке вносить изменения и дополнения в условия настоящей Политики, размещенной на официальном сайте и в мобильном приложении Маркетплейса «Флорист.ру» или утверждать и размещать новую редакцию Политики в отношении сбора, обработки и защиты персональных данных. Если иное не предусматривается Политикой, все вносимые в её текст изменения и дополнения вступают в силу с даты, указанной в настоящем документе при его размещении для общего доступа.
7.5. Субъекты персональных данных обязаны самостоятельно ознакомиться с текстом настоящей Политики, в той актуальной редакции, которая размещена на момент действующих или предполагаемых взаимоотношений с Оператором и использования официального сайта, мобильного приложения и сервисов Маркетплейса «Флорист.ру».