ПОЛИТИКА
в отношении сбора, обработки и защиты персональных данных субъектов персональных данных

Общие положения

Назначение документа
Настоящая политика в отношении сбора, обработки и защиты персональных данных является основополагающим внутренним документом Товарищества с ограниченной ответственностью «СЛ1» (далее – Товарищество), регулирующим вопросы сбора, обработки и защиты персональных данных.
Настоящая Политика разработана в соответствии с Конституцией РК, Гражданским кодексом РК, действующим законодательством РК в области защиты персональных данных, в том числе Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (далее – Закон) и предназначена для ознакомления неограниченного круга лиц путём опубликования на сайте www.ffcdek.kz.
Политика устанавливает порядок сбора, обработки персональных данных субъектов персональных данных, в том числе устанавливает действия по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), уничтожению персональных данных, а также устанавливает процедуры, направленные на обеспечение безопасности персональных данных.
Руководство Товарищества осознает важность и необходимость обеспечения безопасности персональных данных и поощряет постоянное совершенствование системы защиты персональных данных.
Утверждение и пересмотр Политики проводится каждые три года, а также:
- при изменении нормативной базы, затрагивающей принципы и (или) процессы обработки персональных данных в Товариществе;
- при создании новых или внесении изменений в существующие процессы обработки персональных данных клиентов.

Нормативные ссылки
Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите».
Постановление Правительства Республики Казахстан от 3 сентября 2013 года № 909 «Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных».
Постановление Правительства Республики Казахстан от 12 ноября 2013 года № 1214 «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач».
Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных».
1.3. Используемые сокращения
ПДн – персональные данные;
БПД – база, содержащая ПДн;
Товарищество – ТОО «СЛ1»;
РК – Республика Казахстан;
Сайт – www.ffcdek.kz.

1.4. Область действия
1.4.1. Действие настоящей Политики распространяется на все процессы Товарищества, в рамках которых осуществляется сбор, обработка ПДн субъектов ПДн, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.
Настоящая Политика применяется, в частности, но не ограничиваясь:
при навигации на сайте www.ffcdek.kz без совершения заказа на оказание услуг, а также при пользовании сервисами, предложенными на сайте www.cdek.kz, в том числе без выполнения регистрации на сайте www.ffcdek.kz;
при выполнении регистрации на сайте www.ffcdek.kz;
при оформлении заказа на сайте www.cdek.kz или в офисе Товарищества;
при заполнении формы заявки на заключение договора на сайте www.ffcdek.kz;
при использовании сервиса www.global.cdek.kz;
при ином использовании сайта www.ffcdek.kz в соответствии с Пользовательским соглашением.
Действие настоящей Политики не распространяется на обработку ПДн сотрудников Товарищества и соискателей вакантных должностей, иных субъектов ПДн, прямо не обозначенных в настоящей Политике, поскольку эти отношения регулируются иными внутренними актами.
В Положении не рассматриваются вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну Республики Казахстан.

1.5. Используемые термины и определения
1) Персональные данные - сведения, относящиеся к определенному или определяемому на их основании субъекту ПДн, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
2) блокирование ПДн - действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения ПДн;
3) накопление ПДн - действия по систематизации ПДн путем их внесения в базу, содержащую ПДн;
4) уничтожение ПДн - действия, в результате совершения которых невозможно восстановить ПДн;
5) обезличивание ПДн - действия, в результате совершения которых определение принадлежности ПДн субъекту ПДн невозможно;
6) база, содержащая ПДн - совокупность упорядоченных ПДн;
7) собственник базы, содержащей ПДн - государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей ПДн;
8) оператор базы, содержащей ПДн (далее - оператор), - государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту ПДн.
Оператором в настоящем Положении является Товарищество с ограниченной ответственностью «СДЭК Центральная Азия»;
9) защита ПДн - комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных настоящим Законом;
10) сервис обеспечения безопасности ПДн - услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов с субъектом, включая получение от субъекта согласия на сбор, обработку ПДн или их передачу третьим лицам, в том числе путем реализации данного взаимодействия собственниками и (или) операторами самостоятельно;
11) обработка ПДн - действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение ПДн;
12) использование ПДн - действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;
13) хранение ПДн - действия по обеспечению целостности, конфиденциальности и доступности ПДн;
14) распространение ПДн - действия, в результате совершения которых происходит передача ПДн, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;
15) субъект ПДн - физическое лицо, к которому относятся ПДн;
16) третье лицо - лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите ПДн;
17) сбор ПДн - действия, направленные на получение ПДн.

Основные нормативные положения

2.1. Принципы сбора, обработки ПДн
Товариществом обеспечивается соблюдение принципов сбора, обработки и защиты ПДн, указанных в ст. 5 Закона.
Сбор, обработка ПДн субъектов ПДн осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей и задач. Избыточность обрабатываемых данных не допускается.
При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.
Товарищество хранит ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели и задачи обработки ПДн, и уничтожает ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости достижении этих целей, если иное не предусмотрено Законом и настоящей Политикой.

