(Новая страница: «Вопросы/ответы, технические и административные действия в вашей компании для соблюдени...») |
|||
Строка 1: | Строка 1: | ||
− | Вопросы/ответы, технические и административные действия в вашей компании для соблюдения Закона Республики Казахстан "О персональных данных и их защите" № 94-VI от 21.05.2013 | + | == Вопросы/ответы, технические и административные действия в вашей компании для соблюдения Закона Республики Казахстан "О персональных данных и их защите" № 94-VI от 21.05.2013 == |
− | |||
1. Используя сервисы Платформы ABCP, Вы в соответствии со статьей 12 Закона РК «О персональных данных и их защите» поручаете Платформе ABCP обработку персональных данных в соответствии с требованиями законодательства РК. | 1. Используя сервисы Платформы ABCP, Вы в соответствии со статьей 12 Закона РК «О персональных данных и их защите» поручаете Платформе ABCP обработку персональных данных в соответствии с требованиями законодательства РК. | ||
2. Разработать внутренние документы: | 2. Разработать внутренние документы: | ||
+ | |||
2.1. “Положение об обработке и обеспечении безопасности персональных данных”; | 2.1. “Положение об обработке и обеспечении безопасности персональных данных”; | ||
2.2. “Регламент по доступу к персональным данным”; | 2.2. “Регламент по доступу к персональным данным”; | ||
− | 2. | + | |
− | 2. | + | 2.2. “Обязательство о неразглашении персональных данных”. |
+ | |||
+ | 2.3. Приказ о назначении ответственного за обработку персональных данных в вашей компании. | ||
3. Ознакомить всех сотрудников компании с документом: | 3. Ознакомить всех сотрудников компании с документом: | ||
+ | |||
3.1. “Положение об обработке и обеспечении безопасности персональных данных”; | 3.1. “Положение об обработке и обеспечении безопасности персональных данных”; | ||
+ | |||
3.2. “Регламент по доступу к персональным данным”. | 3.2. “Регламент по доступу к персональным данным”. | ||
4. Подписать индивидуально со всеми сотрудниками, допущенными к обработке персональных данных: | 4. Подписать индивидуально со всеми сотрудниками, допущенными к обработке персональных данных: | ||
+ | |||
4.1. “Обязательство о неразглашении персональных данных”. | 4.1. “Обязательство о неразглашении персональных данных”. | ||
5. В случае наличия интеграций с внешними сервисами или использования API платформы: | 5. В случае наличия интеграций с внешними сервисами или использования API платформы: | ||
+ | |||
5.1. Убедиться, что при использовании любых подключенных к сайту сервисов не происходит трансграничной передачи персональных данных. | 5.1. Убедиться, что при использовании любых подключенных к сайту сервисов не происходит трансграничной передачи персональных данных. | ||
+ | |||
5.2. Трансграничная передача возможна, но с ограничениями: получить согласие субъекта персональных данных на такую передачу, убедиться, что страна-получатель обеспечивает адекватный уровень защиты персональных данных. | 5.2. Трансграничная передача возможна, но с ограничениями: получить согласие субъекта персональных данных на такую передачу, убедиться, что страна-получатель обеспечивает адекватный уровень защиты персональных данных. | ||
+ | |||
5.3. Как для зарубежных, так и для казахстанских сервисов, подключённых к вашему сайту (CRM, системы аналитики и рекламы, коллтрекинг, телефония и т. д.), — убедиться, что между вами и сервисом существует (или подписано) поручение (в виде договора или оферты) на обработку персональных данных, и текст поручения определяет действия с данными в рамках Закона О персональных данных и их защите и не противоречит законодательству Республики Казахстан. | 5.3. Как для зарубежных, так и для казахстанских сервисов, подключённых к вашему сайту (CRM, системы аналитики и рекламы, коллтрекинг, телефония и т. д.), — убедиться, что между вами и сервисом существует (или подписано) поручение (в виде договора или оферты) на обработку персональных данных, и текст поручения определяет действия с данными в рамках Закона О персональных данных и их защите и не противоречит законодательству Республики Казахстан. | ||
+ | |||
5.4. Провести ревизию использования API (вами или сервисами, подключенными с вашего согласия) и убедиться, что не происходит трансграничной передачи данных и существует поручение на обработку персональных данных. | 5.4. Провести ревизию использования API (вами или сервисами, подключенными с вашего согласия) и убедиться, что не происходит трансграничной передачи данных и существует поручение на обработку персональных данных. | ||
+ | |||
5.5. В любом случае проверяйте, какие данные передаются сторонним сервисам. Например, Яндекс в своей политике конфиденциальности запрещает передавать идентификационную информацию в Метрику и рекомендует правильно настраивать используемые инструменты Яндекса, перекладывая всю ответственность за сбор персональных данных Метрикой на владельца сайта. | 5.5. В любом случае проверяйте, какие данные передаются сторонним сервисам. Например, Яндекс в своей политике конфиденциальности запрещает передавать идентификационную информацию в Метрику и рекомендует правильно настраивать используемые инструменты Яндекса, перекладывая всю ответственность за сбор персональных данных Метрикой на владельца сайта. | ||
Вопросы и ответы | Вопросы и ответы | ||
+ | |||
1. У нас на сайте работают франчайзи партнеры и у них отдельные юр.лица. Что им нужно делать? | 1. У нас на сайте работают франчайзи партнеры и у них отдельные юр.лица. Что им нужно делать? | ||
+ | |||
Ответ: не имеет значения, что вы и ваши франчайзи используют одно доменное имя. Каждому партнеру нужно выполнить все действия точно так же как и головной компании. | Ответ: не имеет значения, что вы и ваши франчайзи используют одно доменное имя. Каждому партнеру нужно выполнить все действия точно так же как и головной компании. | ||
