Положение об обработке персональных данных

  1. Настоящее Положение о защите персональных данных (далее – Положение) Акционерного общества «Страховая компания «Freedom Finance Insurance» (далее – Общество/Оператор) разработано в целях исполнения законодательства Республики Казахстан и устанавливает порядок сбора, обработки и защиты персональных данных клиентов Общества.
  2. Обработка персональных данных в Обществе может осуществляться только в целях обеспечения соблюдения законов или иных правовых актов уполномоченного органа (далее – НБ РК).
  3. Положение определяет права и обязанности клиентов и Общества касательно подачи (отзыва) согласия на сбор, обработку персональных данных, а также порядок взаимодействия клиента и Общества по поводу сбора, документирования, хранения, защиты и уничтожения персональных данных клиентов.
  4. Основные термины и определения, применяемые в настоящем Положении:
    1. биометрические данные – персональные данные, которые характеризуют физиологические и биологические особенности клиента персональных данных, на основе которых можно установить его личность;
    2. персональные данные – сведения, относящиеся к определенному или определяемому на их основании клиенту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
    3. блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
    4. накопление персональных данных – действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;
    5. сбор персональных данных – действия, направленные на получение персональных данных;
    6. уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные;
    7. обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных клиенту невозможно;
    8. база, содержащая персональные данные – совокупность упорядоченных персональных данных;
    9. собственник базы, содержащей персональные данные – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право собственности базой, содержащей персональные данные;
    10. оператор базы, содержащей персональные данные – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
    11. защита персональных данных – комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных настоящим Положением;
    12. обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
    13. использование персональных данных – действия с персональными данными, направленные на реализацию целей деятельности Общества и третьего лица;
    14. хранение персональных данных – действия по обеспечению целостности, конфиденциальности и доступности персональных данных;
    15. распространение персональных данных – действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;
    16. субъект персональных данных – Клиент Общества, к которому относятся персональные данные;
    17. третье лицо – лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных.

2. Состав персональных данных Клиента

  1. Персональные данные Клиента составляют:
    1. сведения о фактах, событиях и обстоятельствах частной жизни Клиента, позволяющие идентифицировать его, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных законодательствами Республики Казахстан случаях;
  2. Документами, содержащими персональные данные, являются:
    1. удостоверение личности или иной документ, удостоверяющий личность, ИИН;
    2. другие документы, которые в соответствии с законодательными актами Республики Казахстан содержат сведения, предназначенные для использования в целях, предусмотренных настоящим Положением.

3. Сбор, обработка и хранение персональных данных Клиентов

  1. Сбор персональных данных клиента осуществляется путем получения документов, содержащих персональные данные Клиента и формирования базы, содержащей персональные данные Клиента Общества. Сбор, обработка персональных данных Клиента осуществляются Обществом с согласия субъекта или его законного представителя. Допускается сбор Обществом персональных данных Клиентов посредством:
    1. получения полной информации о персональных данных Клиента и обработке этих данных (в том числе, автоматизированной), а также сведений о средствах связи с клиентом (телефонные номера, адреса электронной почты и т.д.);
    2. копирования оригиналов документов, удостоверяющих личность;
    3. внесения сведений в досье Клиента на бумажных и электронных носителях;
    4. получения оригиналов необходимых документов, которые предусмотрены законодательными актами Республики Казахстан, содержащие сведения, предназначенные для использования Обществом в связи с осуществлением деятельности, предусмотренной Уставом Общества;
    5. получение персональных данных для обновления или исправления неверных, устаревших, недостоверных, неполных персональных данных, а также данных, обработанных с нарушением законодательства Республики Казахстан.
  2. Обработка персональных данных Клиентов включает получение, хранение, комбинирование, передача или любое другое использование персональных данных в пределах и объеме, предусмотренном в согласии Клиента.
  3. При обработке персональных данных Клиента в целях их защиты и обеспечения прав и свобод человека и гражданина, а также при определении объема и содержания обрабатываемых персональных данных Клиента должны строго учитываться положения Конституции Республики Казахстан и законодательных актов Республики Казахстан.
  4. Обработка персональных данных Клиента Общества осуществляется исключительно в целях:
    1. соблюдения Обществом законодательства Республики Казахстан;
    2. конфиденциальности персональных данных, ограниченного доступа;
    3. равенства прав Клиентов и Общества;
    4. обеспечения безопасности личности, общества и государства.
  5. Клиент Общества и (или) его законный представитель вправе знакомиться с документами Общества, устанавливающими порядок обработки персональных данных.
  6. Хранение персональных данных:
    1. данные каждого Клиента Общества содержатся на бумажных носителях и (или) электронных носителях;
    2. доступ к персональным данным Клиентов ограничен кругом лиц, определённых в пункте 13 настоящего Положения.