Цели обработки ПДн
Персональную информацию субъекта ПДн Товарищество обрабатывает в следующих целях:
1) Предоставление субъекту ПДн возможности взаимодействовать с Сайтом, в том числе предоставления доступа к персонализированным ресурсам Сайта, на Сайты или сервисы партнеров Товарищества в соответствии с Пользовательским соглашением;
2) Налаживание связи с субъектом ПДн, в том числе дляпредоставления ему информации об оказываемых услугах, путем направления уведомлений, запросов и информации, касающихся оказания услуги и/или исполнения действующих соглашений, а также обработка запросов и заявок от субъекта ПДн;
3) Оказания услуг, заключение и исполнение соглашений и договоров с клиентами (потенциальными клиентами);
4) Улучшение качества оказываемых услуг и удобства их использования, разработка новых услуг и сервисов (направление субъекту ПДн по информационным системам связи, смс, электронной почте и иным средствам связи информации о специальных предложениях, новых услугах, событиях, любых информационных сообщений, включая рекламу и иных сведений от имени Товарищества или от имени партнеров Товарищества);
5) Выполнение требований законодательства Республики Казахстан;
6) Проведение статистических и иных исследований на основе обезличенных данных, проведение опросов и исследований, направленных на выявление удовлетворенности/неудовлетворенности клиента услугами Товарищества, улучшение качества услуг.

Категории собираемых, обрабатываемых ПДн
Товарищество осуществляет обработку следующих категорий ПДн:
1) ПДн физического лица — пользователя сайта, которые он передает самостоятельно: имя, адрес электронной почты, адрес (город, улица, номер дома, номер квартиры), номер телефона, а также которые автоматически передаются сайтом и сервисами в процессе их использования: сведения об используемом браузере (или иной программе, с помощью которой осуществляется доступ к сайту), данные файлов cookie, местоположение, IP-адрес, запрашиваемые Интернет-страницы, источник захода на Сайт и иная подобная информация.
2) ПДн физического лица – клиента (потенциального клиента), чьи ПДН стали известны Товариществу в связи с заключением и исполнением договора: ФИО, данные документа, удостоверяющего личность, адрес (страна, город, улица, номер дома, номер квартиры), адрес электронной почты, номер телефона (домашний, мобильный);
3) ПДн физического лица, чьи ПДн получены Товариществом от Заказчика курьерских услуг в рамках договора возмездного оказания курьерских услуг: ФИО, данные документа, удостоверяющего личность, адрес (страна, город, улица, номер дома, номер квартиры, номер телефона (домашний, мобильный);
4) ПДн других субъектов, переданные Товариществу другими лицами на основании заключенных договоров и/или согласия на сбор, обработку ПДн.
В Товариществе не осуществляется сбор, обработка ПДн клиентов, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Товарищество не проверяет достоверность персональной информации, предоставляемой субъектом, и не имеет возможности оценивать его дееспособность. Однако Товарищество исходит из того, что пользователь предоставляет достоверную и достаточную персональную информацию и поддерживает эту информацию в актуальном состоянии.

Порядок и условия сбора, обработки ПДн
Способы получения ПДн субъекта
Сбор, обработка ПДн субъекта ПДн осуществляются Товариществом с согласия субъекта или его законного представителя. Допускается сбор Товариществом ПДн Клиентов посредством:
- личного сообщения субъектом своих данных (предоставления документов) при оформлении доставки в офисе;
- внесения субъектом своих данных на любом разделе Сайта;
- заполнения субъектом ПДн маркетинговых листовок (купонов);
- от третьих лиц (клиентов, контрагентов);
- из общедоступных источников.

