Политика конфиденциальности

  1. Общие положения
    1. Назначение документа
      1. Настоящая политика в отношении сбора, обработки и защиты персональных данных является основополагающим внутренним документом Товарищества с ограниченной ответственностью «СДЭК Центральная Азия» (далее – Товарищество), регулирующим вопросы сбора, обработки и защиты персональных данных.
      2. Настоящая Политика разработана в соответствии с Конституцией РК, Гражданским кодексом РК, действующим законодательством РК в области защиты персональных данных, в том числе Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (далее – Закон) и предназначена для ознакомления неограниченного круга лиц путём опубликования на сайте www.cdek.kz.
      3. Политика устанавливает порядок сбора, обработки персональных данных субъектов персональных данных, в том числе устанавливает действия по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), уничтожению персональных данных, а также устанавливает процедуры, направленные на обеспечение безопасности персональных данных.
      4. Руководство Товарищества осознает важность и необходимость обеспечения безопасности персональных данных и поощряет постоянное совершенствование системы защиты персональных данных.
      5. Утверждение и пересмотр Политики проводится каждые три года, а также:
        • при изменении нормативной базы, затрагивающей принципы и (или) процессы обработки персональных данных в Товариществе;
        • при создании новых или внесении изменений в существующие процессы обработки персональных данных клиентов.
    2. Нормативные ссылки
      Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите».
      Постановление Правительства Республики Казахстан от 3 сентября 2013 года № 909 «Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных».
      Постановление Правительства Республики Казахстан от 12 ноября 2013 года № 1214 «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач».
      Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных».
    3. Используемые сокращения
      ПДн – персональные данные;
      БПД – база, содержащая ПДн;
      Товарищество – ТОО «СДЭК Центральная Азия»;
      РК – Республика Казахстан;
      Сайт – www.cdek.kz.
    4. Область действия
      1. Действие настоящей Политики распространяется на все процессы Товарищества, в рамках которых осуществляется сбор, обработка ПДн субъектов ПДн, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.
        Настоящая Политика применяется, в частности, но не ограничиваясь:
        при навигации на сайте www.cdek.kz без совершения заказа на оказание услуг, а также при пользовании сервисами, предложенными на сайте www.cdek.kz, в том числе без выполнения регистрации на сайте www.cdek.kz;
        при выполнении регистрации на сайте www.cdek.kz;
        при оформлении заказа на сайте www.cdek.kz или в офисе Товарищества;
        при заполнении формы заявки на заключение договора на сайте www.cdek.kz;
        при использовании сервиса www.global.cdek.kz;
        при ином использовании сайта www.cdek.kz в соответствии с Пользовательским соглашением.
        Действие настоящей Политики не распространяется на обработку ПДн сотрудников Товарищества и соискателей вакантных должностей, иных субъектов ПДн, прямо не обозначенных в настоящей Политике, поскольку эти отношения регулируются иными внутренними актами.
        В Положении не рассматриваются вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну Республики Казахстан.
    5. Используемые термины и определения
      1) Персональные данные - сведения, относящиеся к определенному или определяемому на их основании субъекту ПДн, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
      2) блокирование ПДн - действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения ПДн;
      3) накопление ПДн - действия по систематизации ПДн путем их внесения в базу, содержащую ПДн;
      4) уничтожение ПДн - действия, в результате совершения которых невозможно восстановить ПДн;
      5) обезличивание ПДн - действия, в результате совершения которых определение принадлежности ПДн субъекту ПДн невозможно;
      6) база, содержащая ПДн - совокупность упорядоченных ПДн;
      7) собственник базы, содержащей ПДн - государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей ПДн;
      8) оператор базы, содержащей ПДн (далее - оператор), - государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту ПДн.
