PrivacyInfoKZ: различия между версиями

Вопросы/ответы, технические и административные действия в вашей компании для соблюдения Закона Республики Казахстан "О персональных данных и их защите" № 94-V от 21.05.2013

1. Используя сервисы Платформы ABCP, Вы в соответствии со статьей 12 Закона РК «О персональных данных и их защите» поручаете Платформе ABCP обработку персональных данных в соответствии с требованиями законодательства РК.

2. Разработать внутренние документы:

2.1. “Положение об обработке и обеспечении безопасности персональных данных”;

2.2. “Регламент по доступу к персональным данным”;

2.3. “Обязательство о неразглашении персональных данных”.

2.4. Приказ о назначении ответственного за обработку персональных данных в вашей компании.

3. Ознакомить всех сотрудников компании с документом:

3.1. “Положение об обработке и обеспечении безопасности персональных данных”;

3.2. “Регламент по доступу к персональным данным”.

4. Подписать индивидуально со всеми сотрудниками, допущенными к обработке персональных данных:

4.1. “Обязательство о неразглашении персональных данных”.

5. В случае наличия интеграций с внешними сервисами или использования API платформы:

5.1. Убедиться, что при использовании любых подключенных к сайту сервисов не происходит трансграничной передачи персональных данных.

5.2. Трансграничная передача возможна, но с ограничениями: получить согласие субъекта персональных данных на такую передачу, убедиться, что страна-получатель обеспечивает адекватный уровень защиты персональных данных.

5.3. Как для зарубежных, так и для казахстанских сервисов, подключённых к вашему сайту (CRM, системы аналитики и рекламы, коллтрекинг, телефония и т. д.), — убедиться, что между вами и сервисом существует (или подписано) поручение (в виде договора или оферты) на обработку персональных данных, и текст поручения определяет действия с данными в рамках Закона "О персональных данных и их защите" и не противоречит законодательству Республики Казахстан.

5.4. Провести ревизию использования API (вами или сервисами, подключенными с вашего согласия) и убедиться, что не происходит трансграничной передачи данных и существует поручение на обработку персональных данных.

5.5. В любом случае проверяйте, какие данные передаются сторонним сервисам. Например, Яндекс в своей политике конфиденциальности запрещает передавать идентификационную информацию в Метрику и рекомендует правильно настраивать используемые инструменты Яндекса, перекладывая всю ответственность за сбор персональных данных Метрикой на владельца сайта.

Вопросы и ответы

1. У нас на сайте работают франчайзи партнеры и у них отдельные юр.лица. Что им нужно делать?

Ответ: не имеет значения, что вы и ваши франчайзи используют одно доменное имя. Каждому партнеру нужно выполнить все действия точно так же как и головной компании.

2. Доменное имя сайта оформлено на физическое лицо, нужно ли переоформлять на юридическое лицо, которое становится оператором персональных данных?

Ответ: Нет, законодательство РК не связывает доменное имя с оператором персональных данных. Главное – кто фактически обрабатывает данные.

3. У нас на сайте несколько юридических лиц, как быть?

Ответ: Каждое юридическое лицо, представленное на вашем сайте, несет самостоятельную ответственность. Однако возникает сложность: при первоначальном взаимодействии с посетителем сайта невозможно заранее определить, какое именно из ваших юридических лиц будет обрабатывать его персональные данные – это становится очевидным только после оформления заказа. В данной ситуации рекомендуем следующий алгоритм действий:

1) на сайте указать основное (наиболее часто используемое) юридическое лицо в качестве первичного оператора;

2) заключить между всеми вашими юридическими лицами официальное соглашение о передаче персональных данных;