Политика оператора в отношении обработки персональных данных (далее — Политика) разработана в соответствии с законом Республики Казахстан от 21.05.2013 г. № 94-V «О персональных данных и их защите» (далее — Закон).

Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ТОО «Intermode (Интермоде)» (далее — Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Запросы Субъектов персональных данных в отношении обработки их персональных данных Оператором принимаются по адресам:

• Республика Казахстан, город Алматы, Медеуский район, Проспект Достык, дом 192/2, почтовый индекс 050000
• email: info@lacoste.kz

Срок рассмотрения обращений не превышает 30 (тридцати) дней со дня обращения.

В Политике используются следующие основные понятия:

персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), зафиксированная на электронном, бумажном и (или) ином материальном носителе;

персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом;

накопление персональных данных — действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;

автоматизированная обработка ПДн — обработка ПДн с помощью средств вычислительной техники;

блокирование ПДн — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);

обезличивание ПДн — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность ПДн конкретному субъекту ПДн;

обработка ПДн — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), дополнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;

оператор базы — государственный орган, юридическое и (или) физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными;

предоставление ПДн — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;

использование персональных данных — действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;

распространение ПДн — действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;

трансграничная передача ПДн — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

уничтожение ПДн — действия, в результате которых невозможно восстановить персональные данные.

2.1 Принципы обработки ПДн

Обработка ПДн у Оператора осуществляется на основе следующих принципов:

• соблюдения конституционных прав и свобод человека и гражданина;
• законности;
• конфиденциальности персональных данных ограниченного доступа;
• равенства прав субъектов, собственников и операторов;
• обеспечения безопасности личности, общества и государства.

2.2 Условия обработки ПДн

Оператор производит обработку ПДн при наличии хотя бы одного из следующих условий:

• обработка ПДн осуществляется с согласия субъекта ПДн или его законного представителя на обработку его ПДн;
• обработка ПДн необходима для реализации международных договоров, ратифицированных Республикой Казахстан;
• обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Республики Казахстан об исполнительном производстве;
• обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
• обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
• осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законами Республики Казахстан.

2.3 Цели обработки ПДн

ТОО «Intermode (Интермоде)» осуществляет обработку персональных данных в конкретных, заранее определенных и законных целях и на законных основаниях, в том числе для:

• осуществления продажи товаров;
• осуществления доставки и возврата товаров;
• предоставления доступа в личный кабинет зарегистрированному пользователю;
• осуществления новостных и рекламных рассылок;
• предоставления ответов на запросы пользователей сайта;
• сбора статистики о посетителях сайта.

2.4 Конфиденциальность ПДн

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено Законом.

2.5 Общедоступные источники ПДн

В целях информационного обеспечения у Оператора могут создаваться общедоступные источники ПДн субъектов ПДн, в том числе справочники и адресные книги. В общедоступные источники ПДн с письменного согласия субъекта ПДн или его законного представителя могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом ПДн.

Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн, уполномоченного органа по защите прав субъектов ПДн либо по решению суда.

2.6 Обработка персональных данных, разрешенных субъектом персональных данных для распространения

Доступ неограниченного круга лиц к персональным данным предоставляется субъектом персональных данных путем дачи отдельного согласия на обработку персональных данных, разрешенных субъектом для распространения.

В согласии на распространение могут быть установлены:

• запреты на передачу (кроме предоставления доступа) персональных данных Оператором неограниченному кругу лиц;
• запреты на обработку или условия обработки (кроме получения доступа) персональных данных неограниченным кругом лиц;
• категории и перечень персональных данных, для обработки которых субъект устанавливает условия и запреты.

Оператор не может отказать в установлении субъектом персональных данных таких запретов и условий. В течение 3 рабочих дней с момента получения согласия субъекта Оператор публикует информацию об условиях обработки и о наличии запретов и условий на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Если в согласии не установлены запреты и условия обработки, или категории и перечень персональных данных, на которые распространяются запреты и условия, – данные обрабатываются оператором без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представлителя.

Если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, Оператор, осуществляющий обработку таких данных (включая последующее распространение) обязан предоставить доказательства законности такой обработки.