Порядок дачи согласия субъекта на сбор, обработку ПДн
Согласие на обработку ПДн может быть дано субъектом (или его законным представителем) в письменной форме, в форме электронного документа, посредством сервиса обеспечения безопасности ПДн либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.
В случае внесения субъектом ПДн своих данных на Сайте, согласие на обработку ПДн считается предоставленным субъектом ПДн посредством совершения им следующих конклюдентных действий в совокупности: путем проставления специального знака – «галочки» или «веб-метки» в специальном поле на Сайте при заказе обратного звонка, при обращении в форме обратной связи, при регистрации в личном кабинете, при заполнении анкеты для заключения договора, при оформлении заявки на вызов курьера и нажатия соответствующей кнопки.
Данные действия расценивается однозначно, как принятие условий Пользовательского соглашения и предоставление согласия на обработку ПДн в объеме, для целей и в порядке, предусмотренных в предлагаемом перед проставлением специального знака для ознакомления тексте (текст «Согласия» - Приложение № 1 к настоящей Политике).
В случае заполнения субъектом ПДн маркетинговых листовок, накладных, иных документов, ставя подпись, Субъект ПДн выражает свое согласие на принятие условий Публичной оферты, изложенных в Договоре возмездного оказания курьерских услуг и Регламенте возмездного оказания курьерских услуг, размещенных на сайте, что означает, в том числе, и согласие на обработку ПДн.
В случае получения ПДн от третьих лиц (клиентов, контрагентов) обязанность по получению согласий на обработку и передачу таких ПДн лежит на этих третьих лицах.
В случае получения ПДн из общедоступных источников информации получение согласия субъектов ПДн не требуется.
Согласие считается полученным с момента проставления специального знака (подписи) и действует до момента направления субъектом ПДн соответствующего заявления о прекращении обработки ПДн по месту нахождения Оператора.
В случае отсутствия согласия Субъекта на обработку его ПДн, такая обработка не осуществляется.

Доступ и конфиденциальность ПДн
Товарищество в ходе своей деятельности поручает обработку ПДн третьим лицам с согласия субъектов ПДн, при обязательном условии соблюдения лицом, осуществляющим обработку ПДн по поручению, принципов и правил обработки, а также обеспечения безопасности ПДн.
Перечень лиц, допущенных к сбору, обработке ПДн, определяется распоряжением Исполнительного органа и внутренними локальным нормативными актами Товарищества. Указанные лица должны быть ознакомлены до начала работы:
с положениями законодательства РК о ПДн, в том числе с требованиями к порядку защиты ПДн;
с документами, определяющими действия Оператора в отношении сбора, обработки ПДн, в том числе с настоящей Политикой;
с локальными актами по вопросам сбора, обработки ПДн.
Доступ к ПДн субъектов ПДн предоставляется сотрудникам Оператора в соответствии с их должностными обязанностями. Сотрудники Оператора, осуществляющие обработку ПДн субъектов ПДн, должны быть проинформированы о факте такой обработки, об особенностях и правилах такой обработки, установленных нормативно-правовыми актами и внутренними документами Оператора. Сотруднику Товарищества, имеющему право осуществлять обработку ПДн субъектов ПДн, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе в установленном порядке. Сведения о присвоенных Сотруднику идентификаторах (логин и пароль) относятся к конфиденциальным и не подлежат передаче Сотрудником третьим лицам. Сотрудник обеспечивает соблюдение требований о конфиденциальности и несет риск последствий, связанных с нарушением таких требований. Процедура аутентификации осуществляется техническим центром работодателя при осуществлении доступа сотрудника в информационную систему путем сопоставления введенных логина и пароля соответствующим присвоенным сотруднику логину и паролю, информация о которых содержится в информационной системе. В случае успешного прохождения процедуры аутентификации Сотрудник получает возможность осуществления операций с ПДн субъекта ПДн в информационной системе.
Товарищество не размещает ПДн субъектов ПДн в общедоступных источниках.

Накопление и хранение ПДн
Накопление ПДн производится путем сбора ПДн, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом.
Хранение ПДн субъектов ПДн, цели обработки которых различны, осуществляется раздельно в рамках информационной системы или, при условии хранения на материальных носителях, в рамках структуры дел соответствующего подразделения Оператора.
Хранение ПДн субъектов ПДн осуществляется Товариществом в форме, позволяющей определить субъекта ПДн.
Сроки хранения ПДн - не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен законом, договором или определен условиями согласия на обработку ПДн (Приложение №1), либо до момента заявления Пользователем о своем желании отозвать согласие на сбор, обработку ПДн.
Блокирование ПДн на Сайте осуществляется на основании письменного заявления от субъекта ПДн.
Субъект ПДн вправе в письменной форме требовать уничтожения своих ПДн в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
В случае отсутствия возможности уничтожения ПДн Оператор осуществляет блокирование таких ПДн.
Уничтожение ПДн осуществляется путем стирания информации использованием сертифицированного программного обеспечения с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением).

Защита ПДн
При сборе, обработке ПДн Товарищество принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий. В Товариществе назначен ответственный за организацию обработки ПДн.
Обеспечение безопасности ПДн достигается, в частности:
- назначением ответственного за организацию сбора, обработки ПДн;
- утверждение Товариществом настоящей Политики, локальных актов по вопросам сбора, обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;
- применением правовых, организационных и технических мер по обеспечению безопасности ПДн в соответствии со ст.22 Закона;
- осуществлением внутреннего контроля соответствия сбора, обработки и хранения ПДн Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политики и локальным актам Товарищества;
- ознакомлением работников (сотрудников) оператора, непосредственно осуществляющих сбор, обработку и хранение ПДн, с положениями законодательства Республики Казахстан о ПДн, в том числе требованиями к защите ПДн, настоящей Политики, локальными актами по вопросам сбора, обработки и хранения ПДн, и (или) обучение работников (сотрудников).

