Политика Компания «InCredit» в отношении обработки персональных данных

2.1. Цели обработки Персональных данных

Компания осуществляет обработку ПДн с целы о обеспечения финансовой, хозяйственной деятельности, осуществления иной деятельности, предусмотренной Уставом Компании и действующим законодательством Республики Казахстан, а также заключения и исполнения договоров с партнерами (клиентами) Компании, осуществления трудовых отношений с работниками Компании и отношений с физическими лицами, намеревающимися вступить в трудовые отношения с Компанией.

2.2. Категории обрабатываемых Персональных данных

2.2.1. Компания обрабатывает следующие категории ПДн: фамилия; имя; отчество; предыдущая фамилия; предыдущее имя; предыдущее отчество; дата рождения; гражданство; карта мигранта/разрешение на работу; пол; фотография; адрес регистрации и/или фактического проживания; почтовый адрес; место рождения; идентификационный номер налогоплательщика; стаж работы; сведения из страховых полисов обязательного (добровольного) медицинского страхования; сведения о социальных льготах; сведения о социальном статусе; сведения об образовании; сведения о заработной плате; сведения о социальных льготах; сведения о трудовой деятельности; сведения о воинском учете; сведения о семейном положении; сведения о наличии несовершеннолетних детей; сведения о наличии фактов привлечения к уголовной, гражданской и административной ответственности; банковские реквизиты; сведения о состоянии здоровья; городской и/или мобильный но- мера телефонов; адрес электронной почты; семейное положение; количество детей (иждивенцев); образование; среднемесячный подтвержденный/ неподтвержденный доход; дата регистрации; информация о транспортном средстве рег. номер, VIN); сведения о месте работы (название, должность, стаж, контактные данные); данные кредитной истории клиента; данные по использованию мобильной связи; реквизиты документа, удостоверяющего личность (паспорта): наименование, серия (при наличии) и номер, дата выдачи документа, наименование opraпa, выдавшего документ, код подразделения (при наличии) (различные для граждан РК и для иностранных граждан; номер страхового свидетельства государственного пенсионного страхования, видеоизображение.

2.2.2. Компания не обрабатывает ПДн субъекта, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

2.3. Получение Персональных данных

2.1.1. Компания получает ПДн от субъекта (его представителя) или из других источников с разрешения Субъекта при заключении или подготовке к заключению договора, стороной или выгодоприобретателем по которому является Субъект ПДн. Обязательной частью договора является Согласие на Обработку ПДн.

2.1.2. ПДн могут быть получено Компанией не от субъекта (его представителя) в случаях, когда действующим законодательством допускается обработка ПДн без получения на то согласия субъекта ПДн, и с соблюдением требований закона «О персональных данных›.

2.3.3 ПДн могут быть получены Компанией с использованием государственных и иных информационных систем, в случаях, установленных действующим законодательством в соответствии с согласием Субъекта ПДн, либо без согласия Субъекта ПДн, если это допустимо в соответствии действующим законодательством.

2.3.4. Субъект обязан предоставлять Компании достоверные сведения о себе и своевременно сообщать Компании об изменении своих ПДн. Компания имеет право проверять достоверность сведений, сверяя данные, предоставленные субъектом, с данными, полученными из достовернгтх и законом разрешенных источников.

2.4. Хранение Персональных данных субъекта

2.4.1. Хранение ПДн субъектов осуществляется следующими способами:

1. на материальных носителях:
   - на бумажных носителях;
   - на электронных мобильных носителях;
2. в информационных системах.

2.4.2. Персональные данные, обрабатываемые в информационных системах, хранятся в базах данных, располагающихся в центрах обработки данных на территории Республики Казахстан

2.4.3. Хранение ПДн субъектов в структурных подразделениях Компании, работники которых имеют право доступа к Персональным данным, осуществляется в порядке, исключающеьt к ним доступ третьих лиц.

2.4.4. Предельный срок хранения персональных данных определяется исходя из следующего:

1. требований законодательства (гражданского, трудового, налогового, пенсионного, о безопасности и правоохранительной деятельности);
2. исковой давности взаимных претензий Компании и клиента;
3. других нормативных документов.

Сроки хранения бумажных материальных носителей персональных данных определяются в соответствие со сроком действия договора с субъектом ПДн, образующихся в деятельности организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства.

2.5. Использование Персональных данных субъекта

2.5.1. Доступ к ПДн субъекта имеют работники Компании, которьтм ПДн необходимы в связи с исполнением ими трудовьтх обязанностей.

2.5.2. Все работники Компании в независимости от трудовых обязанностей ознакамливаются под подпись с правилами обработки персональных данных до начала обработки

2.5.3. В случае если работнику для выполнения трудовых обязанностей необходимо осуществлять обработку персональных данных, ему предоставляется доступ к соответствующим автоматизированным системам после выполнения процедуры согласования.

