Құпиялылық саясаты

1. Жалпы ережелер

Оператордың дербес деректерді өңдеуге қатысты саясаты (бұдан әрі – «Саясат») 2006 жылғы 27 шілдедегі №152-ФЗ «Дербес деректер туралы» Федералдық заңына (бұдан әрі – Дербес деректер туралы Федералдық заң) сәйкес әзірленген. Осы Саясат «АВВА РУС» АҚ-да (бұдан әрі – «Оператор») дербес деректерді өңдеу тәртібін және дербес деректердің қауіпсіздігін қамтамасыз ету шараларын айқындайды. Саясаттың мақсаты – адамның және азаматтың құқықтары мен бостандықтарын, оның ішінде жеке өмірге, жеке және отбасылық құпияға қол сұғылмаушылық құқықтарын қорғау. Осы Саясатта мынадай негізгі ұғымдар пайдаланылады:


  • дербес деректерді автоматтандырылған өңдеу – есептеу техникасы құралдарының көмегімен дербес деректерді өңдеу;
  • дербес деректерді бұғаттау – дербес деректерді өңдеуді уақытша тоқтату (егер өңдеу деректерді нақтылау үшін қажет болмаса);
  • дербес деректердің ақпараттық жүйесі – деректер базаларында қамтылған дербес деректердің және оларды өңдеуді қамтамасыз ететін ақпараттық технологиялар мен техникалық құралдардың жиынтығы;
  • дербес деректерді иесіздендіру – қосымша ақпаратты пайдаланбай дербес деректердің нақты субъектісін анықтау мүмкін болмайтын әрекеттер;
  • дербес деректерді өңдеу – автоматтандыру құралдарын пайдалана отырып немесе онсыз жүзеге асырылатын кез келген әрекет немесе әрекеттер жиынтығы, соның ішінде жинау, жазу, жүйелеу, жинақтау, сақтау, нақтылау (жаңарту, өзгерту), алу, пайдалану, беру (тарату, ұсыну, қол жеткізу), иесіздендіру, бұғаттау, жою және жоюға алып келетін әрекеттер;
  • оператор – дербес деректерді өңдеуді ұйымдастыратын және (немесе) жүзеге асыратын, сондай-ақ өңдеу мақсаттарын, өңделетін дербес деректер құрамын және олармен жасалатын әрекеттерді айқындайтын мемлекеттік орган, муниципалдық орган, заңды немесе жеке тұлға;
  • дербес деректер – тікелей немесе жанама түрде анықталған не анықталатын жеке тұлғаға қатысты кез келген ақпарат;
  • дербес деректерді ұсыну – дербес деректерді белгілі бір тұлғаға немесе тұлғалар тобына ашуға бағытталған әрекеттер;
  • дербес деректерді тарату – дербес деректерді белгісіз тұлғалар тобына ашуға немесе олармен шектеусіз тұлғаларды таныстыруға бағытталған әрекеттер, соның ішінде БАҚ-та жариялау, ақпараттық-телекоммуникациялық желілерде орналастыру немесе өзге тәсілмен қолжетімді ету;
  • дербес деректерді трансшекаралық беру – дербес деректерді шет мемлекеттің аумағына, сол мемлекеттің билік органына, шетелдік жеке немесе заңды тұлғаға беру;
  • дербес деректерді жою – нәтижесінде дербес деректердің ақпараттық жүйедегі мазмұнын қалпына келтіру мүмкін болмайтын және (немесе) дербес деректердің материалдық тасымалдағыштары жойылатын әрекеттер.


Оператор Дербес деректер туралы Федералдық заңның 18.1-бабы 2-бөлігіне сәйкес осы Дербес деректерді өңдеу саясатын жариялауға немесе оған шектеусіз қолжетімділікті өзге тәсілмен қамтамасыз етуге міндетті.

