1. Общие положения

1.1. Важнейшим условием реализации целей деятельности Индивидуального предпринимателя «Чернухин» (далее по тексту – ИП «Чернухин», «Оператор») является обеспечение необходимого и достаточного уровня информационной безопасности информации, к которой, в том числе, относятся персональные данные.

1.2. Основные понятия, используемые в настоящей Политике:

1.2.1. персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;;

1.2.2. оператор базы, содержащей персональные данные (далее — оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

1.2.3. обработка персональных данных – действия, направленные на

• накопление;
• хранение;
• изменение;
• дополнение;
• использование;
• распространение;
• обезличивание;
• блокирование;
• уничтожение персональных данных.

1.2.4. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

1.2.5. распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

1.2.6. предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

1.2.7. блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;

1.2.8. накопление персональных данных — действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;

1.2.9. уничтожение персональных данных — действия, в результате совершения которых невозможно восстановить персональные данные обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;

1.2.10. информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.3. Политика в отношении обработки персональных данных в ИП «Чернухин»(далее – Политика) определяет любое действие (операцию) или совокупность действий (операций), по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (распространение, предоставление, доступ), обезличиванию, блокированию, удалению, уничтожению персональных данных, а также сведения о реализуемых требованиях к защите персональных данных.

1.4. Политика разработана в соответствии с действующим законодательством РК и обработка персональных данных основана на следующих нормативных правовых актах:

1.  Конституции Республики Казахстан;
2.  Трудового кодекса Республики Казахстан;
3.  Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите»;
4.  Закон Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации»
5.  Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных»;
6.  Иные нормативные правовые акты Республики Казахстан и нормативные документы уполномоченных органов государственной власти.

1.5. ИП «Чернухин» осуществляет обработку персональных данных на законной и справедливой основе.

1.6. ИП «Чернухин» не осуществляет обработку биометрических персональных данных.

1.7. ИП «Чернухин» вправе поручить в соответствии со ст. 7 Закона «О персональных данных и их защите» обработку персональных данных субъекта персональных данных другим лицам. При этом ответственность перед субъектом персональных данных за действия указанного лица несет оператор.

2. Цели обработки персональных данных

2.1. Персональные данные обрабатываются ИП «Чернухин» в следующих целях:

2.1.1. соблюдение законности обработки персональных данных;

2.1.2. осуществление и выполнение возложенных законодательством Республики Казахстан на Оператора функций, полномочий и обязанностей, в частности:

• выполнение требований законодательства в сфере труда и налогообложения;
• ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;
• выполнение требований законодательства по определению порядка обработки и защиты персональных данных граждан, являющихся сотрудниками, клиентами или контрагентами ИП «Чернухин»

2.1.3. осуществления прав и законных интересов ИП «Чернухин» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ИП «Чернухин», или третьих лиц либо достижения общественно значимых целей, в том числе:

• в целях организации и проведения ИП «Чернухин» программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов;
• исполнения ИП «Чернухин» обязательств в рамках договора розничной купли-продажи товаров в розничных магазинах «OVER STORE», а также в рамках купли-продажи товаров на официальном сайте https://overstore.kz;
• продвижения услуг и/или товаров ИП «Чернухин» и/или партнеров ИП «Чернухин» на рынке путем осуществления прямых контактов с клиентами ИП «Чернухин» с помощью различных средств связи, включая, но не ограничиваясь: по телефону с использованием специальных программ обмена сообщений, смс – рассылка сообщений, по электронной почте, почтовой рассылке и иными не запрещенными способами;

2.1.4. в иных законных целях.

3. Состав персональных данных и сроки их обработки

3.1. Все обрабатываемые ИП «Чернухин» персональные данные являются конфиденциальной, строго охраняемой информацией в соответствии с законодательством.

3.2. Состав персональных данных, подлежащих обработке, в зависимости от целей, сроков и необходимости обработки включает: ФИО; пол; дата и место рождения; паспортные данные; ИИН анкетные и биографические данные; образование; сведения о трудовом и общем стаже; сведения о составе семьи; сведения о воинском учете; сведения о заработной плате; сведения о социальных льготах; специальность; занимаемая должность; наличие судимостей; адрес места регистрации; адрес места жительства; номер домашнего телефона; номер сотового (мобильного телефона), адрес электронной почты; место работы или учебы членов семьи и родственников; характер взаимоотношений в семье; содержание трудового договора; состав декларируемых сведений о наличии материальных ценностей; содержание декларации, подаваемой в налоговую инспекцию; подлинники и копии приказов по личному составу; личные дела и трудовые книжки сотрудников; основания к приказам по личному составу; дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям; копии отчетов, направляемые в органы статистики.