      Оператором в настоящем Положении является Товарищество с ограниченной ответственностью «СДЭК Центральная Азия»;
      9) защита ПДн - комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных настоящим Законом;
      10) сервис обеспечения безопасности ПДн - услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов с субъектом, включая получение от субъекта согласия на сбор, обработку ПДн или их передачу третьим лицам, в том числе путем реализации данного взаимодействия собственниками и (или) операторами самостоятельно;
      11) обработка ПДн - действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение ПДн;
      12) использование ПДн - действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;
      13) хранение ПДн - действия по обеспечению целостности, конфиденциальности и доступности ПДн;
      14) распространение ПДн - действия, в результате совершения которых происходит передача ПДн, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;
      15) субъект ПДн - физическое лицо, к которому относятся ПДн;
      16) третье лицо - лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите ПДн;
      17) сбор ПДн - действия, направленные на получение ПДн.
  2. Основные нормативные положения
    1. Принципы сбора, обработки ПДн
      1. Товариществом обеспечивается соблюдение принципов сбора, обработки и защиты ПДн, указанных в ст. 5 Закона.
      2. Сбор, обработка ПДн субъектов ПДн осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей и задач. Избыточность обрабатываемых данных не допускается.
      3. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.
      4. Товарищество хранит ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели и задачи обработки ПДн, и уничтожает ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
      5. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости достижении этих целей, если иное не предусмотрено Законом и настоящей Политикой.
    2. Цели обработки ПДн
      1. Персональную информацию субъекта ПДн Товарищество обрабатывает в следующих целях:
        1) Предоставление субъекту ПДн возможности взаимодействовать с Сайтом, в том числе предоставления доступа к персонализированным ресурсам Сайта, на Сайты или сервисы партнеров Товарищества в соответствии с Пользовательским соглашением;
        2) Налаживание связи с субъектом ПДн, в том числе для предоставления ему информации об оказываемых услугах, путем направления уведомлений, запросов и информации, касающихся оказания услуги и/или исполнения действующих соглашений, а также обработка запросов и заявок от субъекта ПДн;
        3) Оказания услуг, заключение и исполнение соглашений и договоров с клиентами (потенциальными клиентами);
        4) Улучшение качества оказываемых услуг и удобства их использования, разработка новых услуг и сервисов (направление субъекту ПДн по информационным системам связи, смс, электронной почте и иным средствам связи информации о специальных предложениях, новых услугах, событиях, любых информационных сообщений, включая рекламу и иных сведений от имени Товарищества или от имени партнеров Товарищества);
        5) Выполнение требований законодательства Республики Казахстан;
        6) Проведение статистических и иных исследований на основе обезличенных данных, проведение опросов и исследований, направленных на выявление удовлетворенности/неудовлетворенности клиента услугами Товарищества, улучшение качества услуг.
    3. Категории собираемых, обрабатываемых ПДн
      1. Товарищество осуществляет обработку следующих категорий ПДн:
        1) ПДн физического лица — пользователя сайта, которые он передает самостоятельно: имя, адрес электронной почты, адрес (город, улица, номер дома, номер квартиры), номер телефона, а также которые автоматически передаются сайтом и сервисами в процессе их использования: сведения об используемом браузере (или иной программе, с помощью которой осуществляется доступ к сайту), данные файлов cookie, местоположение, IP-адрес, запрашиваемые Интернет-страницы, источник захода на Сайт и иная подобная информация.
        2) ПДн физического лица – клиента (потенциального клиента), чьи ПДН стали известны Товариществу в связи с заключением и исполнением договора: ФИО, данные документа, удостоверяющего личность, адрес (страна, город, улица, номер дома, номер квартиры), адрес электронной почты, номер телефона (домашний, мобильный);
        3) ПДн физического лица, чьи ПДн получены Товариществом от Заказчика курьерских услуг в рамках договора возмездного оказания курьерских услуг: ФИО, данные документа, удостоверяющего личность, адрес (страна, город, улица, номер дома, номер квартиры, номер телефона (домашний, мобильный);
        4) ПДн других субъектов, переданные Товариществу другими лицами на основании заключенных договоров и/или согласия на сбор, обработку ПДн.