4. Доступ к персональным данным Клиентов

  1. Внутренний доступ в Обществе к персональным данным Клиентов имеют должностные работники, работники Общества, непосредственно использующие их в служебных целях, акционеры Общества, аудиторская компания, осуществляющая аудит Общества.
  2. Внешний доступ сторонним организациям и (или) третьим лицам: сообщение сведений о персональных данных Клиентов сторонним организациям и (или) третьим лицам разрешается при наличии письменного согласия Клиента и письменного запроса, подписанного руководителем сторонней организации либо третьим лицом, запросившим такие сведения, на котором имеется виза первого руководителя Общества.
  3. Общество вправе предоставлять доступ уполномоченным государственным органам к персональным данным Клиентов в порядке и в соответствии с требованиями действующего законодательства Республики Казахстан.

5. Защита персональных данных Клиентов

  1. При передаче персональных данных Клиентов с соблюдением условий, предусмотренных разделом 4 настоящего Положения, Общество обязано предупредить пользователей персональных данных Клиентов об ответственности за нарушение законодательства Республики Казахстан о персональных данных и их защите.
  2. Защита персональных данных Клиентов в Обществе обеспечивается следующим образом:
    1. персональные данные Клиентов хранятся в металлических шкафах, в соответствии с требованиями действующего законодательства Республики Казахстан;
    2. ограниченного доступа работников и третьих лиц к персональным данным Клиентов;
    3. соблюдением в Обществе требований законодательства о персональных данных и их защите.
  3. Защита персональных данных Клиентов от неправомерного их использования или утраты обеспечивается за счет средств Общества в порядке, установленном законодательством Республики Казахстан.
  4. Ответственное подразделение Общества обеспечивает подписание с Клиентами Общества их письменного согласия на сбор, обработку и хранение персональных данных по форме, приведенной в Приложении 1 к настоящему Положению.

6. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными Клиентов

  1. В случае нарушения Обществом или иными лицами, имеющими доступ к персональным данным Клиентов, норм, регулирующих получение, обработку, хранение, передачу и защиту персональных данных Клиентов, они несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Республики Казахстан.

7. Заключительные положения

  1. Вопросы, не урегулированные данным Положением, регулируются в соответствии с действующими законодательствами Республики Казахстан, все изменения или дополнения к настоящему Положению утверждаются Правлением Общества.
  2. В случае, если при изменении законодательства Республики Казахстан отдельные нормы настоящего Положения вступают в противоречие с действующим законодательством Республики Казахстан, эти нормы Положения утрачивают силу и до момента внесения изменений в настоящее Положение необходимо руководствоваться действующим законодательством Республики Казахстан.
  3. Во всем остальном, что не предусмотрено Положением, должностные лица и иные работники структурных подразделений Общества руководствуются нормами законодательства Республики Казахстан и иными внутренними документами Общества.
  4. Настоящее Положение пересматривается и обновляется по мере необходимости.
  5. Все приложения к Положению являются ее неотъемлемой частью и подлежат обязательному соблюдению и использованию в процессе деятельности Общества.
  6. Настоящее «Положение о защите персональных данных Клиентов Акционерного общества «Страховая компания «Freedom Finance Insurance» вступает в силу с «___» ______________ 2018 года.

Согласие на сбор, обработку и хранение персональных данных

Настоящее согласие на сбор и обработку данных (далее – "Согласие") предоставляется АО «СК «Freedom Finance Insurance», БИН 090640006849 (далее – "Оператор") в соответствии с нормами действующего законодательства Республики Казахстан и Международного финансового центра "Астана" (далее – "МФЦА").