3.3. ИП «Чернухин» в целях надлежащего исполнения своих обязанностей Оператора обрабатывает персональные данные следующих субъектов персональных данных, необходимые для надлежащего исполнения договорных обязательств:

• соискателей на замещение вакантных должностей – в составе и в сроки, необходимые для принятия ИП «Чернухин» решения о приеме либо отказе в приеме на работу, с согласия субъектов персональных данных, а также для формирования кадрового резерва с согласия субъектов персональных данных;
• работников, состоящих или состоявших в трудовых отношениях с ИП «Чернухин» – в составе и в сроки, необходимые для достижения целей, предусмотренных законодательством РК, осуществления и выполнения возложенных законодательством РК функций, полномочий и обязанностей, для формирования кадрового резерва с согласия субъектов персональных данных, а также для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в целях предоставления страхования с согласия субъектов персональных данных;
• родственников работников ИП «Чернухин» – в составе и в сроки, необходимые для осуществления и выполнения возложенных законодательством РК функций, полномочий и обязанностей, осуществления прав и законных интересов ИП «Чернухин», а также для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе, в целях предоставления страхования с согласия субъектов персональных данных;
• представителей контрагентов ИП «Чернухин» – в составе и в сроки, необходимые для осуществления взаимодействия с поставщиками с согласия субъектов персональных данных;
• лиц, получающих доход, но не состоящих в трудовых отношениях с ИП «Чернухин», в составе и в сроки, необходимые для достижения целей, предусмотренных законодательством РК, осуществления и выполнения возложенных законодательством РК функций, полномочий и обязанностей;
• представителей потенциальных и существующих клиентов – в составе и в сроки, необходимые для осуществления взаимодействия с потенциальными и существующими клиентами, с согласия субъектов персональных данных;
• иных физических лиц, состоящих в договорных отношениях с ИП «Чернухин» — в составе и в сроки, необходимые для осуществления целей взаимодействия.

4. Порядок сбора, хранения, передачи и иных видов обработки персональных данных

4.1. Обработка персональных данных происходит автоматизированным и неавтоматизированным способом.

4.1.1. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей). Оператором установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Оператор обеспечивает сохранность персональных данных и принимает меры, исключающие несанкционированный доступ к персональным данным.

4.1.2. Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится при условии выполнения следующих действий:

• Оператор проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
• защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным;
• технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование;
• Оператор производит резервное копирование данных, с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• осуществляется постоянный контроль за обеспечением уровня защищенности персональных данных.

4.2. К обработке персональных данных допускаются только сотрудники, прошедшие определенную процедуру допуска, к которой относятся:

• ознакомление сотрудника под роспись с локальными нормативными актами, регламентирующими порядок и процедуру работы с персональными данными;
• взятие с сотрудника подписки о соблюдении конфиденциальности в отношении персональных данных при работе с ними;
• получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам, содержащим в себе персональные данные. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы персональных данных.

Сотрудники, имеющие доступ к персональным данным, получают только те персональные данные, которые необходимы им для выполнения конкретных трудовых обязанностей.

4.3. Персональные данные хранятся в бумажном и электронном виде.

4.3.1. В бумажном виде персональные данные хранятся в специально оборудованных металлических шкафах и/или сейфах, либо в иных местах, которые запираются и опечатываются. Ключи находятся у ответственного сотрудника, назначаемого соответствующего приказом.

4.3.2. В электронном виде персональные данные хранятся в базах данных информационных систем персональных данных, а также в архивных (резервных) копиях баз данных этих информационных систем персональных данных.

4.3.3. При хранении персональных данных соблюдаются организационные и технические меры по обеспечению их сохранности и исключению несанкционированного доступа к ним, в том числе, но не исключительно:

• назначение сотрудника, ответственного за обработку персональных данных;
• ограничение физического доступа к местам обработки персональных данных, включая установку запирающих устройств, ограничение круга лиц, имеющих доступ и т.п.;
• cъемные электронные носители, на которых хранятся резервные копии персональных данных субъектов персональных данных (при необходимости маркируются и учитываются в журнале регистрации, учета и выдачи внешних носителей для хранения резервных копий персональных данных);
• учет всех информационных систем, электронных и бумажных носителей, а также архивных копий;
• применение сертифицированных средств защиты информации и средств криптографической защиты информации.

4.3.4. Подробный порядок регламентируется внутренними локальными актами Оператора.

4.4. Для целей обработки данных ИП «Чернухин» может передавать персональные данные:

• сотрудникам ИП «Чернухин»;
• третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных сведений по поручению ИП «Чернухин», где должны быть указаны перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных;
• по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно.

