Настоящая политика в соответствии с законом «О персональных данных» Республики Казахстан определяет политику ТОО «BHKZ» (далее – Оператор) в отношении обработки персональных данных и содержит сведения о реализуемых Оператором требованиях к защите персональных данных. Настоящая политика действует в отношении всех персональных данных, обрабатываемых с помощью Сервиса, которые Оператор получает или может получить от Пользователя.
1.1 Приведенные ниже термины и определения для целей настоящей политики имеют следующее значение:
1.2. Все остальные термины и определения, встречающиеся в тексте настоящей политики, толкуются Сторонами в соответствии с законодательством Республики Казахстан, действующими рекомендациями (RFC) международных органов по стандартизации в сети Интернет и сложившимися в сети Интернет обычными правилами толкования соответствующих терминов.
1.3. Термины и определения, используемые в настоящей политике, могут быть использованы как в единственном, так и во множественном числе в зависимости от контекста, написание терминов может быть использовано как с заглавной буквы, так и с прописной.
1.4. Названия заголовков (статей), а также конструкция политики предназначены исключительно для удобства пользования текстом политики и буквального юридического значения не имеют.
1.5. Настоящая политика разработана в соответствии с требованиями закона «О персональных данных» Республики Казахстан.
1.6. Настоящая политика определяет порядок и условия обработки персональных данных Оператором, включая порядок передачи персональных данных третьим лицам, особенности неавтоматизированной обработки персональных данных, порядок доступа к персональным данным, систему защиты персональных данных, порядок организации внутреннего контроля и ответственность за нарушения при обработке персональных данных, а также иные вопросы.
1.7. Настоящая политика вступает в силу с момента ее утверждения Оператором и действует бессрочно до замены ее новой политикой.
1.8. Оператор вправе вносить изменения в настоящую политику без согласия Пользователя. Все изменения в политику вносятся распорядительным актом Оператора.
1.9. Настоящая политика применяется ко всем процессам по обработке персональных данных, осуществляемым с помощью Сервиса без использования средств автоматизации. Оператор не контролирует и не несет ответственности за сервисы, принадлежащие третьим лицам, на которые Пользователь может перейти по ссылкам, размещенным в Сервисе.
2.1. Оператор осуществляет обработку персональных данных Пользователя, руководствуясь законом «О персональных данных» Республики Казахстан
2.2. Обработка персональных данных Пользователя производится на основании и во исполнение Соглашения, регулирующего порядок использования Сервиса, и иных сделок, соглашений или договоров, заключаемых между Пользователем и Оператором, либо на основании отдельного согласия Пользователя на такую обработку.
2.3. Обработка персональных данных Пользователя производится Оператором только в случае достижения Пользователем возраста 16 лет. В случае, если Пользователь младше 16 лет, то требуется обязательное согласие законных представителей Пользователя, в ином случае, Оператор при обнаружении несоответствия возраста требуемому удаляет Пользователя из Сервиса.
3.1. Оператор осуществляет обработку только тех персональных данных, которые необходимы для использования Сервиса или исполнения сделок, соглашений и договоров с Пользователем, за исключением случаев, когда нормами права Республики Казахстан предусмотрено обязательное хранение персональной информации в течение определенного законом срока.
3.2. При обработке персональных данных Оператор не объединяет базы данных, содержащие персональные данные, обработка которых осуществляется в несовместимых между собой целях.
3.3. Оператор осуществляет обработку персональных данных Пользователя в следующих целях:
3.3.1. использование персональных данных Пользователей, являющихся физическими лицами, использующими Сервис, для целей заключения и исполнения Соглашения или любой другой сделки с Оператором;
3.3.2. использование персональных данных Пользователей для целей надлежащего функционирования Сервиса в соответствии с ожиданиями Пользователей, в частности для корректной идентификации Пользователей и обмена между ними своими геоданными;
3.3.3. размещение персонализированной рекламной и/или иной информации в любом разделе Сервиса и прерывание использования Сервиса рекламной информацией;
3.3.4. проведение статистических и иных исследований использования Сервиса на основе обезличенных данных;
3.3.5. проведение маркетинговых программ, различных предложений, акций и рекламных мероприятий, касающихся Сервиса;
3.3.6. соблюдение обязательных требований законодательства Республики Казахстан.