Обработка запросов субъектов ПДн
Для обеспечения соблюдения установленных законодательством прав субъектов ПДн, в Товариществе разработан и введён порядок работы с обращениями и запросами субъектов ПДн, а также порядок предоставления субъектам ПДн информации, установленной законодательством РК в области ПДн.
Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Товариществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Товариществом, подпись субъекта ПДн или его представителя, дату обращения.
Работники Товарищества не имеют право отвечать на вопросы, связанные с передачей или разглашением ПДн по телефону или факсу в связи с тем, что в таком случае нет возможности идентифицировать личность обращающегося человека.
Запросы субъектов должны быть направлены по адресу: 050004, Республика Казахстан, город Алматы, проспект Сейфуллина, дом 404/67.



















































Приложение №1 к Политике
в отношении сбора, обработки и защиты ПДн субъектов ПДн


Руководителю ТОО «СЛ1»

Форма согласия
на сбор, обработку ПДн для пользователей сайта


Настоящим свободно, своей волей и в своем интересе заявляю, что проинформирован и даю согласие о том, что в соответствии с Законом Республики Казахстан от 21 мая 2013 года № 94-V «О Персональных данных и их защите» и иными нормативными правовыми актами Республики Казахстан (далее совместно - Закон), предоставленная мною информация, включая данные о:
фамилия, имя, отчество;
адрес электронной почты;
адрес (город, улица, номер дома, номер квартиры) для забора\доставки отправления;
номер телефона;
сведения об используемом браузере;
местоположение;
IP-адрес;
данные файлов cookie;
запрашиваемые Интернет-страницы;
источник захода на сайт www.ffcdek.kz
паспортные данные (при необходимости)
будут внесены в информационные системы ТОО «СДЭК Центральная Азия».

Я предоставляю право собирать, обрабатывать, передавать (в том числе даю право на трансграничную передачу), не противоречащими законодательству способами эти данные с целью организации процесса предоставления запрошенной мной информации об услугах ТОО «СЛ1», получения обратной связи от ТОО «СЛ1», заказа услуг, регистрации Личного кабинета и т.п., за исключением случаев, когда прямо установлено иное. Я осведомлен, что мои персональные данные будут использованы в целях:
- предоставление возможности взаимодействовать с Сайтом, в том числе предоставление доступа к персонализированным ресурсам Сайта, на Сайты или сервисы партнеров Товарищества в соответствии с Пользовательским соглашением;
- налаживание связи, в том числе для предоставления информации об оказываемых услугах, путем направления уведомлений, запросов и информации, касающихся оказания услуги и/или исполнения действующих соглашений, а также для обработки запросов и заявок;
- оказания услуг, заключение и исполнение соглашений и договоров;
- улучшение качества оказываемых услуг и удобства их использования, разработка новых услуг и сервисов (направление субъекту ПДн по информационным системам связи, смс, электронной почте и иным средствам связи информации о специальных предложениях, новых услугах, событиях, любых информационных сообщений, включая рекламу и иных сведений от имени Товарищества или от имени партнеров Товарищества);
- выполнение требований законодательства Республики Казахстан;
- проведение статистических и иных исследований на основе обезличенных данных, проведение опросов и исследований, направленных на выявление удовлетворенности/неудовлетворенности клиента услугами Товарищества, улучшение качества услуг.

В связи с указанными выше целями я понимаю, что мои персональные данные могут быть сообщены третьим лицам, и даю на это согласие.
В случае предоставления мной данных третьих лиц, включая контактные данные, я подтверждаю, что третье лицо уведомлено об осуществлении обработки его персональных данных Оператором.
Я даю свое согласие на использование предоставленных ПДн для направления коммерческой информации Оператором по обработке ПДн и третьими лицами по указанному телефону и адресу электронной почты.
Я предоставляю право отправлять мне информацию об услугах, предложениях и рекламных акциях Оператора и/или его Партнеров, в том числе с помощью электронных и мобильных средств связи.
Настоящее согласие действует со дня его предоставления до дня отзыва в письменной форме.
Настоящим я проинформирован о том, что я вправе требовать уточнения моих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными или не являются необходимыми для заявленной цели обработки, я также в любой момент могу потребовать прекращения обработки ПДн, направив соответствующее заявление по месту нахождения Оператора. Я пониманию, что результатом отзыва согласия в отношении части данных и/или в отношении некоторых целей может привести к полному прекращению обработки моих ПДн для реализации целей настоящего согласия.
Также я проинформирован о том, что я в любой момент могу отказаться от получения коммерческой информации, направив свое заявление по месту нахождения Оператора.
Текст настоящего согласия мной (нами) прочитан, дополнений, замечаний и возражений не имею(ем).