1.Область применения
Настоящая Политика в области обработки и обеспечения безопасности персональных данных ТОО "Мэнпауэр Каз" (далее – Политика) является документом, определяющим основы деятельности ТОО "Мэнпауэр Каз" (далее – Компания, Оператор) при обработке и защите персональных данных.
Политика разработана с учетом требований законодательства Республики Казахстан в области обработки и защиты персональных данных.
Политика раскрывает правовые основания обработки персональных данных (ПДн), принципы и цели такой обработки, правила обработки, сведения о принимаемых мерах защиты персональных данных, информацию о правах субъектов персональных данных.
Положения настоящей Политики являются обязательными для исполнения всеми работниками ТОО "Мэнпауэр Каз", осуществляющих обработку персональных данных.
Настоящая Политика подлежит размещению на официальном сайте ТОО "Мэнпауэр Каз".
2.Цели и принципы обработки персональных данных
2.1 Цели обработки персональных данных
Компания обрабатывает персональные данные в целях осуществления:
- заключение, сопровождение, изменение, расторжение трудовых договоров, которые являются основанием для возникновения или прекращения трудовых отношений между работниками и работодателем;
- содействие работникам в обучении и карьерном росте;
- содействие в получении социальных льгот и компенсаций;
- предоставление информации по запросам государственных органов;
- исполнение обязательств по трудовым договорам;
- ведение процесса согласования договоров и выполнение требований по договорам с контрагентами;
- осуществление коммуникации с сотрудниками;
- осуществление коммуникации с поставщиками;
- информирование сотрудников о корпоративной жизни ТОО "Мэнпауэр Каз";
- содействие работникам в организации внутренних коммуникаций;
- осуществление доступа к ИТ-инфраструктуре;
- заключение, изменение, расторжение договоров добровольного медицинского страхования и страхования жизни;
- ведение других видов деятельности в рамках законодательства РК, с обязательным выполнением требований законодательства РК в области персональных данных.
- заключение, изменение, расторжение договоров добровольного медицинского страхования и страхования жизни;
- содействие в получении социальных льгот и компенсаций;
- рассмотрение резюме и подбор кандидатов на вакантные должности для дальнейшего трудоустройства в ТОО "Мэнпауэр Каз" и в клиентские компании;
- ведение базы данных кандидатов;
- исполнение обязательств по договорам с контрагентами;
- заключение, сопровождение, изменение, расторжение договоров;
- исполнение обязательств, предусмотренных действующим законодательством, локальными нормативными актами и иными нормативными правовыми актами (в том числе в области охраны труда).
2.2 Объем и категории субъектов персональных данных
Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Не допускается обработка избыточных персональных данных по отношению к заявленным целям.
В информационных системах персональных данных Компании обрабатываются персональные данные следующих субъектов персональных данных:
- работники;
- родственники работников;
- кандидаты на вакантные должности;
- бывшие работники;
- контрагенты-физические лица;
- представители контрагентов-юридических лиц.
В рамках обработки персональных данных компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (распространение, предоставление, предоставление доступа ограниченному кругу лиц в соответствии с действующим законодательством), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3 Принципы обработки персональных данных
С целью эффективного функционирования процессов обработки персональных данных, компания руководствуется следующими принципами:
- законность – обработка персональных данных осуществляется на законной и справедливой основе;
- ограничение целей обработки – обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей и в дальнейшем персональные данные не должны обрабатываться способами, несовместимыми с этими целями. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Обработке подлежат только персональные данные, которые отвечают целям их обработки;
- минимизация обработки – содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, персональные данные являются адекватными по отношению к целям обработки;
- точность данных – в компании принимаются адекватные меры по обеспечению незамедлительного удаления или исправления персональных данных, которые являются неточными по отношению к целям их обработки;
- ограничение срока хранения – хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом;
- конфиденциальность, целостность, доступность – персональные данные обрабатываются способом, гарантирующим обоснованный уровень их безопасности, который предполагает использование приемлемых и адекватных организационных и технических мер защиты от несанкционированной или незаконной обработки персональных данных и от случайной потери, разрушения или уничтожения данных.