      2. В Товариществе не осуществляется сбор, обработка ПДн клиентов, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
      3. Товарищество не проверяет достоверность персональной информации, предоставляемой субъектом, и не имеет возможности оценивать его дееспособность. Однако Товарищество исходит из того, что пользователь предоставляет достоверную и достаточную персональную информацию и поддерживает эту информацию в актуальном состоянии.
  3. Порядок и условия сбора, обработки ПДн
    1. Способы получения ПДн субъекта
      1. Сбор, обработка ПДн субъекта ПДн осуществляются Товариществом с согласия субъекта или его законного представителя. Допускается сбор Товариществом ПДн Клиентов посредством:
        - личного сообщения субъектом своих данных (предоставления документов) при оформлении доставки в офисе;
        - внесения субъектом своих данных на любом разделе Сайта;
        - заполнения субъектом ПДн маркетинговых листовок (купонов);
        - от третьих лиц (клиентов, контрагентов);
        - из общедоступных источников.
    2. Порядок дачи согласия субъекта на сбор, обработку ПДн
      1. Согласие на обработку ПДн может быть дано субъектом (или его законным представителем) в письменной форме, в форме электронного документа, посредством сервиса обеспечения безопасности ПДн либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.
      2. В случае внесения субъектом ПДн своих данных на Сайте, согласие на обработку ПДн считается предоставленным субъектом ПДн посредством совершения им следующих конклюдентных действий в совокупности: путем проставления специального знака – «галочки» или «веб-метки» в специальном поле на Сайте при заказе обратного звонка, при обращении в форме обратной связи, при регистрации в личном кабинете, при заполнении анкеты для заключения договора, при оформлении заявки на вызов курьера и нажатия соответствующей кнопки.
        Данные действия расценивается однозначно, как принятие условий Пользовательского соглашения и предоставление согласия на обработку ПДн в объеме, для целей и в порядке, предусмотренных в предлагаемом перед проставлением специального знака для ознакомления тексте (текст «Согласия» - Приложение № 1 к настоящей Политике).
      3. В случае заполнения субъектом ПДн маркетинговых листовок, накладных, иных документов, ставя подпись, Субъект ПДн выражает свое согласие на принятие условий Публичной оферты, изложенных в Договоре возмездного оказания курьерских услуг и Регламенте возмездного оказания курьерских услуг, размещенных на сайте, что означает, в том числе, и согласие на обработку ПДн.
      4. В случае получения ПДн от третьих лиц (клиентов, контрагентов) обязанность по получению согласий на обработку и передачу таких ПДн лежит на этих третьих лицах.
      5. В случае получения ПДн из общедоступных источников информации получение согласия субъектов ПДн не требуется.
      6. Согласие считается полученным с момента проставления специального знака (подписи) и действует до момента направления субъектом ПДн соответствующего заявления о прекращении обработки ПДн по месту нахождения Оператора.
      7. В случае отсутствия согласия Субъекта на обработку его ПДн, такая обработка не осуществляется.
    3. Доступ и конфиденциальность ПДн
      1. Товарищество в ходе своей деятельности поручает обработку ПДн третьим лицам с согласия субъектов ПДн, при обязательном условии соблюдения лицом, осуществляющим обработку ПДн по поручению, принципов и правил обработки, а также обеспечения безопасности ПДн.
      2. Перечень лиц, допущенных к сбору, обработке ПДн, определяется распоряжением Исполнительного органа и внутренними локальным нормативными актами Товарищества. Указанные лица должны быть ознакомлены до начала работы:
        с положениями законодательства РК о ПДн, в том числе с требованиями к порядку защиты ПДн;
        с документами, определяющими действия Оператора в отношении сбора, обработки ПДн, в том числе с настоящей Политикой;
        с локальными актами по вопросам сбора, обработки ПДн.