  1. Согласие предоставляется Оператору и третьим лицам на:
    1. сбор и обработку персональных данных (как они определены в пункте B настоящего Согласия) путём:
      1. регистрации и (или) авторизации Субъекта на веб-сайте (в мобильном приложении) Оператора или в ином электронном ресурсе Оператора;
      2. подписания Согласия на бумажном или электронном носителе любым способом не ограничиваясь проставлением подписи (собственноручно), средствами электронной цифровой подписи, подписания путем использования одноразового (единовременного) кода (one-time password), направленного Оператором или его агентом на номер мобильного телефона Субъекта SMS-сообщением или в web или ином программном приложении путем push-уведомления;
      3. посещения офисов Оператора, в тех случаях, когда это применимо;
      4. посещения электронных ресурсов Оператора, в том числе путем приема Cookies или иных политик, протоколов, программных и аппаратных средств, которые могут фиксировать данные Субъекта;
      5. использования продуктов или сервисов Оператора.
    2. Передачу (использование) персональных данных, не ограничиваясь персональными данными, данными составляющими банковскую тайну, тайну страхования, тайну пенсионных накоплений, коммерческую тайну на рынке ценных бумаг и иную охраняемую законом тайну в пользу аффилированных лиц Оператора, агентов Оператора, и любых иных третьих лиц (далее совместно – "Третьи лица"), в том числе АО «ГКБ» (БИН 120940011577), АО «ЕНПФ» (БИН 971240002115), ТОО «Aviata» (БИН 130740006278), ТОО «Интернет Туризм» (БИН 120740008916), ТОО «Freedom Technologies», АО «Фридом Банк Казахстан» (БИН 090740019001), ТОО «МФО ФРИДОМ ФИНАНС Кредит» (БИН 190340008954) и страховых организации, осуществляющих деятельность в отрасли «страхование жизни», через АО «ГКБ» для заключения и расторжения договоров пенсионного аннуитета, внесения изменений и (или) дополнений в действующие договора пенсионного аннуитета, когда предоставление Данных требуется в соответствии с требованиями применимого законодательства, в целях предоставления Оператором или Третьими лицами продуктов и услуг Субъекту, или в целях исполнения обязательств по договору между Оператором и указанными Третьими лицами. Субъект соглашается, что Данные могут включаться в базы данных Оператора или Третьих лиц, где в последующем персональные данные Субъекта могут обрабатываться без какого-либо участия Оператора; при условии, что Оператор обязуется требовать от Третьих лиц обеспечить конфиденциальность переданных Данных;
    3. трансграничную передачу Оператором Данных за пределы территории Республики Казахстан и территории МФЦА на территорию государств в случаях, когда это необходимо для целей сбора и обработки Данных, заявленных в настоящем согласии. Субъект соглашается, что страны, в которые могут передаваться Данные, могут иметь условия и требования хранения Данных ниже чем те, которые предусмотрены применимым законодательством Республики Казахстан / МФЦА и операторы Данных в этих странах не смогут обеспечить им надлежащую защиту.
  2. В настоящем Согласии "Данные" не должны ограничиваться сведениями / информацией, относящейся к определенному или определяемому на их основании Субъекту, зафиксированные на электронном, бумажном и (или) ином материальном носителе, в том числе, без исключения: фамилия, имя и отчество (при наличии); транскрипция имени; индивидуальный или иной идентификационный номер (если он предоставлен Субъектом Оператору); полная дата рождения; данные документа, удостоверяющего личность (если он предоставлен Субъектом Оператору) и иные документы (паспорт, вод.права, и т.п.); справки из государственных учреждений (медицинские, наркологические и др.); номер телефона; адрес электронной почты; адрес места проживания; изображение Субъекта (фотография, аватар и т.п.) (если оно предоставлено Субъектом Оператору); биометрические данные; идентификаторы (наименование учетных записей и выбираемые Субъектом идентификаторы); контакты телефонной книги (при использовании мобильных приложений Оператора/Третьих лиц); изображения с камеры устройства Субъекта; цифровые документы; звуковая запись с микрофона мобильного устройства; модель устройства Субъекта и данные о его операционной системе и браузере и (или) типе интернет-соединения; сегмент рынка, к которому относится Субъект; информация о налоговом резидентстве и налоговом идентификаторе Субъекта; записи коммуникаций с представителями службы поддержки и продаж Оператора; идентифицирующие устройство Субъекта сведения; публичные комментарии Субъекта, размещенные на сайтах в сети Интернет; данные о местонахождении Субъекта, полученные по IP-адресу и (или) по e-SIM и (или) SIM-карте и (или) по GPS (глобальная система позиционирования); информация о веб-сайтах, посещаемых Субъектом в сети Интернет; информация о покупках, совершенных Субъектом в сети Интернет и иные метаданные для аналитики (куки и т.д.); контент, размещенный Субъектом, либо просмотренный им в сети Интернет; а также публично доступная информация о Субъекте из социальных сетей; информация / данные, составляющие банковскую тайну, тайну страхования, коммерческую тайну на рынке ценных бумаг и иную охраняемую законом тайну; информация / данные, которые могут быть получены Оператором от или в отношении Субъекта.
  3. Данные Субъекта собираются и обрабатываются с целью (перечень не является исчерпывающим): осуществления деятельности Оператора и Третьих лиц по оказанию финансовых услуг, маркетинговых и рекламных активностей, исследований, проведения акций, предоставления (пересылки) Субъекту любых информационных материалов, в том числе о продуктах и (или) услугах и (или) предложениях Оператора и Третьих лиц, а также иных уведомлений посредством телефонной, факсимильной и иных видов связи, а также по открытым каналам связи (в том числе SMS-сообщения, e-mail, push-уведомления, голосовые сообщения, системы удаленного доступа, социальные сети и т.п.), а также для оплаты с использованием QR-кодов или штрих кодов, для выбора получателя платежа или услуги из контактов телефонной книги, для отображения аватара/фото Субъекта в мобильном приложении Оператора и/или Третьих лиц, для получения и предоставления цифровых документов Субъекта в/из сервисы (-ов) цифровых документов, для голосового общения с представителями Оператора/Третьих лиц; для доставки товаров и оказания услуг Субъекту; для проведения проверок Оператором/Третьим лицом, связанных с исполнением требований по противодействию легализации (отмыванию) доходов и финансирования терроризма; для защиты клиентов Оператора от мошеннических действий Субъектов.
  4. Персональные данные Субъекта не могут распространяться Оператором и (или) Третьими лицами в общедоступных источниках, за исключением случаев, когда от Субъекта получено соответствующее письменное согласие на совершение этих действий.
  5. Настоящее Согласие предоставляется на весь период деятельности Оператора или до срока, когда будет выпущено обновленное согласие с донесением до Субъекта.
  6. Персональные данные Субъекта могут быть переданы уполномоченным органам в соответствии с законодательством Республики Казахстан без согласия Субъекта.