Дербес деректерді жинау, өңдеу және қорғау тәртібі туралы
Ережелер

Осы «Дербес деректерді жинау, өңдеу және қорғау тәртібі туралы Ережелер», «Зийлан Кз» Жауапкершілігі шектеулі серіктестігінің (БСН: 151040011304, Қазақстан Республикасы, Алматы қаласы, Байзақова көшесі, 280-үй, н.п. 15д) (бұдан әрі «Серіктестік» деп аталады) дербес деректерін жинау, өңдеу және қорғау тәртібін реттейтін құжат болып табылады. «Серіктестік», «Дербес деректерді жинау, өңдеу және қорғау тәртібі туралы Ережелерге» ешбір арнайы хабарламасыз өзгерістер енгізуі мүмкін, «Дербес деректерді жинау, өңдеу және қорғау тәртібі туралы Ережелердің» жаңа редакциясы, егер дербес деректерді жинау, «Дербес деректерді жинау, өңдеу және қорғау тәртібі туралы Ережелердің» жаңа редакциясында өзгеше көзделмесе, https://www.flo.com.kz/ веб-сайтында жарияланған күнінен бастап 10 (он) күнтізбелік күн өткен соң күшіне енеді. Осы «Дербес деректерді жинау, өңдеу және қорғау тәртібі туралы Ережелермен» танысқаннан кейін немесе осы Серіктестік тарапынан осы «Дербес деректерді жинау, өңдеу және қорғау тәртібі туралы Ережелерге» өзгерістер және/немесе толықтырулар енгізілгеннен кейін https://www.flo.com.kz/ веб-сайтын пайдалануды жалғастыруыңыз, Сатып алушының «Дербес деректерді жинау, өңдеу және қорғау тәртібі туралы Ережелерді» немесе оған енгізілген өзгертулерді және/немесе толықтыруларды қабылдағаныңызды және соларға өз келісімін бергеніңізді білдіреді.

Серіктестік (бұдан әрі – «Серіктестік» және/немесе «Оператор» деп аталады) қызметінің негізгі шарттарының бірі, басқалармен қатар дербес деректерді де қамтитын ақпараттық қауіпсіздіктің қажетті және жеткілікті деңгейін қамтамасыз ету болып табылады.

1. Терминдер мен ұғымдар:

– оператор – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

– дербес деректердің ақпараттық жүйесі – деректер қорында және ақпараттық технологияларда және оларды өңдеуді қамтамасыз ететін техникалық құралдарда қамтылған дербес деректердің жиынтығы;

– дербес деректер – дербес деректердің белгілі бір субъектісіне қатысты немесе олардың негізінде анықталатын, электрондық, қағаз және (немесе) өзге де материалдық тасығыштарда жазылған мәліметтер;

– дербес деректерді өңдеу – дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесіздендіруге, бұғаттауға, жоюға бағытталған іс-әрекеттер;

– дербес деректерді тарату – дербес деректерді белгісіз сандағы тұлғаларға ашуға бағытталған іс-әрекеттер;

– дербес деректерді автоматтандырылған өңдеу – дербес деректерді компьютерлік технологияларды пайдалана отырып, өңдеу;

– дербес деректерді ұсыну – дербес деректерді белгілі бір адамға немесе белгілі бір адамдар тобына ашуға бағытталған іс-әрекеттер;

– дербес деректерді жинақтау – дербес деректерді қамтитын деректер қорына енгізу арқылы дербес деректерді жүйелеу бойынша іс-әрекеттер;

– дербес деректерді бұғаттау – дербес деректерді жинауды, жинақтауды, өзгертуді, қосуды, пайдалануды, таратуды, иеліктен шығаруды және жоюды уақытша тоқтату бойынша іс-әрекеттер;

– дербес деректерді жою – нәтижесінде дербес деректерді қалпына келтіру мүмкін болмайтын іс-әрекеттер;

– дербес деректерді иесіздендіру – нәтижесінде дербес деректер субъектісінің дербес деректерге тиесілігін анықтау мүмкін болмайтын іс-әрекеттер.