      3. Доступ к ПДн субъектов ПДн предоставляется сотрудникам Оператора в соответствии с их должностными обязанностями. Сотрудники Оператора, осуществляющие обработку ПДн субъектов ПДн, должны быть проинформированы о факте такой обработки, об особенностях и правилах такой обработки, установленных нормативно-правовыми актами и внутренними документами Оператора. Сотруднику Товарищества, имеющему право осуществлять обработку ПДн субъектов ПДн, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе в установленном порядке. Сведения о присвоенных Сотруднику идентификаторах (логин и пароль) относятся к конфиденциальным и не подлежат передаче Сотрудником третьим лицам. Сотрудник обеспечивает соблюдение требований о конфиденциальности и несет риск последствий, связанных с нарушением таких требований. Процедура аутентификации осуществляется техническим центром работодателя при осуществлении доступа сотрудника в информационную систему путем сопоставления введенных логина и пароля соответствующим присвоенным сотруднику логину и паролю, информация о которых содержится в информационной системе. В случае успешного прохождения процедуры аутентификации Сотрудник получает возможность осуществления операций с ПДн субъекта ПДн в информационной системе.
      4. Товарищество не размещает ПДн субъектов ПДн в общедоступных источниках.
    4. Накопление и хранение ПДн
      1. Накопление ПДн производится путем сбора ПДн, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом.
      2. Хранение ПДн субъектов ПДн, цели обработки которых различны, осуществляется раздельно в рамках информационной системы или, при условии хранения на материальных носителях, в рамках структуры дел соответствующего подразделения Оператора.
      3. Хранение ПДн субъектов ПДн осуществляется Товариществом в форме, позволяющей определить субъекта ПДн.
      4. Сроки хранения ПДн - не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен законом, договором или определен условиями согласия на обработку ПДн (Приложение №1), либо до момента заявления Пользователем о своем желании отозвать согласие на сбор, обработку ПДн.
      5. Блокирование ПДн на Сайте осуществляется на основании письменного заявления от субъекта ПДн.
      6. Субъект ПДн вправе в письменной форме требовать уничтожения своих ПДн в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
      7. В случае отсутствия возможности уничтожения ПДн Оператор осуществляет блокирование таких ПДн.
      8. Уничтожение ПДн осуществляется путем стирания информации использованием сертифицированного программного обеспечения с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением).
    5. Защита ПДн
      1. При сборе, обработке ПДн Товарищество принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий. В Товариществе назначен ответственный за организацию обработки ПДн.
      2. Обеспечение безопасности ПДн достигается, в частности:
        - назначением ответственного за организацию сбора, обработки ПДн;
        - утверждение Товариществом настоящей Политики, локальных актов по вопросам сбора, обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;
        - применением правовых, организационных и технических мер по обеспечению безопасности ПДн в соответствии со ст.22 Закона;
        - осуществлением внутреннего контроля соответствия сбора, обработки и хранения ПДн Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политики и локальным актам Товарищества;
        - ознакомлением работников (сотрудников) оператора, непосредственно осуществляющих сбор, обработку и хранение ПДн, с положениями законодательства Республики Казахстан о ПДн, в том числе требованиями к защите ПДн, настоящей Политики, локальными актами по вопросам сбора, обработки и хранения ПДн, и (или) обучение работников (сотрудников).
    6. Обработка запросов субъектов ПДн
      1. Для обеспечения соблюдения установленных законодательством прав субъектов ПДн, в Товариществе разработан и введён порядок работы с обращениями и запросами субъектов ПДн, а также порядок предоставления субъектам ПДн информации, установленной законодательством РК в области ПДн.
      2. Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Товариществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Товариществом, подпись субъекта ПДн или его представителя, дату обращения.
      3. Работники Товарищества не имеют право отвечать на вопросы, связанные с передачей или разглашением ПДн по телефону или факсу в связи с тем, что в таком случае нет возможности идентифицировать личность обращающегося человека.
      4. Запросы субъектов должны быть направлены по адресу: 050004, Республика Казахстан, город Алматы, проспект Сейфуллина, дом 404/67.
