Политика безопасности персональных данных

ПОЛИТИКА

в отношении сбора, обработки и обеспечения безопасности персональных данных

ТОО «Ticketon Events» (Тикетон Евентс)

Версия №1

1. Назначение и область действия документа 

1.1. Политика ТОО «Ticketon Events» (Тикетон Евентс), расположенного по адресу: Республика Казахстан, г. Алматы, 050000, ул. Жибек Жолы д.135, офис 3103, БИН 151040009124, (далее по тексту «Товарищество») в отношении сбора, обработки персональных данных (далее по тексту также — «Политика») определяет позицию и намерения Товарищества в области сбора, обработки и обеспечения безопасности персональных данных с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

1.2. Политика неукоснительно исполняется руководителями и работниками всех структурных подразделений, филиалов и представительств Товарищества.

1.3. Действие Политики распространяется на все персональные данные субъектов, собираемые и обрабатываемые в Товариществе с применением средств автоматизации и без применения таких средств.

1.4. Во всём ином, что не предусмотрено настоящей Политикой, Товарищество руководствуется положениями действующего законодательства Республики Казахстан.

 

2. Определения

2.1. Персональные данные — сведения, относящиеся к определённому или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе. т.е. к такой информации, в частности, можно отнести: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, сведения о состоянии здоровья, а также другую информацию, позволяющую по совокупности определить, идентифицировать субъекта персональных данных.

2.2. Обработка персональных данных — действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.

2.3. Субъект персональных данных — физическое лицо, к которому относятся персональные данные.

2.4. Оператор — лицо, самостоятельно или совместно с иными лицами организующее и (или) осуществляющее сбор, обработку и защиту персональных данных.

2.5. Прочие определения используются в настоящей Политике в соответствии со значениями, определяемыми действующим законодательством Республики Казахстан, если иное прямо не указано в Политике.

 

3. Субъекты персональных данных 

Товарищество собирает, обрабатывает персональные данные следующих лиц:

  • работников Товарищества;
  • бывших работников Товарищества;
  • субъектов персональных данных, с которыми заключены договоры гражданско-правового характера;
  • кандидатов на замещение вакантных должностей Товарищества;
  • клиентов Товарищества, в том числе пользователей веб-сайта ticketon.kz и иных сайтов партнеров Товарищества, при помощи которых осуществляется реализация билетов с использованием Системы продажи электронных билетов Товарищества, включающая специализированный аппаратно-программный комплекс, предназначенный для работы с информационными ресурсами Системы,  осуществления продажи билетов на мероприятия, а также формирования баз данных о проданных билетах, в том числе состоящий из интернет-портала www.ticketon.kz, мобильного приложения для iOS и Android, встроенных виджетов на интернет-порталах-партнерах, системы автоматизации продаж билетов, установленной в автоматизированных кассах (далее по тексту — «Сайт(ы)»);
  • представителей и сотрудников контрагентов;
  • иных субъектов персональных данных для обеспечения реализации целей сбора, обработки, установленных настоящей Политикой, а также при наличии соответствующих законных оснований для сбора, обработки.

 

4. Принципы, условия и цели сбора, обработки персональных данных 

4.1. Под безопасностью персональных данных Товарищество понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.

4.2. Сбор, обработка и обеспечение безопасности персональных данных в Товариществе осуществляется в соответствии с требованиями Конституции Республики Казахстан, Закона Республики Казахстан № 94-V «О персональных данных и их защите», подзаконных актов, других определяющих случаи и особенности сбора, обработки персональных данных законов Республики Казахстан, руководящих и методических документов Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, а также его уполномоченных комитетов.

4.3. При сборе, обработке персональных данных Товарищество придерживается следующих принципов:

  • законности и справедливости;
  • ограничения сбора, обработки персональных данных достижением конкретных, заранее определённых и законных целей;
  • недопущения сбора, обработки персональных данных, несовместимой с целями сбора персональных данных;
  • недопущения объединения баз данных, содержащих персональные данные, сбор, обработка которых осуществляется в целях, несовместимых между собой;
  • соответствия содержания;
  • сбор, обработка персональных данных осуществляется с согласия субъекта персональных данных или его законного представителя, за исключением случаев, предусмотренных законодательством Республики Казахстан;
  • сбор, обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся сбора, обработки его персональных данных;
  • хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели сбора, обработки персональных данных;
  • оператор принимает меры по обеспечению достоверности собираемых, обрабатываемых им персональных данных, при необходимости обновляет их.