2. «Дербес деректерді жинау, өңдеу және қорғау тәртібі туралы Ережелер», дербес деректерді жинау, есепке алу, жүйелеу, жинақтау, сақтау, нақтылау (жаңарту, өзгерту), өндіріп алу, пайдалану, жіберу (деректерді тарату, деректермен қамтамасыз ету, деректерге қол жеткізу), иесіздендіру, бұғаттау, өшіру, жою жөніндегі кезкелген іс-әрекетті (операцияны) немесе іс-әрекеттердің (операциялардың) жиынтығын және сондай-ақ, дербес деректерді қорғау бойынша іске асырылатын талаптар туралы ақпаратты анықтайды.

3. «Дербес деректерді жинау, өңдеу және қорғау тәртібі туралы Ережелер», Қазақстан Республикасының қолданыстағы заңнамасына сәйкес келеді және келесі нормативтік құқықтық актілердің негізінде әзірленді: Қазақстан Республикасының Конституциясы; Қазақстан Республикасының Еңбек кодексі; «Ақпараттандыру туралы» Қазақстан Республикасының 2015 жылғы 24 қарашадағы № 418-V Заңы; «Дербес деректер және оларды қорғау туралы» Қазақстан Республикасының 2013 жылғы 21 мамырдағы № 94-V Заңы; «Дербес деректерді жинау және өңдеу қағидаларын бекіту туралы» Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2020 жылғы 21 қазандағы № 395/НК бұйрығы; Қазақстан Республикасының өзге де нормативтік құқықтық актілері.

4. Серіктестік биометриялық дербес деректерді өңдемейді. Серiктестiк дербес деректердi өңдеудi «Дербес деректер және оларды қорғау туралы» Қазақстан Республикасы Заңының 7-ші бабына сәйкес басқа тұлғаларға тапсыруға құқылы.

5. Серіктестіктің дербес деректерді өңдеу мақсаттары: дербес деректерді өңдеудің заңдылығын сақтау; Қазақстан Республикасының заңнамасымен Операторға жүктелген функцияларды, өкілеттіктер мен міндеттерді жүзеге асыру және орындау; Жарғыда және өзге де нормативтік құқықтық актілерде көзделген қызмет түрлерін жүзеге асыру шеңберінде Серіктестіктің құқықтары мен заңды мүдделерін жүзеге асыру; басқа да заңды мақсаттар үшін.

6. Серіктестік өңдейтін барлық дербес деректер, Қазақстан Республикасының заңнамасына сәйкес құпия және қатаң қорғалатын ақпарат болып табылады.

7. Өңдеу мақсаттарына, мерзімдеріне және қажеттілігіне қарай өңделетін дербес деректердің құрамына мыналар кіреді: аты-жөні, әкесінің аты; жынысы; туған күні мен жері; төлқұжат туралы мәліметтер; ЖСН, жеке және өмірбаяндық мәліметтер; білімі; жұмыспен қамтылуы және жалпы еңбек тәжірибесі туралы мәліметтер; отбасының құрамы туралы мәліметтер; мамандығы; атқаратын қызметі; соттылығы; тіркелген жерінің мекен-жайы; тұрғылықты мекен-жайы; үй телефонының нөмірі; ұялы телефонының (мобилді телефон) нөмірі, электрондық пошта мекен-жайы; отбасы мүшелері мен туыстарының жұмыс немесе оқу орны.

8. Қолданбада дербес деректердің құпиялылығын қамтамасыз ету және оларды қорғау:

8.1 Серіктестік, https://www.flo.com.kz/ веб-сайты арқылы жиналған клиенттердің дербес деректерін өңдейді. 

8.2 https://www.flo.com.kz/веб-сайты арқылы жиналған дербес деректерге мыналарды қамтиды: аты-жөнін, әкесінің атын; туған күнін; ЖСН; тұрғын үйінің мекен-жайын; тапсырысты жеткізу мекен-жайын; ұялы телефонның нөмірін; электрондық пошта мекен-жайын; қолданбаның нысандарында, Серіктестік қызметкерлерімен және басқа да көздерде қарым-қатынас жасау кезінде клиент ұсынатын өзге де ақпаратты.