2. Дербес деректерді өңдеу қағидаттары мен шарттары

2.1. Дербес деректерді өңдеу қағидаттары

Оператор дербес деректерді мынадай қағидаттар негізінде өңдейді: заңдылық пен әділдік; дербес деректерді өңдеуді нақты, алдын ала айқындалған және заңды мақсаттарға қол жеткізумен шектеу; дербес деректерді жинау мақсаттарына сәйкес келмейтін өңдеуге жол бермеу; мақсаттары өзара сәйкес келмейтін деректер базаларын біріктіруге жол бермеу; тек өңдеу мақсаттарына сәйкес келетін дербес деректерді өңдеу; өңделетін дербес деректердің мазмұны мен көлемінің мәлімделген мақсаттарға сәйкестігі; артық дербес деректерді өңдеуге жол бермеу; дербес деректердің дәлдігін, жеткіліктілігін және өзектілігін қамтамасыз ету; өңдеу мақсаттарына қол жеткізілгеннен кейін немесе оларға қол жеткізу қажеттілігі жойылған жағдайда дербес деректерді жою немесе иесіздендіру, егер федералдық заңда өзгеше көзделмесе.

2.2. Дербес деректерді өңдеу шарттары

Оператор дербес деректерді мынадай шарттардың кемінде бірі болған жағдайда өңдейді:

  • дербес деректер субъектісі өзінің дербес деректерін өңдеуге келісім берген жағдайда;
  • дербес деректерді өңдеу Ресей Федерациясының халықаралық шартымен немесе заңымен көзделген мақсаттарға қол жеткізу, сондай-ақ заңнамада Операторға жүктелген функцияларды, өкілеттіктер мен міндеттерді жүзеге асыру үшін қажет болған жағдайда;
  • дербес деректерді өңдеу сот төрелігін жүзеге асыру, сот актісін немесе өзге органның не лауазымды тұлғаның актісін орындау үшін қажет болған жағдайда;
  • дербес деректерді өңдеу келісімшартты орындау үшін немесе субъектінің бастамасы бойынша келісімшарт жасасу үшін қажет болған жағдайда;
  • дербес деректерді өңдеу Оператордың немесе үшінші тұлғалардың заңды мүдделерін жүзеге асыру үшін қажет болған жағдайда және бұл ретте субъектінің құқықтары мен бостандықтары бұзылмаған жағдайда;
  • дербес деректер субъектінің өзі жария еткен немесе оның өтініші бойынша қолжетімді болған жағдайда;
  • дербес деректер федералдық заңға сәйкес жариялануға немесе міндетті түрде ашылуға тиіс болған жағдайда.

2.3. Дербес деректердің құпиялылығы

Оператор және дербес деректерге қол жеткізген өзге тұлғалар, егер федералдық заңда өзгеше көзделмесе, субъектінің келісімінсіз дербес деректерді үшінші тұлғаларға жариялауға немесе таратуға құқылы емес.

2.4. Жалпыға қолжетімді дербес деректер көздері

Ақпараттық қамтамасыз ету мақсатында Операторда анықтамалықтар мен мекенжай кітаптарын қоса алғанда, дербес деректердің жалпыға қолжетімді көздері құрылуы мүмкін. Мұндай көздерге субъектінің жазбаша келісімімен оның тегі, аты, әкесінің аты, туған күні мен жері, лауазымы, байланыс телефондары, электрондық пошта мекенжайы және өзге де дербес деректері енгізілуі мүмкін. Дербес деректер субъектісі, уәкілетті орган немесе сот талабы бойынша мұндай мәліметтер кез келген уақытта алынып тасталуы тиіс.

2.5. Дербес деректердің арнайы санаттары

Оператор нәсілдік немесе ұлттық тиістілікке, саяси көзқарастарға, діни немесе философиялық сенімдерге, денсаулық жағдайына, интимдік өмірге қатысты арнайы санаттағы дербес деректерді мынадай жағдайларда өңдей алады:

  • субъект жазбаша келісім берген жағдайда;
  • дербес деректер субъектінің өзі арқылы жалпыға қолжетімді болған жағдайда;
  • өңдеу әлеуметтік көмек, еңбек, зейнетақы немесе сақтандыру туралы заңнамаға сәйкес жүзеге асырылған жағдайда;
  • субъектінің немесе басқа тұлғалардың өмірі мен денсаулығын қорғау үшін қажет болған жағдайда және келісім алу мүмкін болмаған жағдайда;
  • өңдеу медициналық диагноз қою, медициналық немесе әлеуметтік қызмет көрсету мақсатында жүргізілген жағдайда;
  • өңдеу субъектінің немесе үшінші тұлғалардың құқықтарын белгілеу немесе қорғау үшін қажет болған жағдайда;
  • өңдеу міндетті сақтандыру немесе сақтандыру заңнамасына сәйкес жүргізілген жағдайда.