4.4. Товарищество собирает, обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:

  • сбор, обработка персональных данных осуществляется с согласия субъекта персональных данных или его представителя;
  • для защиты жизни, здоровья или иных жизненно важных интересов, конституционных прав и свобод человека и гражданина, если получение согласия субъекта персональных данных или его законного представителя невозможно;
  • в случае неисполнения субъектом персональных данных своих обязанностей по предоставлению персональных данных в соответствии с законодательством Республики Казахстан;
  • в случае, когда требуется обязательное опубликование персональных данных в соответствии с законодательством Республики Казахстан;
  • в иных случаях, когда законодательством Республики Казахстан предусматривается сбор, обработка персональных данных без согласия субъекта персональных данных.

4.5. Когда это прямо не запрещено законодательством Республики Казахстан, Товарищество вправе передавать персональные данные в адрес определяемых им третьих лиц на основании заключаемых договоров с такими третьими лицами при соблюдении условий, указанных в настоящем пункте. К таким лицам, в частности, относятся поставщики услуг Товарищества, включая, но не ограничиваясь: поставщики услуг, банки, платежные системы, процессоры платежных карт и т.д.

Третьи лица, получающие персональные данные от Товарищества, обязуются соблюдать принципы и правила сбора, обработки и защиты персональных данных, предусмотренные Законом Республики Казахстан № 94-V «О персональных данных и их защите» и иными нормативными правовыми актами Республики Казахстан.

Для каждого третьего лица, получающего персональные данные, в договоре будут определены цели обработки персональных данных, перечень действий, которые будут совершаться с персональными данными таким третьим лицом, обязанности по соблюдению конфиденциальности персональных данных, а также меры по обеспечению защиты персональных данных.

4.6. При получении на то согласия от субъекта персональных данных, Товарищество вправе осуществлять трансграничную передачу его персональных данных.

4.7. Товарищество уничтожает либо обезличивает персональные данные по достижении целей сбора, обработки или в случае утраты необходимости достижения целей сбора, обработки.

4.8. Персональные данные собираются, обрабатываются Товариществом в следующих целях:

  • обеспечения соблюдения законов Республики Казахстан и иных нормативных правовых актов, в том числе по защите прав потребителей;
  • осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Казахстан на Товарищество, в том числе по предоставлению персональных данных в государственные и правоохранительные органы;
  • обработки информации (резюме) кандидата на трудоустройство;
  • регулирования трудовых отношений с работниками Товарищества;
  • защиты жизни, здоровья или иных жизненно важных интересов, конституционных прав и свобод человека и гражданина;
  • подготовки, заключения, исполнения и прекращения договоров с контрагентами;
  • обеспечения пропускного и внутриобъектового режимов на объектах Товарищества;
  • исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Казахстан об исполнительном производстве;
  • рассмотрения обращений субъектов персональных данных;
  • ведения бухгалтерского и налогового учета;
  • направления субъекту персональных данных уведомлений, коммерческих предложений, рассылок информационного, новостного и рекламного характера, связанных с услугами Товарищества и его партнеров-Организаторов;
  • регистрации и последующей авторизации пользователей на Сайте, а также заполнения по инициативе пользователей сведений о них на Сайте;
  • обработки пользовательских запросов/претензий относительно услуг, оказываемых Товариществом;
  • проведения конкурсов, розыгрышей, рекламных акций и опросов, выявления победителей и доставки призов;
  • сбора и показа отзывов о товарах и услугах на Сайте, в том числе с публикацией определённых персональных данных пользователей на Сайте, а также для ответа на такие отзывы и иного взаимодействия Товарищества с пользователями по итогам ответа;
  • формирования различной аналитики на основе персональных данных и использования её для улучшения и персонализации действующих сервисов Товарищества и третьих лиц, входящих в одну группу (по смыслу ст. 165 Предпринимательского кодекса Республики Казахстан) с Товариществом, и запуска новых сервисов;
  • для обеспечения безопасности и целостности Сайта, а также сервисов Товарищества и третьих лиц, с которыми Товарищество находится в договорных отношениях.

Товарищество может собирать техническую информацию, когда пользователь посещает Сайты или использует мобильное приложение Товарищества. Сюда входит такая информация, как IP-адрес, тип используемого мобильного устройства, операционная система устройства и тип браузера, уникальный идентификатор устройства, адрес ссылающихся веб-сайтов, путь, по которому пользователь проходит через Сайты и т.д.