2.6. Передача Персональных данных третьим лицам

2.6.1. Передача ПДн субъекта третьим лицам осуществляется только при наличии у Компании письменного согласия субъекта.

2.6.2. Передача ПДн субъекта третьим лицам выполняется при:

• выполнении работ по подготовке, обработке и сдаче почтовых отправлений;
• выполнении работ по формированию, доставке и подтверждению о доставке ЅМЅ- сообщений/е-mail сообщений;
• взаимодействии Компании с кредитными бюро с соответствии с требованиями действующего законодательства о кредитных историях;
• для проверки предоставленных данных и сбора недостающих данных в целях рас- смотрения возможности заключения соглашений о предоставлении услуг Компании;
• уступке прав требования по договорам заключенным физическими лицами с Компанией;
• организации архивного хранения документов на бумажных носителях;
• иных действиях в рамках исполнения договорных отношений.

2.6.3. Компания осуществляет трансграничную передачу персональных данных при
выполнении работ по отправке электронной почты с использованием серверов, расположенных в Польше.

2.6.4. Предоставление ПДн субъекта государственным oprauaм и иным лицам по их запросам производится в соответствии с требованиями действующего законодательства.

2.7. Уничтожение Персональных данных

2.7.1. Компания прекращает обработку персональных данных субъектов в форме, позволяющей определить субъекта ПДн по достижении целей обработки, заявленных при получении ПДн от субъекта, или при получении письменного требования прекращения обработки и уничтожения персональных данных субъекта, если иное не предусмотрено требованиями действующего законодательство.

3.1. Компания обеспечивает защиту ПДн субъектов от неправомерного использования, модификации или утраты с помощью комплекса организационных и технических мер

3.2. Целями защиты ПДн являются:

• предотвращение несанкционированного доступа к обрабатываемым ПДu;
• предотвращение несанкционированных действий по модификации, искажению, распространению, блокированию, уничтожению обрабатываемых ПДн,
• защита конституционных прав граждан на сохранение личной тайны и конфиденциальности ПДн, обрабатываемых Компанией,
• обеспечение конфиденциальности обрабатываемых ПДн.

3.3. Защите подлежит:

• информация о ПДн субъекта;
• документы, содержащие ПДн субъекта;
• ПДн, содержащиеся на электронных и иных материальных носителях,
• ПДн, передаваемые по сетям связи.

3.4. Защита персональных данных обеспечивается согласно действующему законодательству РК

4.1. Права субъектов персональных данных

4.1.1. Субъект, ПДн которого обрабатываются в Компании, имеет право:

• получать доступ к своим Персональным данным и ознакомиться с ними;
• требовать от Компании уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки;
• получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
• обжаловать в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия Компании при обработки и защите его;
• требовать от Компании прекращения обработки и уничтожения ПДн, по достижению целей обработки.
• осуществлять иные права, предусмотренные законодательством Республики Казахстан.

4.1.2. Запросы субъектов ПДн принимаются Компанией после установления личности обратившегося (в том числе с применением кодовых слов, одноразовых паролей) в порядке, установленном в договоре с субъектом или иным соглашением.

4.1.3. Запрос должен содержать информацию, позволяющую установить личность обратившегося, а также сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией, подпись субъекта персональных данных или его представителя.

4.2. Права и обязанности Компании

4.2.1. Компанией, как оператор персональных данных имеет право:

• отстаивать свои интересы в суде;
• предоставлять персональные данные субъектов третьим лицам, если это предусмотрено договором с субъектом ПДн или действующим законодательством (правоохранительные органы, налоговые органы, органы пенсионного страхования и др.);
• отказывать в предоставлении ПДн в случаях предусмотренных законодательством;
• использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством.

4.2.2. В случае отзыва субъектом персональных данные согласия на обработку персональных данных Компания вправе продолжить обработку персональных данные, в случаях, когда такая обработка допускается законом «О персональных данных› без согласия субъекта персональные данные и/или когда такая обработка обязательна в соответствии с требованиями действующего законодательства.

4.2.3. Основания для продолжения обработки персональных данных после получения отзыва включают в себя (но не ограничиваются) следующие:

• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных;
• обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Республики Казахстан на Компанию функций, полномочий и обязанностей, в том числе закона РК «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», которым установлена обязанность идентифицировать лиц, находящихся на обслуживании в организации. Также в в Законе установлена обязанность хранения документов и сведений, необходимые для идентификации личности, не менее 5 лет после прекращения отношений с клиентом

5.1. Лица, виновные в нарушении норм, регулирующих получение, Обработку и защиту ПДн Субъектов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законами РК.