4.1. Оператор может получать персональные данные Пользователя из различных источников, в частности:
4.2. от Сервиса или веб-сайта Оператора в процессе их функционирования;
4.3. при обращениях Пользователя в службу технической поддержки Сервиса;
4.4. при участии Пользователя в маркетинговых программах, различных предложениях, акциях и рекламных мероприятиях Оператора, касающихся Сервиса.
4.5. Оператор осуществляет обработку персональных данных, необходимых для исполнения Соглашения, иной сделки с Пользователем.
4.6. Персональные данные, разрешённые к обработке в соответствии с настоящей политикой и предоставляемые Пользователями – физическими лицами, использующими Сервис, путем заполнения соответствующих полей ввода при использовании Сервиса, могут включать в себя следующую информацию:
4.6.1 токен;
4.7. Персональные данные, обрабатываемые в соответствии с настоящей политикой и автоматически передаваемые Оператору в процессе использования Сервиса с помощью установленного на устройстве Пользователя программного обеспечения, могут включать в себя следующую информацию:
4.7.1. HTTP-заголовки;
4.7.2. IP-адрес устройства;
4.7.3 данные файлов «cookie»;
4.7.4. данные, собираемые счетчиками;
4.7.5. данные, получаемые с помощью веб-маяков;
4.7.6. информация о браузере;
4.7.7. технические характеристики устройства и программного обеспечения;
4.7.8. технические данные о работе Сервиса, включая даты и время использования и доступа к Сервису;
4.7.9. адреса запрашиваемых страниц Сервиса;
4.7.10. ID Telegram
4.7.11. ID Vkontakte
4.7.12. ID Whatsapp
4.7.13. ID Facebook messenger
4.7.14. Изображения, содержащие биометрические данные Пользователя;
4.7.15. Информация о месте и должности работы;
4.7.16. геолокационные данные.
4.8. В соответствии с настоящей политикой Оператор осуществляет обработку персональных данных лиц, относящихся к следующим категориям субъектов персональных данных:
4.8.1. физические лица, использующие Сервис в соответствии с Соглашением об его использовании;
4.9. Обработка определенных категорий персональных данных Пользователей, использующих Сервис как от своего имени, так и от имени представляемого ими физического лица, осуществляется со следующими особенностями:
4.9.1. Контактная информация Пользователя (фамилия, имя и отчество, пол, дата рождения, город, страна, номер мобильного телефона, адрес электронной почты, идентификаторы мессенджеров, токен). Ряд данных используется для идентификации Пользователя в Сервисе и на веб-сайте Оператора, в том числе при обращении Пользователя в техническую поддержку. Адреса электронной почты и номера телефонов могут быть использованы для отправки сообщений Пользователям (например, о безопасности или сообщения с важными предупреждения). Пользователи также могут указать имена (или прозвища), для использования их в электронных письмах Оператору.
4.9.2. Информация об использовании Пользователем Сервиса, в т.ч. дата и время доступа к Сервису. Такая информация обрабатывается в целях изучения активности Сервиса и его взаимодействии с Пользователем, в частности, сколько времени у Сервиса заняло выполнение той или иной операции по запросу Пользователя, какая функциональность используется Пользователями чаще, чем другие. Такая информация помогает Оператору улучшать Сервис, увеличивать его производительность и делать его удобнее для использования.
4.9.3. Технические характеристики устройства Пользователя, включая его IP-адрес, и его программного обеспечения. Такая информация как тип устройства, операционная система, IP-адрес, способ подключения к сети и т.п., может понадобиться для того, чтобы Оператор был способен учесть нюансы функционирования Сервиса на различных устройствах, в различных сетях и обеспечить его совместимость со сторонним программным обеспечением.
4.9.4. Данные, собираемые счетчиками, и данные файлов «cookie». Обработка указанных данных помогает Оператору изучать активность Сервиса и своего веб-сайта при помощи сторонних программных инструментов, определять количество загрузок, установок, удалений Сервиса с устройства Пользователя, источники перехода на страницу для скачивания. Такая информация помогает Оператору лучше понять поведение Пользователей и усовершенствовать каналы распространения Сервиса.
4.9.5. Информация о приблизительном местонахождении Пользователя, в т.ч. получаемая от Сервиса, работающего на устройстве в фоновом режиме. Сервис может как в активном, так и в фоновом режиме собирать данные о местонахождении Пользователя, предоставляемые ему аппаратным обеспечением устройства Пользователя для целей маркетингового и статистического исследования использования Сервиса Пользователем.