8.3. Клиенттің дербес деректерін толығымен жою, клиент Серіктестікке бұл туралы өтініш бергеннен кейін жүзеге асырылады.

8.4. Егер клиенттің қолданбаны пайдалану үшін қажетті дербес деректерін клиент өз бетінше немесе клиенттің кінәсінен жарияланса, Серіктестік клиенттің атынан қолданбада заңсыз іс-әрекеттер жасалғаны үшін жауапты болмайды.

8.5. Серіктестік веб-сайт арқылы өзінің қажеттіліктерін жүзеге асыру мақсатында клиент пайдаланатын куки файлдарын клиенттің құрылғысына жазып алады. Куки файлдары, веб-сервер жіберетін және клиенттің электрондық құрылғысында сақталатын деректердің шағын бөліктері болып табылды. Олар клиенттердің қолданбаны пайдалану тәжірибесін жеңілдету және ұсынылатын қызметтердің сапасын жақсарту үшін және серіктестік тарапынан көрсетілетін қызметтердің сапасын арттыру мақсатында талдау жинау үшін пайдаланылады. Куки файлдары құпия ақпаратты қамтымайды. Қолданбаны жүктеуші немесе клиент, осы арқылы статистикалық деректерді генерациялау және жарнамалық хабарламаларды оңтайландыру мақсатында, үшінші тұлғаларды да қоса алғанда, куки файлдарының жинаылуына, талданылуына және пайдаланылуына өз келісімін береді.

8.6. Серіктестік, клиентпен телефон арқылы сөйлесулерді жазуға құқылы. Бұл ретте Серіктестік, телефон арқылы сөйлесу барысында ақпаратқа рұқсатсыз қол жеткізу және/немесе тапсырыстарды орындауға тікелей қатысы жоқ үшінші тұлғаларға беру әрекеттерін болдырмауға міндеттенеді.

9. Серіктестік, Оператор ретінде өз міндеттемелерін тиісінше орындау үшін және шарттық міндеттемелерді тиісінше іске асыру үшін қажетті мынадай дербес деректер субъектілерінің дербес деректерін өңдейді:

9.1. бар және әлеуетті клиенттердің, бар және әлеуетті клиенттердің өкілдері - дербес деректердің субъектілерінің келісімімен әлеуетті және бар клиенттермен өзара іс-қимыл жасау үшін қажетті құрамда және мерзімде;

9.2. Серіктестікпен шарттық қарым-қатынаста болатын басқа да жеке тұлғалардың – өзара іс-қимыл мақсаттарына қол жеткізу үшін қажетті құрамда және мерзімде;

9.3. Серіктестіктің контрагенттері мен контрагенттердің өкілдерінің – дербес деректер субъектілерінің келісімімен жеткізушілермен өзара іс-қимыл жасау үшін қажетті құрамда және мерзімде;

9.4. табыс алатын, бірақ Серіктестікпен еңбек немесе өзге де қатынастарда болмайтын адамдардың – Қазақстан Республикасының заңнамасында көзделген мақсаттарға қол жеткізу үшін қажетті құрамда және мерзімде Қазақстан Республикасының заңнамасында жүктелген функцияларды, өкілеттіктер мен міндеттемелерді жүзеге асыру және орындау.

10. Дербес деректерді өңдеу автоматтандырылған және автоматтандырылмаған тәсілдермен жүзеге асырылады.

10.1. Автоматтандыру құралдарын пайдаланбай жүзеге асырылатын дербес деректерді өңдеу, дербес деректердің әрбір санаты үшін дербес деректердің (материалдық тасығыш) сақтау орындарын анықтауға болатындай етіп жүзеге асырылады. Оператор дербес деректерді өңдейтін немесе оларға қол жеткізе алатын тұлғалардың тізімін белгілейді. Өңделуі әртүрлі мақсаттарда жүзеге асырылатын дербес деректердің (материалдық тасығыштар) бөлек сақталуы қамтамасыз етіледі. Оператор, дербес деректердің сақталуын қамтамасыз етеді және дербес деректерге рұқсатсыз қол жеткізуді болдырмау жөнінде шаралар қабылдайды.