Приложение №1 к Политике
в отношении сбора, обработки и защиты ПДн субъектов ПДн
Руководителю ТОО «СДЭК Центральная Азия»
БИН 120440014325
Адрес: 050004, Республика Казахстан, город Алматы
проспект Сейфуллина, дом 404/67
Форма согласия на сбор, обработку ПДн для пользователей сайта
Настоящим свободно, своей волей и в своем интересе заявляю, что проинформирован и даю согласие о том, что в соответствии с Законом Республики Казахстан от 21 мая 2013 года № 94-V «О Персональных данных и их защите» и иными нормативными правовыми актами Республики Казахстан (далее совместно - Закон), предоставленная мною информация, включая данные о:
фамилия, имя, отчество;
адрес электронной почты;
адрес (город, улица, номер дома, номер квартиры) для забора\доставки отправления;
номер телефона;
сведения об используемом браузере;
местоположение;
IP-адрес;
данные файлов cookie;
запрашиваемые Интернет-страницы;
источник захода на сайт www.cdek.kz
паспортные данные (при необходимости)
будут внесены в информационные системы ТОО «СДЭК Центральная Азия».

Я предоставляю право собирать, обрабатывать, передавать (в том числе даю право на трансграничную передачу), не противоречащими законодательству способами эти данные с целью организации процесса предоставления запрошенной мной информации об услугах ТОО «СДЭК Центральная Азия», получения обратной связи от ТОО «СДЭК Центральная Азия», заказа услуг, регистрации Личного кабинета и т.п., за исключением случаев, когда прямо установлено иное. Я осведомлен, что мои персональные данные будут использованы в целях:
- предоставление возможности взаимодействовать с Сайтом, в том числе предоставление доступа к персонализированным ресурсам Сайта, на Сайты или сервисы партнеров Товарищества в соответствии с Пользовательским соглашением;
- налаживание связи, в том числе для предоставления информации об оказываемых услугах, путем направления уведомлений, запросов и информации, касающихся оказания услуги и/или исполнения действующих соглашений, а также для обработки запросов и заявок;
- оказания услуг, заключение и исполнение соглашений и договоров;
- улучшение качества оказываемых услуг и удобства их использования, разработка новых услуг и сервисов (направление субъекту ПДн по информационным системам связи, смс, электронной почте и иным средствам связи информации о специальных предложениях, новых услугах, событиях, любых информационных сообщений, включая рекламу и иных сведений от имени Товарищества или от имени партнеров Товарищества);
- выполнение требований законодательства Республики Казахстан;
- проведение статистических и иных исследований на основе обезличенных данных, проведение опросов и исследований, направленных на выявление удовлетворенности/неудовлетворенности клиента услугами Товарищества, улучшение качества услуг.

В связи с указанными выше целями я понимаю, что мои персональные данные могут быть сообщены третьим лицам, и даю на это согласие.
В случае предоставления мной данных третьих лиц, включая контактные данные, я подтверждаю, что третье лицо уведомлено об осуществлении обработки его персональных данных Оператором.
Я даю свое согласие на использование предоставленных ПДн для направления коммерческой информации Оператором по обработке ПДн и третьими лицами по указанному телефону и адресу электронной почты.
Я предоставляю право отправлять мне информацию об услугах, предложениях и рекламных акциях Оператора и/или его Партнеров, в том числе с помощью электронных и мобильных средств связи.
Настоящее согласие действует со дня его предоставления до дня отзыва в письменной форме.
Настоящим я проинформирован о том, что я вправе требовать уточнения моих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными или не являются необходимыми для заявленной цели обработки, я также в любой момент могу потребовать прекращения обработки ПДн, направив соответствующее заявление по месту нахождения Оператора. Я пониманию, что результатом отзыва согласия в отношении части данных и/или в отношении некоторых целей может привести к полному прекращению обработки моих ПДн для реализации целей настоящего согласия.
Также я проинформирован о том, что я в любой момент могу отказаться от получения коммерческой информации, направив свое заявление по месту нахождения Оператора.
Текст настоящего согласия мной (нами) прочитан, дополнений, замечаний и возражений не имею(ем).