Оператордың дербес деректерді өңдеуге қатысты саясаты (бұдан әрі – «Саясат») 2006 жылғы 27 шілдедегі №152-ФЗ «Дербес деректер туралы» Федералдық заңына (бұдан әрі – Дербес деректер туралы Федералдық заң) сәйкес әзірленген. Осы Саясат «АВВА РУС» АҚ-да (бұдан әрі – «Оператор») дербес деректерді өңдеу тәртібін және дербес деректердің қауіпсіздігін қамтамасыз ету шараларын айқындайды. Саясаттың мақсаты – адамның және азаматтың құқықтары мен бостандықтарын, оның ішінде жеке өмірге, жеке және отбасылық құпияға қол сұғылмаушылық құқықтарын қорғау. Осы Саясатта мынадай негізгі ұғымдар пайдаланылады:
Оператор Дербес деректер туралы Федералдық заңның 18.1-бабы 2-бөлігіне сәйкес осы Дербес деректерді өңдеу саясатын жариялауға немесе оған шектеусіз қолжетімділікті өзге тәсілмен қамтамасыз етуге міндетті.
Оператор дербес деректерді мынадай қағидаттар негізінде өңдейді: заңдылық пен әділдік; дербес деректерді өңдеуді нақты, алдын ала айқындалған және заңды мақсаттарға қол жеткізумен шектеу; дербес деректерді жинау мақсаттарына сәйкес келмейтін өңдеуге жол бермеу; мақсаттары өзара сәйкес келмейтін деректер базаларын біріктіруге жол бермеу; тек өңдеу мақсаттарына сәйкес келетін дербес деректерді өңдеу; өңделетін дербес деректердің мазмұны мен көлемінің мәлімделген мақсаттарға сәйкестігі; артық дербес деректерді өңдеуге жол бермеу; дербес деректердің дәлдігін, жеткіліктілігін және өзектілігін қамтамасыз ету; өңдеу мақсаттарына қол жеткізілгеннен кейін немесе оларға қол жеткізу қажеттілігі жойылған жағдайда дербес деректерді жою немесе иесіздендіру, егер федералдық заңда өзгеше көзделмесе.
Оператор дербес деректерді мынадай шарттардың кемінде бірі болған жағдайда өңдейді:
Оператор және дербес деректерге қол жеткізген өзге тұлғалар, егер федералдық заңда өзгеше көзделмесе, субъектінің келісімінсіз дербес деректерді үшінші тұлғаларға жариялауға немесе таратуға құқылы емес.
Ақпараттық қамтамасыз ету мақсатында Операторда анықтамалықтар мен мекенжай кітаптарын қоса алғанда, дербес деректердің жалпыға қолжетімді көздері құрылуы мүмкін. Мұндай көздерге субъектінің жазбаша келісімімен оның тегі, аты, әкесінің аты, туған күні мен жері, лауазымы, байланыс телефондары, электрондық пошта мекенжайы және өзге де дербес деректері енгізілуі мүмкін. Дербес деректер субъектісі, уәкілетті орган немесе сот талабы бойынша мұндай мәліметтер кез келген уақытта алынып тасталуы тиіс.
Оператор нәсілдік немесе ұлттық тиістілікке, саяси көзқарастарға, діни немесе философиялық сенімдерге, денсаулық жағдайына, интимдік өмірге қатысты арнайы санаттағы дербес деректерді мынадай жағдайларда өңдей алады:
Арнайы санаттағы дербес деректерді өңдеу себептері жойылған жағдайда, егер федералдық заңда өзгеше көзделмесе, мұндай өңдеу дереу тоқтатылуы тиіс.
Адамның физиологиялық және биологиялық ерекшеліктерін сипаттайтын және оның жеке басын анықтауға мүмкіндік беретін биометриялық дербес деректер субъектінің жазбаша келісімі болған жағдайда ғана өңделеді.
Оператор субъектінің келісімімен, егер федералдық заңда өзгеше көзделмесе, дербес деректерді өңдеуді басқа тұлғаға шарт негізінде тапсыра алады. Мұндай тұлға осы Саясатта және Федералдық заңда белгіленген талаптарды сақтауға міндетті.
2014 жылғы 21 шілдедегі №242-ФЗ Федералдық заңына сәйкес, интернет арқылы дербес деректер жиналған кезде Оператор Ресей Федерациясы азаматтарының дербес деректерін Ресей Федерациясы аумағында орналасқан деректер базаларында жазуды, жүйелеуді, сақтауды, нақтылауды және алуды қамтамасыз етуге міндетті.