Передача персональных данных третьим лицам в остальных случаях возможна только с согласия субъекта персональных данных и только с целью исполнения обязанностей перед субъектом персональных данных.

При передаче персональных данных в электронном виде третьим лицам по открытым каналам связи ИП «Чернухин» обязано принимать все необходимые меры по защите передаваемой информации в соответствии с требованиями действующего законодательства РК в порядке, регламентированным локальными актами.

4.5. Изменение персональных данных производится на основании заявления субъекта персональных данных, на основании официальных документов, содержащих персональные данные субъекта персональных данных и в иных законных случаях.

4.6. Персональные данные хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Уничтожение с носителей и носителей, содержащих персональные данные субъектов, должно соответствовать следующим правилам:

• быть максимально надежным и конфиденциальным, исключая возможность последующего восстановления;
• оформляться соответствующим актом;
• должно проводиться комиссией по уничтожению персональных данных;
• уничтожение должно касаться только тех персональных данных, которые подлежат уничтожению в связи с достижением цели обработки указанных персональных данных либо утраты необходимости в их достижении, не допуская случайного или преднамеренного уничтожения актуальных носителей.

5. Права и обязанности субъекта персональных данных

5.1. Субъект персональных данных имеет право:

1.  знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
   подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
   перечень персональных данных;
   сроки обработки персональных данных, в том числе сроки их хранения;
2.  требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
3.  требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
4.  требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
5.  отозвать согласие на сбор, обработку персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 настоящего Закона;
6.  дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
7.  на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
8.  на осуществление иных прав, предусмотренных настоящим Законом и иными законами Республики Казахстан.

5.2. Субъект персональных данных обязан:

• представлять свои персональные данные в случаях, установленных законами Республики Казахстан;
• предоставить обновлённые персональные данные (в том числе обновлённые номер телефона и адрес электронной почты) в случае их изменения через обращение в Службу Поддержки клиентов на адрес электронной почты over.store@yandex.kz 
• Получить запрашиваемую информацию субъект персональных данных может, обратившись с письменным запросом в ИП «Чернухин». Ответ, содержащий запрашиваемую информацию, либо мотивированный отказ в ее предоставлении направляется по адресу, указанному в запросе, в течение 30 (Тридцати) дней.

Порядок обработки запросов субъектов персональных данных по выполнению их законных прав производится согласно утвержденному внутреннему документу, разработанному в соответствии с действующим законодательством в области защиты персональных данных и подконтролен сотруднику, ответственному за обработку персональных данных.

6. Сведения о реализуемых требованиях к защите персональных данных

6.1. ИП «Чернухин» получает персональные данные от субъектов персональных данных и от третьих лиц (лиц, не являющихся субъектами персональных данных). При этом ИП «Чернухин» выполняет обязанности, предусмотренные законодательством о персональных данных и их защите и Трудового кодекса РК при сборе персональных данных.

6.2. Компания прекращает обработку персональных данных в следующих случаях:

• при наступлении условий прекращения обработки персональных данных или по истечении установленных сроков;
• по достижении целей их обработки либо в случае утраты необходимости в достижении этих целей;
• по требованию субъекта персональных данных, если обрабатываемые в ИП «Чернухин» персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
• случае отзыва субъектом персональных данных согласия на обработку его персональных данных или истечения срока действия такого согласия (если персональные данные обрабатываются ИП «Чернухин» исключительно на основании согласия субъекта персональных данных);
• в случае ликвидации ИП «Чернухин».

6.3. ИП «Чернухин» для обеспечения выполнения обязанностей, предусмотренных законодательством РК о персональных данных и их защите, приняты следующие меры:

6.3.1. назначено лицо, ответственное за организацию обработки персональных данных;

6.3.2. изданы локальные акты по вопросам обработки и обеспечения безопасности персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РК, устранение последствий таких нарушений:

• Регламент по обработке персональных данных сотрудников;
• регламент по обработке персональных данных клиентов;
• настоящая Политика.
• другие локальные акты по вопросам обработки и обеспечения безопасности персональных данных;

6.3.3. применены правовые, организационные и технические меры по обеспечению безопасности персональных данных;

6.3.4. осуществляется внутренний контроль соответствия обработки персональных данных требованиям законодательства РК о персональных данных и их защите , настоящей Политики, локальных актов Компании;

6.3.5. проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства о персональных данных, произведено соотношение указанного вреда и принимаемых ИП «Чернухин» мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиями законодательства РК о персональных данных и их защите и принятых в соответствии с ним нормативных правовых актов;

6.3.6. работники ИП «Чернухин», непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства о персональных данных и их защите и принятых в соответствии с ним нормативных правовых актов, настоящей Политики и локальных актов по вопросам обработки персональных данных.

