ТОО «DelRes» в отношении обработки персональных данных
1.1. Настоящая Политика определяет порядок обработки и защиты персональных данных в ТОО «DelRes» (далее — Правообладатель).
1.2. Настоящая Политика применяется ко всем персональным данным, которые обрабатываются Правообладателем.
1.3. Настоящая Политика является неотъемлемой частью Публичной оферты и применяется совместно с ней.
1.4. Требования настоящей Политики обязательны для работников Правообладателя, имеющих доступ к персональным данным.
1.5. В случае изменения законодательства Республики Казахстан в сфере обработки персональных данных Правообладатель вносит соответствующие изменения в настоящую Политику.
1.7. Настоящая Политика является основой для разработки внутренних документов Правообладателя в области защиты персональных данных.
2.1. Персональные данные — сведения, относящиеся к определенному или определяемому физическому лицу.
2.2. Субъект персональных данных — физическое лицо, к которому относятся персональные данные. В рамках настоящей Политики субъектами персональных данных являются клиенты Пользователей.
2.3. Правообладатель — ТОО «DelRes», осуществляющее обработку персональных данных в соответствии с законодательством Республики Казахстан.
Правообладатель выступает:
— оператором в отношении персональных данных своих клиентов;
— уполномоченным лицом по поручению Пользователей в отношении персональных данных их клиентов.
2.4. Обработка персональных данных — любые действия с персональными данными, включая сбор, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение.
2.5. Система «DelRes» — программное обеспечение Правообладателя, предназначенное для автоматизации учёта и управления бизнес-процессами.
2.6. Мобильное приложение — программное обеспечение, используемое для оформления заказов через Систему.
2.7. Пользователь — юридическое лицо или индивидуальный предприниматель, использующий Систему.
2.8. Клиент Пользователя — физическое лицо, оформляющее заказы через Систему.
2.9. Конфиденциальность персональных данных — обязательство не раскрывать персональные данные третьим лицам без согласия субъекта персональных данных или иного законного основания.
2.10. Блокирование персональных данных — временное прекращение обработки персональных данных.
2.11. Уничтожение персональных данных — действия, в результате которых персональные данные не подлежат восстановлению.
3.1. Пользователь предоставляет Правообладателю право на обработку персональных данных в объеме, необходимом для функционирования Системы.
3.2. Правообладатель вправе обрабатывать следующие категории субъектов персональных данных:
— Пользователи Системы;
— Клиенты Пользователей.
3.3. Правообладатель вправе использовать обезличенные и агрегированные данные, полученные в процессе функционирования Системы.
3.4. Обезличенные и агрегированные данные не позволяют идентифицировать конкретного субъекта персональных данных.
3.5. Правообладатель не использует персональные данные для собственных целей, не связанных с предоставлением услуг Пользователям.
3.6. Использование данных в аналитических целях, а также для обучения моделей машинного обучения и иных автоматизированных систем допускается исключительно в обезличенном виде.
3.7. Правообладатель обрабатывает персональные данные следующих категорий субъектов:
Клиенты Пользователей (физические лица):
— имя (ФИО);
— номер телефона;
— адрес доставки;
— информация о заказах.
3.8. Система может использовать алгоритмы машинного обучения и аналитические модели для формирования рекомендаций и улучшения качества услуг.
Результаты такой обработки носят рекомендательный характер и не являются обязательными для применения.
3.9. Пользователь подтверждает, что при передаче данных из сторонних сервисов (агрегаторов) обладает законными основаниями для их передачи.
Правообладатель не несет ответственности за законность получения таких данных Пользователем.
Правообладатель также не несет ответственности за действия Пользователя, связанные с обработкой персональных данных.
3.10. Пользователь несет ответственность за законность получения, хранения и передачи персональных данных своих клиентов.
В случае предъявления претензий третьими лицами или государственными органами, связанных с такими данными, Пользователь обязуется урегулировать их самостоятельно и возместить Правообладателю понесенные убытки.
Правообладатель не проверяет правомерность получения персональных данных и действует как технологический посредник.
4.1. Правообладатель является самостоятельным оператором в отношении обезличенных и агрегированных данных.