4.10. Как мы используем информацию. Мы можем использовать предоставленную вами персональную информацию для следующих целей:
5.1. Оператор осуществляет обработку и хранит персональные данные Пользователя в течение срока, определяемого в соответствии с Соглашением об использовании Сервиса, либо о котором Оператор сообщил Пользователю при получении согласия Пользователя на обработку его персональных данных иным путем (в чек-боксе, в смс-сообщении, в электронном письме и т.п.).
5.2. В отношении персональных данных Пользователя сохраняется их конфиденциальность, кроме случаев добровольного предоставления Пользователем информации о себе для общего доступа неограниченному кругу лиц.
5.2.1. Оператор вправе передать персональные данные Пользователя третьим лицам с использованием современных способов шифрования соединения через защищенный протокол HTTPS в следующих случаях:
5.2.2. Пользователь обратился к Оператору с просьбой о такой передаче;
5.2.3. имеется согласие Пользователя на такие действия;
5.2.4. передача необходима для использования Пользователем определенного функционала Сервиса (например, для авторизации через аккаунты в социальных сетях) либо для исполнения определенного соглашения, договора или сделки с Пользователем;
5.2.5. передача предусмотрена законодательством Республики Казахстан или иными нормами права в рамках установленной нормативными правовыми актами процедуры;
5.2.6. в случае перехода прав на Сервис необходима передача персональных данных приобретателю одновременно с переходом всех обязательств по соблюдению условий настоящей политики применительно к полученным им персональным данным;
5.2.7. для обеспечения защиты прав и законных интересов Оператора или третьих лиц, когда со стороны Пользователя происходит нарушение настоящей политики или Соглашения об использовании Сервиса;
5.2.8. в иных случаях, предусмотренных нормативными правовыми актами.
5.3. Обработчиками могут быть:
5.4. Оператор принимает необходимые организационные и технические меры для защиты персональных данных Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц. В частности, все обрабатываемые данные передаются с использованием современных способов шифрования соединения через защищенный протокол HTTPS.
5.5. В случае, если нарушение защиты персональных данных может создать высокую степень риска для прав и свобод физических лиц, то Оператор без необоснованной задержки уведомляет Пользователя об утечке персональных данных. Сообщение субъекту данных не требуется, если выполнено любое из следующих условий: (a) Оператор принял надлежащие технические и организационные защитные меры защиты, и такие меры были применены в отношении персональных данных, затронутых утечкой, в том числе и такие меры, которые отображают персональные данные в непонятном виде для любого лица, которое не имеет права доступа к ним, среди которых криптографическая защита; (b) Оператор предпринял последующие меры, которые гарантируют, что высокий риск для прав и свобод субъектов данных больше не способен получить вероятную реализацию; (c) требуются несоразмерные усилия. В этом случае, вместо этого делается сообщение для всеобщего сведения либо предпринимается аналогичная мера, посредством которой субъекты данных информируются равнодействующим способом.
5.6. Оператор принимает необходимые организационные и технические меры для защиты персональных данных Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.
5.7. Оператор совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или несанкционированным разглашением персональных данных Пользователя.
5.8. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным нормативными правовыми актами.
5.9. При сборе персональных данных Оператор осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Пользователей, являющихся гражданами Республики Казахстан, с использованием баз данных, находящихся на территории Республики Казахстан.
5.10. Оператор прекращает обработку персональных данных Пользователей, обработка которых осуществляется с их согласия, при истечении срока действия согласия Пользователя на их обработку или при отзыве согласия Пользователя на обработку его персональных данных, а также в случае выявления неправомерной обработки персональных данных или ликвидации Оператора.
6.1. Право доступа к персональным данным Пользователя имеют только сотрудники Оператора и/или Обработчика, допущенные в силу выполняемых служебных обязанностей к работе с персональными данными Пользователя на основании перечня лиц, допущенных к работе с персональными данными, который утверждается Оператором и/или Обработчиком.
6.2. Оператор и/или Обработчик поддерживает в актуальном состоянии перечень сотрудников, получивших доступ к персональным данным.
6.3. Без согласия Пользователя запрещен доступ к персональным данным Пользователя со стороны лиц, не являющихся сотрудниками Оператора и/или Обработчика, за исключением случаев, установленных нормативными правовыми актами.