6.4. В Компании реализуются следующие требования к защите персональных данных:

• организован режим обеспечения безопасности помещений, в которых размещены информационные системы, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
• реализовано обеспечение сохранности носителей персональных данных;
• руководителем ИП «Чернухин» утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
• используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РК в области информатизации и обеспечения безопасности информации.

7. Положения по конфиденциальности и защите персональной информации в интернет-магазине

7.1. ИП «Чернухин»(далее – «Продавец») осуществляет обработку персональных данных клиентов, собранных на сайте интернет-магазина, находящегося по адресу: https://overstore.kz (далее – «сайт»).

7.2. К персональным данным, собранным на сайте, относятся:

• ФИО;
• Дата рождения;
• ИНН
• Адрес проживания;
• Адрес доставки заказа;
• Номер карты программы лояльности;
• Номер мобильного телефона;
• Адрес электронной почты;
• Прочая информация, предоставляемая клиентом в бумажных анкетах, анкетах на сайте, при общении с операторами Контакт-центра Продавца и в других источниках.

7.3. При оформлении заказа на сайте https://overstore.kz клиент предоставляет личную информацию, а именно фамилию, имя, отчество, номер мобильного телефона, адрес электронной почты, адрес доставки заказа и прочие данные, перечисленные в анкете, а Продавец использует эту информацию в соответствии с целями настоящего документа, а также для выполнения своих обязательств перед клиентом, в том числе, но не ограничиваясь, для сопровождения доставки заказа клиенту и информирования его о маркетинговых акциях, проводимых на сайте и в розничных магазинах.

7.4. Чтобы просмотреть историю заказов, получить доступ к оплате заказа бонусами и подарочной картой необходимо авторизоваться на сайте, используя мобильный номер телефона.

7.5. Клиент имеет право пользоваться всеми разделами личного кабинета на сайте, изменять и удалять информацию о себе.

7.6. Полное удаление персональных данных клиента производится после обращения клиента в Контакт-центр Продавца. Срок удаления необходимо уточнить у оператора Контакт-центра.

7.7. Продавец не несёт ответственность, если от имени клиента на сайте были совершены противоправные действия, в случае если персональные данные клиента, необходимые для пользования сайтом, были разглашены клиентом самостоятельно или по вине клиента.

7.8. Передавая свои персональные данные Продавцу, клиент даёт согласие на получение коммуникации от Продавца. Клиент может отозвать своё согласие на получение коммуникации через личный кабинет на сайте или через обращение в Контакт-центр. Есть возможность отказаться от получения коммуникации через один или несколько каналов коммуникации, сохраняя возможность получить сообщения от Продавца по другим каналам.

7.9. Коммуникация, получаемая клиентом, в связи с оформлением заказа на сайте / регистрацией на сайте / изменением персональной информации или в связи с другими действиями на сайте, которые инициируются клиентом, отправляется автоматически. От таких сообщений нельзя отписаться, так как они отправляются в целях соблюдения интересов клиента.

7.10. Продавец записывает cookies на устройство клиента, которое клиент использует для реализации своих потребностей на сайте. Cookies – это небольшие фрагменты данных, отправленные веб-сервером и хранимые на электронном устройстве клиента. Она используются для упрощения клиентского опыта пользования сайтом и для сбора аналитики Продавцом для улучшения качества предоставляемых услуг на сайте. «Cookies» не содержат конфиденциальную информацию. Посетитель сайта или клиент настоящим дает согласие на сбор, анализ и использование cookies, в том числе третьими лицами для целей формирования статистики и оптимизации рекламных сообщений.

7.11. Продавец получает информацию об ip-адресе посетителя Сайта https://overstore.kz. Данная информация не используется для установления личности посетителя.

7.12. Продавец вправе осуществлять записи телефонных разговоров с клиентом. При этом Продавец обязуется: предотвращать попытки несанкционированного доступа к информации, полученной в ходе телефонных переговоров, и/или передачу ее третьим лицам, не имеющим непосредственного отношения к исполнению заказов.

8. Информация о продавце

8.1. ИП «Чернухин», Республика Казахстан, город Астана, Целинный, дом 3, кв/офис 80. БИН 8709063002239. Заключительные положения

9.1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

9.2. Настоящая Политика является внутренним документом ИП «Чернухин», и подлежит размещению на сайте «OVER STORE» https://overstore.kz.

9.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных ИП «Чернухин».