3 Порядок и условия обработки персональных данных
3.1 Основания обработки персональных данных субъектов
Компания имеет право обрабатывать персональные данные в случае, если применимо одно из следующих оснований обработки:
- субъект персональных данных дал свое согласие на обработку своих персональных данных для одной или нескольких конкретных целей;
- в целях осуществления деятельности правоохранительных органов, судов и иных уполномоченных государственных органов, которые возбуждают и рассматривают дела об административных правонарушениях, исполнительного производства;
- в случае осуществления государственной статистической деятельности;
- в случае использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;
- в случае реализации международных договоров, ратифицированных Республикой Казахстан;
- в случае защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно;
- в случае осуществления законной профессиональной деятельности журналиста и (или) деятельности теле-, радиоканалов, периодических печатных изданий, информационных агентств, сетевых изданий либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;
- в случае опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;
- в случае неисполнения субъектом своих обязанностей по представлению персональных данных в соответствии с законами Республики Казахстан;
- в случае получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан;
- в случае получения органами государственных доходов для осуществления налогового (таможенного) администрирования и (или) контроля информации от физических и юридических лиц в соответствии с законами Республики Казахстан;
- в случае передачи на хранение резервной копии электронных информационных ресурсов, содержащих персональные данные ограниченного доступа, на единую национальную резервную платформу хранения электронных информационных ресурсов в случаях, предусмотренных законами Республики Казахстан;
- в случае использования персональных данных субъектов предпринимательства, относящихся непосредственно к их предпринимательской деятельности, для формирования реестра бизнес-партнеров при условии соблюдения требований законодательства Республики Казахстан;
- в иных случаях, установленных законами Республики Казахстан.
Форма согласия на обработку персональных данных разработана ТОО "Мэнпауэр Каз" с соблюдением принципа предоставления субъекту наиболее полной и достаточной информации в доступной форме о порядке обработке его персональных данных и включает следующую информацию:
- наименование (фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность), бизнес-идентификационный номер (индивидуальный идентификационный номер) оператора;
- фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность) субъекта;
- срок или период, в течение которого действует согласие на сбор, обработку персональных данных;
- сведения о возможности оператора или ее отсутствии передавать персональные данные третьим лицам;
- сведения о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о распространении персональных данных в общедоступных источниках;
- перечень собираемых данных, связанных с субъектом.
Лица, допущенные к обработке персональных данных, в обязательном порядке подписывают обязательство о неразглашение информации, содержащей персональные данные.
3.2 Способы обработки персональных данных
Компания осуществляет обработку персональных данных с использованием средств автоматизации и без использования таких средств в соответствии с требованиями действующего законодательства.
Обработка персональных данных осуществляется с соблюдением конфиденциальности данных.
Предоставление доступа к персональным данным регламентировано внутренними документами компании и предоставляется только тем работникам, которым персональные данные необходимы для исполнения ими трудовых обязанностей.
Компания не принимает решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании автоматизированной обработки их персональных данных.
3.3 Трансграничная передача персональных данных
Трансграничная передача персональных данных Компанией может осуществляться трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения этими государствами защиты персональных данных.
Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:
1) наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных;
2) предусмотренных международными договорами, ратифицированными Республикой Казахстан;
3) предусмотренных законами Республики Казахстан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения;
4) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно.
3.4 Условия прекращения обработки персональных данных
Компания прекращает обработку ПДн в следующих случаях:
- достижение целей обработки персональных данных или утраты необходимости в их достижении;
- отзыв согласия субъекта на обработку его персональных данных (если отзыв согласия влечет за собой уничтожение персональных данных);
- получение соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных.
4 Организация защиты персональных данных
Компания обеспечивает комплексную защиту персональных данных, опираясь на:
- Действующее законодательство в области обеспечения безопасности персональных данных;
- характер, контекст и цели обработки персональных данных;
- процессы и масштабы обработки персональных данных;
- экономическую оценку внедрения средств и способов защиты персональных данных;
- оценку рисков вероятности и тяжести возможных последствий для субъектов персональных данных (рисков случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к передаваемым, переданным или иным образом обработанным персональным данным);
Компания при обработке персональных данных для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных принимает все необходимые правовые, организационные и технические меры.
Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
- обеспечением конфиденциальности, целостности, доступности и устойчивости систем обработки персональных данных;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер защиты;
- определением угроз безопасности персональных данных при их обработке в информационных системах;
- принятием локальных нормативных актов и иных документов, регулирующих обработку и защиту персональных данных;
- учетом машинных носителей персональных данных;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- назначением ответственного лица за организацию обработки и обеспечение безопасности персональных данных;
- выполнение регулярного тестирования, оценки эффективности технических и организационных мер обеспечения безопасности персональных данных;
- осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных законодательству Республики Казахстан и законодательству Европейского союза в области обработки и защиты персональных данных;
- ознакомлением работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Казахстан о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
5 . Права субъекта персональных данных
Субъект персональных данных подтверждает согласие на обработку данных путем совершения конкретного действия, которое четко указывает на то, что субъект в указанном контексте согласен на запланированную обработку своих персональных данных.
Субъект персональных данных вправе требовать от компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
В соответствии с законодательством Республики Казахстан субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных.
Сведения предоставляются субъекту персональных данных или его представителю законными представителями компании при получении запроса субъекта персональных данных или его представителя в письменной форме.
Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться в ТОО "Мэнпауэр Каз".
Настоящая Политика действует до момента отмены или приостановления ее действия руководством ТОО "Мэнпауэр Каз".
Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, материальную и административную ответственность в соответствии с действующим законодательством и локально-нормативными актами.