6.4. Доступ сотрудника Оператора и/или Обработчика к персональным данным Пользователя прекращается с даты прекращения трудовых отношений либо с даты утраты сотрудником права доступа к персональным данным Пользователя в связи с изменением должностных обязанностей, должности или иными обстоятельствами в соответствии с установленным у Оператора/Обработчика порядком. В случае прекращения трудовых отношений все носители с персональными данными Пользователя, которые находились в распоряжении увольняемого сотрудника Оператора/Обработчика, передаются вышестоящему по должности сотруднику в порядке, установленном Оператором/Обработчиком.
7.1. Пользователь может в любой момент изменить, обновить, дополнить или удалить предоставленные им персональные данные или их часть с помощью интерфейса Сервиса.
7.2. В случае самостоятельного выявления Оператором факта неполноты или неточности персональных данных Пользователя Оператор принимает все возможные меры по актуализации персональных данных и внесению соответствующих исправлений.
7.3. При невозможности актуализировать неполные или неточные персональные данные Пользователя Оператор принимает меры по их удалению.
7.4. При выявлении неправомерности обработки персональных данных Пользователя их обработка Оператором прекращается, а персональные данные подлежат удалению.
7.5. В ситуации неработоспособности интерфейса Сервиса или отсутствия функциональной возможности Сервиса для изменения, обновления, дополнения или удаления Пользователем персональных данных, а также в любых иных случаях Пользователь вправе в письменной форме требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения по причине того, что персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
7.6. Оператор вносит в персональные данные, являющиеся неполными, неточными или неактуальными, необходимые изменения в срок, не превышающий семи рабочих дней со дня предоставления Пользователем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.
7.7. Оператор уничтожает незаконно полученные или не являющиеся необходимыми для заявленной цели обработки персональные данные Пользователя в срок, не превышающий семи рабочих дней со дня представления Пользователем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
7.8. Оператор уведомляет Пользователя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления лиц, которым персональные данные этого Пользователя были переданы.
7.9. Права Пользователя на изменение, обновление, дополнение или удаление персональных данных могут быть ограничены в соответствии с требованиями нормативных правовых актов. Такие ограничения, в частности, могут предусматривать обязанность Оператора сохранить измененные, обновленные, дополненные или удаленные Пользователем персональные данные на определенный нормативными правовыми актами срок и передать такие персональные данные в соответствии с установленной процедурой государственным органам.
8.1. Пользователь имеет право на получение от Оператора информации, касающейся обработки его персональных данных, в том числе содержащей:
8.1.1. подтверждение факта обработки персональных данных Оператором;
8.1.2. правовые основания и цели обработки персональных данных;
8.1.3.применяемые Оператором способы обработки персональных данных;
8.1.4. наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании нормативных правовых актов;
8.1.5. обрабатываемые персональные данные, относящиеся к соответствующему Пользователю, источник их получения, если иной порядок представления таких данных не предусмотрен нормативным правовым актом;
8.1.6. сроки обработки персональных данных, в том числе сроки их хранения;
8.1.7. порядок осуществления Пользователем прав, предусмотренных нормативными правовыми актами в области персональных данных;
8.1.8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
8.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
8.1.10. иные предусмотренные нормативными правовым актами сведения.
8.2. Оператор безвозмездно предоставляет возможность ознакомления с обрабатываемыми и хранимыми в информационной системе Оператора персональными данными при обращении Пользователя в течение тридцати календарных дней с даты получения письменного запроса Пользователя.
8.3. В случае отказа Оператора в предоставлении информации о наличии персональных данных о Пользователе или персональных данных Пользователю при получении запроса Пользователя Оператор предоставляет в письменной форме мотивированный ответ, являющийся основанием для такого отказа, в срок, не превышающий тридцати календарных дней с даты получения запроса Пользователя.
8.4. Оператор предоставляет возможность направить запрос на удаление персональных данных, сведения о которых были получены Пользователем путем направления запроса на электронный адрес hello@bothelp.io.
8.5. В случае направления Пользователем запроса, в соответствии с пунктом 8.4 Оператор удаляет персональные данные в течение тридцати календарных дней с момента получения письменного запроса Пользователя.
9.1. Оператор применяет систему защиты персональных данных, включающую правовые, организационные, технические и другие меры для обеспечения безопасности персональных данных, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
9.2. Применительно к персональным данным, в отношении которых предоставлено согласие Пользователя на их обработку третьими лицами, Оператор вправе привлекать на основании договора иное лицо, обеспечивающее безопасность персональных данных при их обработке в информационной системе. При этом все обрабатываемые данные передаются с использованием современных способов шифрования соединения через защищенный протокол HTTPS.