Арнайы санаттағы дербес деректерді өңдеу себептері жойылған жағдайда, егер федералдық заңда өзгеше көзделмесе, мұндай өңдеу дереу тоқтатылуы тиіс.

2.6. Биометриялық дербес деректер

Адамның физиологиялық және биологиялық ерекшеліктерін сипаттайтын және оның жеке басын анықтауға мүмкіндік беретін биометриялық дербес деректер субъектінің жазбаша келісімі болған жағдайда ғана өңделеді.

2.7. Дербес деректерді басқа тұлғаға өңдеуге тапсыру

Оператор субъектінің келісімімен, егер федералдық заңда өзгеше көзделмесе, дербес деректерді өңдеуді басқа тұлғаға шарт негізінде тапсыра алады. Мұндай тұлға осы Саясатта және Федералдық заңда белгіленген талаптарды сақтауға міндетті.

2.8. Ресей Федерациясы азаматтарының дербес деректерін өңдеу

2014 жылғы 21 шілдедегі №242-ФЗ Федералдық заңына сәйкес, интернет арқылы дербес деректер жиналған кезде Оператор Ресей Федерациясы азаматтарының дербес деректерін Ресей Федерациясы аумағында орналасқан деректер базаларында жазуды, жүйелеуді, сақтауды, нақтылауды және алуды қамтамасыз етуге міндетті.

Бұл талап келесі жағдайларға қолданылмайды:

  • өңдеу халықаралық шарттар немесе заңдарда көзделген мақсаттарға қол жеткізу үшін қажет болған жағдайда;
  • өңдеу сот төрелігін жүзеге асыру немесе сот актілерін орындау үшін қажет болған жағдайда;
  • өңдеу мемлекеттік және муниципалдық қызметтерді көрсету функцияларын орындау үшін қажет болған жағдайда;
  • өңдеу журналистік, ғылыми, әдеби немесе шығармашылық қызметті жүзеге асыру үшін қажет болған жағдайда және бұл ретте субъектінің құқықтары бұзылмаған жағдайда.

2.9. Дербес деректерді трансшекаралық беру

Оператор дербес деректерді шет мемлекетке бермес бұрын, сол мемлекетте дербес деректер субъектілерінің құқықтарын жеткілікті деңгейде қорғау қамтамасыз етілгеніне көз жеткізуге міндетті.

Мұндай қорғау қамтамасыз етілмеген мемлекеттерге дербес деректерді беру тек мынадай жағдайларда жүзеге асырылуы мүмкін:

  • субъектінің жазбаша келісімі болған жағдайда;
  • субъект тарап болып табылатын келісімшартты орындау үшін қажет болған жағдайда.

3. Дербес деректер субъектісінің құқықтары

3.1. Дербес деректер субъектісінің өзінің дербес деректерін өңдеуге келісімі

Дербес деректер субъектісі өз дербес деректерін ұсыну туралы шешімді ерікті түрде, өз қалауымен және өз мүддесі үшін қабылдайды, сондай-ақ оларды өңдеуге келісім береді. Егер федералдық заңда өзгеше белгіленбесе, дербес деректерді өңдеуге келісім субъектінің өзі немесе оның өкілі тарапынан келісімнің алынғанын растауға мүмкіндік беретін кез келген нысанда берілуі мүмкін.