− | 2. Доменное имя сайта оформлено на физическое лицо, нужно ли | + | 2. Доменное имя сайта оформлено на физическое лицо, нужно ли переоформлять на юридическое лицо, которое становится владельцем (оператором) персональных данных? |
+ | |||
Ответ: Нет, законодательство РК не связывает доменное имя с владельцем (оператором) персональных данных. Главное – кто фактически обрабатывает данные. | Ответ: Нет, законодательство РК не связывает доменное имя с владельцем (оператором) персональных данных. Главное – кто фактически обрабатывает данные. | ||
3. У нас на сайте несколько юридических лиц, как быть? | 3. У нас на сайте несколько юридических лиц, как быть? | ||
+ | |||
Ответ: Каждое юридическое лицо, представленное на вашем сайте, несет самостоятельную ответственность. Однако возникает сложность: при первоначальном взаимодействии с посетителем сайта невозможно заранее определить, какое именно из ваших юридических лиц будет обрабатывать его персональные данные – это становится очевидным только после оформления заказа. В данной ситуации рекомендуем следующий алгоритм действий: | Ответ: Каждое юридическое лицо, представленное на вашем сайте, несет самостоятельную ответственность. Однако возникает сложность: при первоначальном взаимодействии с посетителем сайта невозможно заранее определить, какое именно из ваших юридических лиц будет обрабатывать его персональные данные – это становится очевидным только после оформления заказа. В данной ситуации рекомендуем следующий алгоритм действий: | ||
+ | |||
1) на сайте указать основное (наиболее часто используемое) юридическое лицо в качестве первичного оператора; | 1) на сайте указать основное (наиболее часто используемое) юридическое лицо в качестве первичного оператора; | ||
+ | |||
2) заключить между всеми вашими юридическими лицами официальное соглашение о передаче персональных данных; | 2) заключить между всеми вашими юридическими лицами официальное соглашение о передаче персональных данных; |
Версия 09:30, 9 июля 2025
Вопросы/ответы, технические и административные действия в вашей компании для соблюдения Закона Республики Казахстан "О персональных данных и их защите" № 94-VI от 21.05.2013
1. Используя сервисы Платформы ABCP, Вы в соответствии со статьей 12 Закона РК «О персональных данных и их защите» поручаете Платформе ABCP обработку персональных данных в соответствии с требованиями законодательства РК.
2. Разработать внутренние документы:
2.1. “Положение об обработке и обеспечении безопасности персональных данных”; 2.2. “Регламент по доступу к персональным данным”;
2.2. “Обязательство о неразглашении персональных данных”.
2.3. Приказ о назначении ответственного за обработку персональных данных в вашей компании.
3. Ознакомить всех сотрудников компании с документом:
3.1. “Положение об обработке и обеспечении безопасности персональных данных”;
3.2. “Регламент по доступу к персональным данным”.
4. Подписать индивидуально со всеми сотрудниками, допущенными к обработке персональных данных:
4.1. “Обязательство о неразглашении персональных данных”.
5. В случае наличия интеграций с внешними сервисами или использования API платформы:
5.1. Убедиться, что при использовании любых подключенных к сайту сервисов не происходит трансграничной передачи персональных данных.
5.2. Трансграничная передача возможна, но с ограничениями: получить согласие субъекта персональных данных на такую передачу, убедиться, что страна-получатель обеспечивает адекватный уровень защиты персональных данных.
5.3. Как для зарубежных, так и для казахстанских сервисов, подключённых к вашему сайту (CRM, системы аналитики и рекламы, коллтрекинг, телефония и т. д.), — убедиться, что между вами и сервисом существует (или подписано) поручение (в виде договора или оферты) на обработку персональных данных, и текст поручения определяет действия с данными в рамках Закона О персональных данных и их защите и не противоречит законодательству Республики Казахстан.
5.4. Провести ревизию использования API (вами или сервисами, подключенными с вашего согласия) и убедиться, что не происходит трансграничной передачи данных и существует поручение на обработку персональных данных.
5.5. В любом случае проверяйте, какие данные передаются сторонним сервисам. Например, Яндекс в своей политике конфиденциальности запрещает передавать идентификационную информацию в Метрику и рекомендует правильно настраивать используемые инструменты Яндекса, перекладывая всю ответственность за сбор персональных данных Метрикой на владельца сайта.
Вопросы и ответы
1. У нас на сайте работают франчайзи партнеры и у них отдельные юр.лица. Что им нужно делать?
Ответ: не имеет значения, что вы и ваши франчайзи используют одно доменное имя. Каждому партнеру нужно выполнить все действия точно так же как и головной компании.
2. Доменное имя сайта оформлено на физическое лицо, нужно ли переоформлять на юридическое лицо, которое становится владельцем (оператором) персональных данных?
Ответ: Нет, законодательство РК не связывает доменное имя с владельцем (оператором) персональных данных. Главное – кто фактически обрабатывает данные.
3. У нас на сайте несколько юридических лиц, как быть?
Ответ: Каждое юридическое лицо, представленное на вашем сайте, несет самостоятельную ответственность. Однако возникает сложность: при первоначальном взаимодействии с посетителем сайта невозможно заранее определить, какое именно из ваших юридических лиц будет обрабатывать его персональные данные – это становится очевидным только после оформления заказа. В данной ситуации рекомендуем следующий алгоритм действий:
1) на сайте указать основное (наиболее часто используемое) юридическое лицо в качестве первичного оператора;
2) заключить между всеми вашими юридическими лицами официальное соглашение о передаче персональных данных;