9.3. Оператор при обработке персональных данных в своей информационной системе обеспечивает:
9.3.1 проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным Пользователя и/или передачи их лицам, не имеющим права доступа к такой информации;
9.3.2. своевременное обнаружение фактов несанкционированного доступа к персональным данным;
9.3.3. недопущение воздействия на технические средства, задействованные в обработке персональных данных, в результате которого может быть нарушено их функционирование;
9.3.4. возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
9.3.5. постоянный контроль над обеспечением уровня защищенности персональных данных.
9.4. Для соблюдения требований по обеспечению безопасности и внедрения системы обеспечения безопасности персональных данных Оператор разработал частную модель угроз безопасности информационной системы персональных данных.
9.5. Оператор составил акт определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных.
9.6. Оператор на основании акта определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных без использования средств автоматизации разработал и внедрил комплекс мер по защите и обеспечению безопасности персональных данных.
9.7. Оператор использует технические средства и программное обеспечение для обработки и защиты персональных данных, а также ведет журнал учета средств защиты персональных данных.
9.8. Оператор ведет журнал учета и хранения съемных носителей информации, содержащих персональные данные.
9.9. Технические средства, обеспечивающие функционирование информационной системы персональных данных, размещаются в помещениях, принадлежащих Оператору на праве собственности или ином вещном праве (аренда, безвозмездное пользование и т.д.).
9.10. Все сотрудники Оператора, допущенные к работе с персональными данными, а также связанные с эксплуатацией и техническим обслуживанием информационной системы персональных данных, ознакомлены с требованиями настоящей политики и с внутренними документами Оператора, регулирующими порядок работы с персональными данными.
9.11. Оператор организовал обучение сотрудников порядку использования средств защиты персональных данных, эксплуатируемых Оператором. Обучение проходят сотрудники, имеющие постоянный доступ к персональным данным, и сотрудники, связанные с эксплуатацией и техническим обслуживанием информационной системы персональных данных и средств защиты персональных данных.
9.12. Внутренними документами Оператора установлено, что сотрудники обязаны незамедлительно сообщать соответствующему должностному лицу Оператора об утрате, порче или недостаче носителей информации, содержащих персональные данные, а также о попытках несанкционированного доступа к персональным данным, его причинах и условиях.
10.1. Пользователь принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, по своей воле и в своем интересе.
10.2. Согласие на обработку персональных данных, предоставленное Пользователем, является свободно данным, конкретным, информированным и сознательным.
10.3. В случае обработки персональных данных Пользователя на основании и во исполнение Соглашения, регулирующего порядок использования Сервиса, и иных сделок, соглашений или договоров, заключаемых между Пользователем и Оператором с использованием Сервиса, такая обработка персональных данных Пользователя осуществляется на закона «О персональных данных» Республики Казахстан и не требует отдельного согласия.
10.4. В случае обработки персональных данных Пользователя на основании его отдельного согласия на такую обработку, выражаемого непосредственно при использовании Сервиса путем нажатия на соответствующую кнопку, путем проставления отметки индикатора соответствующего чек-бокса, отправки смс-сообщения или электронного сообщения, такое согласие на обработку персональных данных предоставляется Пользователем в форме электронного документа, подписанного простой электронной подписью в соответствии с Соглашением, регулирующим порядок использования Сервиса.
10.5. Согласие на обработку персональных данных может быть отозвано Пользователем в соответствии с порядком, установленным нормативными правовым актами.
11.1. Начало использования Сервиса Пользователем означает его согласие с условиями настоящей политики. В случае несогласия Пользователя с условиями настоящей политики использование Сервиса должно быть немедленно прекращено.
11.2.К настоящей политике и к отношениям между Пользователем и Оператором, возникающим в связи с применением настоящей политики, подлежит применению право Республики Казахстан.
11.3. Настоящая политика находится в постоянном открытом доступе по следующей ссылке: https://bothelp.io/kz/policy/
11.4. Все предложения или вопросы по поводу настоящей политики Пользователь вправе направлять в службу поддержки Пользователя Оператора путем отправки электронного сообщения на адрес электронной почты: hello@bothelp.io, адрес электронной почты для Пользователей, находящихся на территории Европейского союза: hello@bothelp.io.