Бұл талап келесі жағдайларға қолданылмайды:
Оператор дербес деректерді шет мемлекетке бермес бұрын, сол мемлекетте дербес деректер субъектілерінің құқықтарын жеткілікті деңгейде қорғау қамтамасыз етілгеніне көз жеткізуге міндетті.
Мұндай қорғау қамтамасыз етілмеген мемлекеттерге дербес деректерді беру тек мынадай жағдайларда жүзеге асырылуы мүмкін:
Дербес деректер субъектісі өз дербес деректерін ұсыну туралы шешімді ерікті түрде, өз қалауымен және өз мүддесі үшін қабылдайды, сондай-ақ оларды өңдеуге келісім береді. Егер федералдық заңда өзгеше белгіленбесе, дербес деректерді өңдеуге келісім субъектінің өзі немесе оның өкілі тарапынан келісімнің алынғанын растауға мүмкіндік беретін кез келген нысанда берілуі мүмкін.
Дербес деректер субъектісі, егер мұндай құқық федералдық заңдарға сәйкес шектелмесе, Оператордан өзінің дербес деректерін өңдеуге қатысты ақпаратты алуға құқылы. Дербес деректер субъектісі Оператордан өз дербес деректерін нақтылауды, бұғаттауды немесе жоюды талап етуге құқылы, егер дербес деректер толық емес, ескірген, дәл емес, заңсыз алынған болса немесе мәлімделген өңдеу мақсаты үшін қажет болмаса, сондай-ақ өз құқықтарын қорғау үшін заңда көзделген шараларды қолдануға құқылы. Байланыс құралдары арқылы дербес деректер субъектісімен (әлеуетті тұтынушымен) тікелей байланыс жасау арқылы тауарларды, жұмыстарды немесе қызметтерді нарықта ілгерілету мақсатында, сондай-ақ саяси үгіт мақсатында дербес деректерді өңдеуге тек субъектінің алдын ала келісімі болған жағдайда ғана жол беріледі. Оператор дербес деректер субъектісінің талабы бойынша жоғарыда аталған мақсаттарда оның дербес деректерін өңдеуді дереу тоқтатуға міндетті. Дербес деректерді тек автоматтандырылған өңдеу негізінде субъект үшін құқықтық салдар туғызатын немесе оның құқықтары мен заңды мүдделеріне өзге түрде әсер ететін шешімдер қабылдауға жол берілмейді, федералдық заңдарда көзделген жағдайларды қоспағанда немесе субъектінің жазбаша келісімі болған жағдайда ғана рұқсат етіледі. Егер дербес деректер субъектісі Оператор оның дербес деректерін Дербес деректер туралы Федералдық заң талаптарын бұза отырып өңдейді немесе оның құқықтары мен бостандықтарын өзге түрде бұзады деп есептесе, субъект Оператордың әрекеттеріне немесе әрекетсіздігіне дербес деректер субъектілерінің құқықтарын қорғау жөніндегі уәкілетті органға немесе сот тәртібімен шағымдануға құқылы. Дербес деректер субъектісі өз құқықтары мен заңды мүдделерін қорғауға, соның ішінде келтірілген залалдарды өтеуге және (немесе) моральдық зиян үшін өтемақы алуға құқылы.
Оператор өңдейтін дербес деректердің қауіпсіздігі дербес деректерді қорғау саласындағы федералдық заңнама талаптарын қамтамасыз ету үшін қажетті құқықтық, ұйымдастырушылық және техникалық шараларды іске асыру арқылы қамтамасыз етіледі. Дербес деректерге рұқсатсыз қол жеткізудің алдын алу мақсатында Оператор мынадай ұйымдастырушылық-техникалық шараларды қолданады:
Дербес деректерді өңдеуге байланысты Оператордың өзге құқықтары мен міндеттері Ресей Федерациясының дербес деректер саласындағы заңнамасымен айқындалады. Дербес деректерді өңдеу мен қорғауды реттейтін нормаларды бұзуға кінәлі Оператор қызметкерлері федералдық заңдарда белгіленген тәртіппен материалдық, тәртіптік, әкімшілік, азаматтық-құқықтық немесе қылмыстық жауапкершілікке тартылады.