10.2. Автоматтандыру құралдарын пайдалана отырып жүзеге асырылатын дербес деректерді өңдеу, келесі шартта сақталған жағдайда жүзеге асырылады: Серіктестік дербес деректерге рұқсатсыз қол жеткізуді және (немесе) оларды мұндай ақпаратқа қол жеткізуге құқығы жоқ тұлғаларға беруді болдырмауға бағытталған техникалық шараларды қабылдайды; қауіпсіздік құралдары дербес деректерге рұқсатсыз қол жеткізу жағдайларын уақтылы анықтау үшін конфигурацияланған; дербес деректерді автоматтандырылған өңдеудің техникалық құралдары, нәтижесінде олардың жұмысы бұзылуы мүмкін болатындай оларға әсер етудің алдын алу үшін оқшауланады; Серіктестік оларға рұқсатсыз қол жеткізу салдарынан өзгертілген немесе жойылған дербес деректерді дереу қалпына келтіру мүмкіндігі үшін деректердің сақтық көшірмесін жасайды; дербес деректердің қауіпсіздік деңгейін қамтамасыз ету үшін тұрақты түрде мониторинг жүргізіледі.

11. Дербес деректерді сақтау:

11.1. Қағаз тасығыштағы дербес деректер, арнайы жабдықталған металл шкафтарда және/немесе сейфтерде немесе құлыпталатын және мөрленетін басқа жерлерде сақталады. Кілттер тиісті бұйрықпен тағайындалған жауапты қызметкерде болады.

11.2. Электрондық түрдегі дербес деректер, дербес деректердің ақпараттық жүйелерінің дерекқорларында, сондай-ақ осы дербес деректердің ақпараттық жүйелерінің дерекқорларының мұрағаттық (резервтік) көшірмелерінде сақталады.

11.3. Дербес деректерді сақтау кезінде олардың сақталуын қамтамасыз ету және оларға рұқсатсыз қол жеткізуді болдырмайтын, төмендегілерді де қоса алғанда, бірақ олармен шектелмейтін ұйымдастырушылық-техникалық шаралар қабылданады: дербес деректерді өңдеуге жауапты қызметкерді тағайындау; дербес деректер өңделетін орындарға физикалық қол жеткізуді шектеу, оның ішінде құлыптау құрылғыларын орнату, қол жеткізуге рұқсаты бар адамдар шеңберін шектеу және т.б.; дербес деректер субъектілерінің дербес деректерінің сақтық көшірмелері сақталатын алмалы-салмалы электрондық тасығыштар (қажет болған жағдайда олар дербес деректердің резервтік көшірмелерін сақтау үшін сыртқы тасығыштарды тіркеу, есепке алу және беру журналында белгіленеді және есепке алынады); барлық ақпараттық жүйелерді, электрондық және қағаз тасығыштарды, сондай-ақ мұрағаттық көшірмелерді есепке алу; сертификатталған ақпаратты қорғау құралдарын және ақпаратты криптографиялық қорғау құралдарын пайдалану.