Действие согласия на распространение персональных данных заканчивается с момента направления субъектом требований о прекращении такой обработки.

2.7 Биометрические персональные данные

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность — биометрические персональные данные — могут обрабатываться Оператором только при наличии согласия субъекта ПДн в письменной форме.

2.8 Поручение обработки ПДн другому лицу

Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено Законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом и настоящей Политикой

Хранение персональных данных осуществляется Оператором, а также третьим лицом в базе, находящейся на территории Республики Казахстан.

2.9. Трансграничная передача ПДн

Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу ПДн, обеспечивается защита прав субъектов ПДн, до начала осуществления такой передачи.

Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться в случаях:

• наличия согласия в письменной форме субъекта ПДн или его законного представителя на трансграничную передачу его ПДн;
• предусмотренных международными договорами, ратифицированными Республикой Казахстан;
• предусмотренных законами Республики Казахстан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения;
• защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно.

Субъект персональных данных имеет право:

• знать о наличии у Оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
  • подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
  • перечень персональных данных;
  • сроки обработки персональных данных, в том числе сроки их хранения;
• требовать от Оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
• требовать от Оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
• требовать от Оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан;
• отозвать согласие на сбор, обработку, распространение в общедоступных источниках, передачу третьим лицам и трансграничную передачу персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 Закона;
• дать согласие (отказать) Оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
• на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
• на осуществление иных прав, предусмотренных Законом и иными законами Республики Казахстан.

ТОО «Intermode (Интермоде)», как оператор ПДн, обязано:

• обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью;
• соблюдать законодательство Республики Казахстан о персональных данных и их защите;
• требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных;
• ограничить доступ субъекта персональных данных к его персональным данным в случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Республики Казахстан;
• обрабатывать данные, разрешенные субъектом персональных данных для распространения;
• осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Республики Казахстан;
• поручить обработку персональных данных другому лицу с согласия субъекта персональных данных;
• иные права, предусмотренные Законом.

Безопасность ПДн, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований законодательства Республики Казахстан в области защиты ПДн.

Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:

• назначение ответственного за организацию обработки персональных данных;
• назначение ответственных за обеспечение мер по сохранности персональных данных и исключению несанкционированный к ним доступа;
• назначение ответственного за обеспечение безопасности персональных данных в информационных системах; ограничение состава лиц, допущенных к обработке ПДн;
• ознакомление субъектов с требованиями законодательства Республики Казахстан и нормативных документов Оператора по обработке и защите ПДн;
• организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
• определение угроз безопасности ПДн при их обработке, формирование на их основе моделей угроз;
• разработка на основе модели угроз системы защиты ПДн;
• проверка готовности и эффективности использования средств защиты информации;
• разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
• регистрация и учет действий пользователей информационных систем ПДн;
• использование антивирусных средств и средств восстановления системы защиты персональных данных;
• применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
• организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.

Обработка ПДн прекращается, а собранные ПДн уничтожаются или обеспечивается прекращение обработки ПДн и их уничтожение (если обработка осуществляется другим лицом, действующим по поручению Оператора) в следующих случаях и в сроки, установленные Законом, если иное не установлено законодательством Республики Казахстан:

• по истечению установленного срока обработки ПДн;
• по достижении целей обработки ПДн или при утрате необходимости в их достижении;
• при отзыве субъектом ПДн согласия на обработку своих ПДн, если такое согласие требуется в соответствии с законодательством Республики Казахстан;
• по требованию субъекта ПДн или Уполномоченного органа по защите прав субъектов ПДн — если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• в случае выявления неправомерной обработки ПДн Оператором или лицом, действующим по его поручению, если обеспечить правомерность обработки ПДн невозможно;
• при вступлении в законную силу решения суда;
• в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан.

Сроки обработки ПДн определяются в соответствии с необходимыми сроками для достижения заявленных Оператором целей обработки ПДн. Архивное хранение ПДн осуществляется в соответствие с требованиями действующего законодательства Республики Казахстан.

Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Республики Казахстан в области персональных данных.

Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законами Республики Казахстан.