Товарищество может также использовать такие технологии, как файлы cookie, веб-маяки и идентификаторы мобильных устройств, для сбора информации об использовании Сайтов и мобильного приложения Товарищества.

При условии получения письменного согласия (в том числе, посредством проставления «галочки в соответствующем разделе)» пользователя сервисы Товарищества могут получать доступ к:

  • галерее изображений (для загрузки пользователем графической информации в Сервисы Товарищества);
  • геолокации (для определения местоположения и предоставления гео-зависимой информации пользователю);
  • камере устройства пользователя (для возможности производить фото- и видео-верификацию пользователя);
  • контактам телефонной книги (для возможности пользователю произвести перевод денежных средств по номеру мобильного телефона другому пользователю);
  • микрофону (для возможности пользователю взаимодействовать с Товариществом посредством аудио-связи).

Товарищество использует данную информацию для обеспечения работоспособности своего Сайта и мобильного приложения, для повышения качества оказываемых услуг, исправления ошибок и улучшения пользовательского опыта в целом. При этом Товарищество не преследует цели идентифицировать конкретного пользователя Сайта, мобильного приложения и услуг Товарищества.

Товарищество также вправе обрабатывать персональные данные для осуществления его прав и законных интересов в рамках осуществления видов деятельности, предусмотренных уставом и иными внутренними правовыми актами, либо для достижения иных законных целей при условии наличия соответствующего правового основания обработки персональных данных и соблюдения требований действующего законодательства Республики Казахстан.

4.9. Товарищество при осуществлении сбора, обработки персональных данных:

  • принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Казахстан и внутренних правовых актов Товарищества в области персональных данных;
  • принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • назначает лицо, ответственное за организацию сбора, обработки персональных данных;
  • издаёт внутренние акты, определяющие политику и вопросы сбора, обработки и защиты персональных данных в Товарищества;
  • осуществляет ознакомление работников Товарищества, его структурных подразделений, непосредственно осуществляющих сбор, обработку персональных данных, с положениями законодательства Республики Казахстан и внутренних актов Товарищества в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
  • публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
  • прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Казахстан в области персональных данных;
  • совершает иные действия, предусмотренные законодательством Республики Казахстан в области персональных данных.

 

5. Права субъекта персональных данных 

Лицо, персональные данные которого собираются, обрабатываются Товариществом, имеет право:

  • знать о наличии у Товарищества своих персональных данных, а также получать информацию, содержащую подтверждение факта, цели, источников, способов сбора и обработки персональных данных; перечень персональных данных; сроки обработки персональных данных, в том числе сроки их хранения;
  • требовать изменения и дополнения своих персональных данных при наличии оснований, подтверждённых соответствующими документами;
  • требовать блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
  • требовать уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом Республики Казахстан № 94-V «О персональных данных и их защите» и иными нормативными правовыми актами Республики Казахстан;
  • отозвать согласие на сбор, обработку персональных данных, кроме случаев, когда это противоречит законодательству Республики Казахстан либо при наличии неисполненного обязательства;
  • дать согласие (отказать) Товариществу на распространение своих персональных данных в общедоступных источниках персональных данных;
  • на осуществление иных прав, предусмотренных Законом Республики Казахстан № 94-V «О персональных данных и их защите» и иными нормативными правовыми актами Республики Казахстан.

Для реализации указанных выше прав субъекту персональных данных необходимо направить Товариществу соответствующее заявление:

  • в письменной форме с собственноручной подписью — по адресу: Республика Казахстан, г. Алматы, 050000, ул. Жибек Жолы д.135, офис 3103; либо
  • в виде электронного документа – на электронную почту info@ticketon.kz.

Субъект персональных данных имеет право обжаловать действия (бездействия) Товарищества, нарушающие его права при сборе, обработке и защите персональных данных, в уполномоченный орган в сфере защиты персональных данных (Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан) и в суд в порядке, установленном законодательством Республики Казахстан, а также иным образом защищать свои права и законные интересы, в том числе путём требования о возмещении морального и материального вреда.

 

6. Сведения о реализуемых требованиях к защите персональных данных 

Товарищество при сборе, обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К таким мерам, в частности, относится:

  • определение угроз безопасности персональных данных при их обработке в информационных системах (базах) персональных данных;
  • осуществление достаточной технической и криптографической защиты персональных данных;
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы (базы) персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе (базе) персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе (базе) персональных данных;
  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем (баз) персональных данных;
  • учёт машинных носителей персональных данных;
  • проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных.

 

Версия №1

Дата издания: 01.04.2024 г.