12. Деректерді өңдеу мақсаттары үшін Серіктестік, дербес деректерді мыналарға бере алады: Серіктестік қызметкерлеріне; Серіктестік атынан алынған ақпараттың құпиялығы мен қауіпсіздігін қамтамасыз ету міндеттемесіне қол қойған үшінші тұлғаларға, онда дербес деректерді өңдейтін тұлға іске асыратын дербес деректермен жасалатын іс-әрекеттердің (операциялардың) тізбесі және өңдеу мақсаттары көрсетілуі тиіс, сондай-ақ онда мұндай тұлғаның дербес деректердің құпиялылығын сақтауға және оларды өңдеу барысында дербес деректердің қауіпсіздігін қамтамасыз етуге міндеттемесі, өңделген дербес деректерді қорғау талаптары да көрсетілуі тиіс; анықтау және тергеу органдарының, соттың тергеуге немесе сот талқылауына байланысты, қылмыстық жазаны орындауға және шартты түрде сотталған адамның жүріс-тұрысын бақылауға байланысты қылмыстық-атқару жүйесі органының талабы бойынша; өзіне қатысты жазасын өтеу кейінге қалдырылған сотталған адамға және шартты түрде мерзімінен бұрын босатылған адамдарға. Өзге жағдайларда дербес деректерді үшінші тұлғаларға беру, тек дербес деректер субъектісінің келісімімен және дербес деректер субъектісінің алдындағы міндеттемелерді орындауы мақсатында ғана мүмкін болады.

13. Дербес деректерге өзгертулер енгізу, дербес деректер субъектісінің өтініші негізінде, дербес деректер субъектісінің дербес деректерін қамтитын ресми құжаттар негізінде және заңнамаға сәйкес басқа да жағдайларда жүзеге асырылады.

14. Дербес деректер оларды өңдеу мақсаттары талап еткеннен артық сақталмайды және өңдеу мақсаттарына қол жеткізген кезде немесе оларға қол жеткізу қажеттілігін жоғалтқан жағдайда жойылуға жатады. Субъектілердің дербес деректері бар ақпарат құралдарынан және тасығыштардан жою келесі ережелерге сәйкес болуы керек: кейіннен қалпына келтіру мүмкіндігін болдырмайтын, мүмкіндігінше сенімді және құпия болуы керек; тиісті актімен ресімделуі керек; дербес деректерді жою жөніндегі комиссия тарапынан жүзеге асырылуы керек; осындай жою, аталған дербес деректерді өңдеу мақсатына қол жеткізуге немесе оларға қол жеткізу қажеттілігін жоғалтуға байланысты жойылуға жататын дербес деректерге ғана қатысты болуы және өзекті дербес дерек тасығыштарды кездейсоқ немесе әдейі жоюға жол бермеуі керек.

15. Дербес деректер субъектісінің құқықтары төменгідей:

– меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның олардың дербес деректері бар екенін білуге, дербес деректерді жинау және өңдеу фактілерін, мақсатын, көздерін, әдістерін, дербес деректер тізімін, дербес деректерді өңдеу мерзімдерін, оның ішінде оларды сақтау мерзімдерін растайтын ақпаратты алуға;

– тиісті құжаттармен расталған негіздер болған жағдайда, меншік иесінен және (немесе) оператордан олардың дербес деректеріне өзгерістер мен толықтырулар енгізуді талап етуге;

– дербес деректерді жинау және өңдеу шарттарының бұзылғаны туралы мәліметтер болған жағдайда, меншік иесінен және (немесе) оператордан, сондай-ақ үшінші тұлғадан олардың дербес деректерін бұғаттауды талап етуге;

– жиналуы және өңделуі Қазақстан Республикасының заңнамасын бұза отырып жүзеге асырылған жағдайда, сондай-ақ осы Заңда және Қазақстан Республикасының өзге де нормативтік құқықтық актілерінде белгіленген өзге де жағдайларда, дербес деректерін жоюды меншік иесінен және (немесе) оператордан, сондай-ақ үшінші тұлғадан талап етуге;

– моральдық және материалдық залалды төлеуді де қоса алғанда, өз құқықтары мен заңды мүдделерін қорғауға;

– Қазақстан Республикасының заңнамасында көзделген жағдайларды қоспағанда, дербес деректерді жинауға және өңдеуге берілген келісімді қайтарып алуға;

– меншік иесіне және (немесе) операторға дербес деректердің жалпыға қолжетімді көздерінде олардың дербес деректерін таратуға келісім беруге (бас тартуға);

– осы Заңда және Қазақстан Республикасының өзге де заңдарында көзделген өзге де құқықтарды жүзеге асыруға.