3.2. Дербес деректер субъектісінің құқықтары

Дербес деректер субъектісі, егер мұндай құқық федералдық заңдарға сәйкес шектелмесе, Оператордан өзінің дербес деректерін өңдеуге қатысты ақпаратты алуға құқылы. Дербес деректер субъектісі Оператордан өз дербес деректерін нақтылауды, бұғаттауды немесе жоюды талап етуге құқылы, егер дербес деректер толық емес, ескірген, дәл емес, заңсыз алынған болса немесе мәлімделген өңдеу мақсаты үшін қажет болмаса, сондай-ақ өз құқықтарын қорғау үшін заңда көзделген шараларды қолдануға құқылы. Байланыс құралдары арқылы дербес деректер субъектісімен (әлеуетті тұтынушымен) тікелей байланыс жасау арқылы тауарларды, жұмыстарды немесе қызметтерді нарықта ілгерілету мақсатында, сондай-ақ саяси үгіт мақсатында дербес деректерді өңдеуге тек субъектінің алдын ала келісімі болған жағдайда ғана жол беріледі. Оператор дербес деректер субъектісінің талабы бойынша жоғарыда аталған мақсаттарда оның дербес деректерін өңдеуді дереу тоқтатуға міндетті. Дербес деректерді тек автоматтандырылған өңдеу негізінде субъект үшін құқықтық салдар туғызатын немесе оның құқықтары мен заңды мүдделеріне өзге түрде әсер ететін шешімдер қабылдауға жол берілмейді, федералдық заңдарда көзделген жағдайларды қоспағанда немесе субъектінің жазбаша келісімі болған жағдайда ғана рұқсат етіледі. Егер дербес деректер субъектісі Оператор оның дербес деректерін Дербес деректер туралы Федералдық заң талаптарын бұза отырып өңдейді немесе оның құқықтары мен бостандықтарын өзге түрде бұзады деп есептесе, субъект Оператордың әрекеттеріне немесе әрекетсіздігіне дербес деректер субъектілерінің құқықтарын қорғау жөніндегі уәкілетті органға немесе сот тәртібімен шағымдануға құқылы. Дербес деректер субъектісі өз құқықтары мен заңды мүдделерін қорғауға, соның ішінде келтірілген залалдарды өтеуге және (немесе) моральдық зиян үшін өтемақы алуға құқылы.

4. Дербес деректердің қауіпсіздігін қамтамасыз ету

Оператор өңдейтін дербес деректердің қауіпсіздігі дербес деректерді қорғау саласындағы федералдық заңнама талаптарын қамтамасыз ету үшін қажетті құқықтық, ұйымдастырушылық және техникалық шараларды іске асыру арқылы қамтамасыз етіледі. Дербес деректерге рұқсатсыз қол жеткізудің алдын алу мақсатында Оператор мынадай ұйымдастырушылық-техникалық шараларды қолданады:

  • дербес деректерді өңдеу мен қорғауды ұйымдастыруға жауапты лауазымды тұлғаларды тағайындау;
  • дербес деректерді өңдеуге жіберілген тұлғалар құрамын шектеу;
  • субъектілерді федералдық заңнама талаптарымен және Оператордың дербес деректерді өңдеу мен қорғауға қатысты нормативтік құжаттарымен таныстыру;
  • дербес деректері бар ақпарат тасымалдағыштарын есепке алуды, сақтауды және пайдалануды ұйымдастыру;
  • дербес деректерді өңдеу кезінде қауіпсіздік қатерлерін анықтау және солардың негізінде қатер модельдерін қалыптастыру;
  • қатер моделіне негізделген дербес деректерді қорғау жүйесін әзірлеу;
  • ақпаратты қорғау құралдарының дайындығы мен тиімділігін тексеру;
  • пайдаланушылардың ақпараттық ресурстарға және ақпаратты өңдеудің бағдарламалық-аппараттық құралдарына қол жеткізу құқықтарын шектеу;
  • дербес деректердің ақпараттық жүйелеріндегі пайдаланушылар әрекеттерін тіркеу және есепке алу;
  • антивирустық құралдар мен дербес деректерді қорғау жүйесін қалпына келтіру құралдарын пайдалану;
  • қажет болған жағдайда желіаралық экрандау, шабуылдарды анықтау, қорғалу деңгейін талдау және криптографиялық қорғау құралдарын қолдану;
  • Оператор аумағына өткізу режимін және дербес деректерді өңдеудің техникалық құралдары орналасқан үй-жайларды күзетуді ұйымдастыру.

5. Қорытынды ережелер

Дербес деректерді өңдеуге байланысты Оператордың өзге құқықтары мен міндеттері Ресей Федерациясының дербес деректер саласындағы заңнамасымен айқындалады. Дербес деректерді өңдеу мен қорғауды реттейтін нормаларды бұзуға кінәлі Оператор қызметкерлері федералдық заңдарда белгіленген тәртіппен материалдық, тәртіптік, әкімшілік, азаматтық-құқықтық немесе қылмыстық жауапкершілікке тартылады.