Пользователь является оператором персональных данных и самостоятельно определяет цели и способы их обработки.
Правообладатель не определяет цели и способы обработки персональных данных, обрабатываемых по поручению Пользователя.
Обезличенные и агрегированные данные могут использоваться Правообладателем для разработки, тестирования и улучшения Системы.
4.2. Правообладатель осуществляет обработку персональных данных исключительно по поручению Пользователя.
Обработка персональных данных осуществляется в следующих целях:
— обеспечение функционирования Системы;
— выполнение обязательств по договору с Пользователем;
— обеспечение технической поддержки.
4.3. Правообладатель не использует персональные данные для собственных целей, за исключением случаев, предусмотренных настоящей Политикой.
4.4. Правообладатель вправе привлекать третьих лиц для обработки персональных данных, включая поставщиков облачных и технологических услуг.
К таким лицам могут относиться:
— облачные провайдеры;
— хостинг-провайдеры;
— сервисы уведомлений (SMS, push).
Привлечение третьих лиц осуществляется при условии соблюдения ими требований законодательства Республики Казахстан.
Правообладатель вправе привлекать и заменять таких лиц без дополнительного уведомления Пользователя.
4.5. Правообладатель обязуется уведомить Пользователя о нарушении безопасности персональных данных в разумный срок.
4.6. По прекращении использования Системы Правообладатель:
— удаляет персональные данные;
— либо по запросу Пользователя передает их в согласованном формате.
При этом данные могут храниться в резервных копиях в течение срока до 30 дней, после чего подлежат уничтожению.
4.7. Правообладатель вправе хранить персональные данные дольше сроков, указанных в настоящей Политике, если это необходимо для соблюдения требований законодательства.
5.1. Правообладатель вправе использовать обезличенные и агрегированные данные для анализа, улучшения сервиса и разработки новых функций.
Такие данные не позволяют идентифицировать конкретное физическое лицо.
5.2. Обработка персональных данных осуществляется Правообладателем с учетом необходимости защиты прав и законных интересов субъектов персональных данных на основе следующих принципов:
5.2.1. Законность — обработка персональных данных осуществляется на законной и справедливой основе.
5.2.2. Ограничение цели — обработка персональных данных осуществляется только для заранее определенных и законных целей.
5.2.3. Соразмерность — объем и содержание персональных данных соответствуют целям их обработки и не являются избыточными.
5.2.4. Достоверность — персональные данные должны быть точными, достаточными и при необходимости актуализированными.
5.2.5. Конфиденциальность — персональные данные не подлежат раскрытию без законных оснований.
5.2.6. Ограничение хранения — персональные данные хранятся не дольше, чем это необходимо для целей их обработки.
5.2.7. Уничтожение и обезличивание — персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки.
5.3. Правообладатель вправе передавать персональные данные следующим категориям лиц:
— поставщики облачных и технологических услуг;
— хостинг-провайдеры;
— сервисы уведомлений.
Передача персональных данных осуществляется в объеме, необходимом для выполнения соответствующих функций.
Правообладатель обеспечивает, что такие лица принимают на себя обязательства по защите персональных данных.
5.4. Персональные данные хранятся в течение срока действия договора с Пользователем, а также в течение срока, предусмотренного законодательством Республики Казахстан.
5.5. По достижении целей обработки персональные данные подлежат уничтожению либо обезличиванию. Уничтожение осуществляется способами, исключающими возможность восстановления данных.
6.1. Правообладатель осуществляет обработку персональных данных на основании согласия субъектов персональных данных, полученного Пользователем.
Пользователь обязуется получать согласие субъектов персональных данных на их обработку и передачу Правообладателю.
Правообладатель осуществляет обработку персональных данных по поручению Пользователя в качестве уполномоченного лица.
6.2. Правообладатель не раскрывает и не распространяет персональные данные без согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Республики Казахстан.
6.3. Обработка персональных данных осуществляется Правообладателем с использованием Системы «DelRes».
Обработка включает сбор, хранение, использование и передачу персональных данных Пользователю, а также третьим лицам в соответствии с настоящей Политикой.