Дербес деректер субъектісі Серіктестікке жазбаша сұрау салу арқылы сұралған ақпаратты ала алады. Сұрау салынған ақпаратты қамтитын жауап немесе оны беруден дәлелді бас тарту, 30 (отыз) күнтізбелік күн ішінде сұрау салуда көрсетілген мекен-жайға жіберіледі.

16. Дербес деректер субъектісінің міндеттері төмендегідей:

– Қазақстан Республикасының заңнамалық актілерінде белгіленген жағдайларда өздерінің дербес деректерін ұсынуға;

– өзгерістер болған жағдайда жаңартылған дербес деректерді (оның ішінде жаңартылған телефон нөмірі мен электрондық пошта мекен-жайын) ұсынуға.

17. Серіктестік дербес деректерді өңдеуді мынадай жағдайларда тоқтатады: дербес деректерді өңдеуді тоқтату шарттары туындаған кезде немесе белгіленген мерзімдер өткенде; оларды өңдеу мақсаттарына қол жеткізген кезде немесе осы мақсаттарға қол жеткізу қажеттілігі жойылған жағдайда; егер Серіктестік өңдеген дербес деректер толық емес, ескірген, дұрыс емес, заңсыз алынған немесе мәлімделген өңдеу мақсаты үшін қажет болмаса, дербес деректер субъектісінің талабы бойынша; дербес деректерді заңсыз өңдеу анықталған жағдайда, дербес деректерді өңдеудің заңдылығын қамтамасыз ету мүмкін болмаған жағдайда; дербес деректер субъектісі өзінің дербес деректерін өңдеуге берген келісімін қайтарып алған немесе мұндай келісімнің мерзімі өткен жағдайда (егер дербес деректерді Серіктестік дербес деректер субъектісінің келісімі негізінде ғана өңдейтін болса); Серіктестік таратылған жағдайда.

18. Серіктестіктің Қазақстан Республикасының дербес деректер туралы заңнамасында көзделген міндеттемелердің орындалуын қамтамасыз ету және оларды қорғау жөніндегі қабылдаған шаралары: дербес деректерді өңдеуді ұйымдастыруға жауапты тұлға тағайындалды; дербес деректерді өңдеу және олардың сақталуын қамтамасыз ету мәселелері бойынша жергілікті актілер, сондай-ақ Қазақстан Республикасының заңнамасын бұзушылықтардың алдын алуға және анықтауға, мұндай бұзушылықтардың салдарын жоюға бағытталған рәсімдерді белгілейтін жергілікті актілер шығарылды; дербес деректердің қауіпсіздігін қамтамасыз ету үшін құқықтық, ұйымдастырушылық және техникалық шаралар қолданылды; дербес деректерді өңдеудің Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасының, «Дербес деректерді жинау, өңдеу және қорғау тәртібі туралы Ережелердің», жергілікті атқарушы органдардың актілерінің талаптарына сәйкестігіне ішкі бақылау жүзеге асырылды; Дербес деректерді өңдеумен тікелей айналысатын Серіктестік қызметкерлері, дербес деректер туралы заңнаманың ережелерімен және оларды қорғау және оған сәйкес қабылданған нормативтік құқықтық актілермен, «Дербес деректерді жинау, өңдеу және қорғау тәртібі туралы Ережелермен» және дербес деректерді өңдеу жөніндегі жергілікті актілермен танысты.

19. Егер «Дербес деректерді жинау, өңдеу және қорғау тәртібі туралы Ережелердің» тармақтары немесе олардың бір бөлігі Қазақстан Республикасының заңнамасына қайшы келеді немесе жарамсыз деп танылса, бұл факт «Дербес деректерді жинау, өңдеу және қорғау тәртібі туралы Ережелердің» қалған ережелеріне әсер етпейді, олар күшін сақтайды және кез келген жарамсыз ереже немесе Тараптардың қосымша әрекетінсіз жүзеге асырылуы мүмкін емес кезкелген ереже, оның жарамдылығы мен қолданылуын қамтамасыз ету үшін қажетті көлемде өзгертілген немесе түзетілген болып саналады.