6.4. Правообладатель не осуществляет автоматизированное принятие решений на основе персональных данных, влекущих правовые последствия для субъектов персональных данных.
6.5. Трансграничная передача персональных данных может осуществляться при использовании отдельных технологических решений.
Такая передача осуществляется при наличии согласия субъекта персональных данных либо на иных законных основаниях.
Правообладатель принимает разумные меры для обеспечения защиты персональных данных при их трансграничной передаче.
6.6. Правообладатель не осуществляет сбор и обработку биометрических, генетических и иных специальных категорий персональных данных.
К таким данным относятся сведения о расовой и национальной принадлежности, политических взглядах, членстве в общественных организациях, состоянии здоровья и интимной жизни.
Пользователь обязуется не передавать такие данные в Систему.
6.7. Доступ к персональным данным предоставляется только работникам Правообладателя, имеющим соответствующие полномочия.
Доступ предоставляется в объеме, необходимом для выполнения служебных обязанностей.
7.1. Права субъекта персональных данных
Субъект персональных данных (клиент Пользователя) вправе:
7.1.1. Право на доступ
Получать информацию об обработке своих персональных данных, включая сведения об операторе, целях и способах обработки.
7.1.2. Право на отзыв согласия
Отозвать согласие на обработку персональных данных путем обращения к Пользователю, являющемуся оператором.
7.1.3. Право на изменение данных
Требовать внесения изменений в персональные данные в случае их неполноты, устаревания или недостоверности.
7.1.4. Право на прекращение обработки
Требовать прекращения обработки персональных данных, включая их уничтожение, при отсутствии законных оснований для обработки.
7.2. Обязанности Правообладателя
7.2.1. Правообладатель рассматривает запросы субъектов персональных данных, переданные Пользователем, и принимает меры по их исполнению.
7.2.2. По запросу Пользователя Правообладатель:
— прекращает обработку персональных данных;
— удаляет персональные данные из Системы.
7.2.3. По запросу Пользователя Правообладатель вносит изменения в персональные данные либо уведомляет об отсутствии технической возможности внесения изменений.
7.2.4. Правообладатель обеспечивает защиту персональных данных при их обработке.
7.2.5. В случае выявления нарушений безопасности персональных данных Правообладатель уведомляет Пользователя в разумный срок.
8.1. Правообладатель принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, изменения, раскрытия или уничтожения.
Меры защиты включают, в том числе, ограничение доступа, использование средств защиты информации и контроль за их применением.
8.2. К правовым мерам, принимаемым Правообладателем, относятся:
— разработка и применение внутренних политик и регламентов в области защиты персональных данных;
— заключение соглашений о конфиденциальности с работниками, имеющими доступ к персональным данным.
8.3. К организационным мерам, принимаемым Правообладателем, относятся:
— ознакомление работников с требованиями законодательства и внутренними документами в области защиты персональных данных;
— контроль за соблюдением требований по защите персональных данных.
9.1. Правообладатель осуществляет внутренний контроль за соблюдением требований законодательства Республики Казахстан и настоящей Политики.
9.2. Контроль за обработкой персональных данных осуществляется руководителем Правообладателя либо уполномоченным им лицом.
9.3. Лица, имеющие доступ к персональным данным, несут ответственность за соблюдение требований законодательства и настоящей Политики.
9.4. За нарушение требований законодательства Республики Казахстан и настоящей Политики работники Правообладателя несут ответственность в соответствии с действующим законодательством.
9.5. Вред, причиненный субъекту персональных данных в результате нарушения его прав, подлежит возмещению в соответствии с законодательством Республики Казахстан.
9.6. Правообладатель не несет ответственности за утрату или разглашение персональных данных, если таковые являются общедоступными либо были переданы самим субъектом персональных данных.
10.1. Настоящая Политика является общедоступной и размещается в сети Интернет по адресу: delres.kz.
10.2. Правообладатель вправе вносить изменения в настоящую Политику в одностороннем порядке. Изменения вступают в силу с момента их размещения на сайте delres.kz.
10.3. Субъекты персональных данных вправе получить разъяснения по вопросам обработки своих персональных данных, обратившись к Пользователю.
