ВНУТРЕННЯЯ ПОЛИТИКА ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.1. Настоящая Внутренняя политика обработки и хранения персональных данных (далее — «Политика») определяет порядок сбора, обработки, хранения, передачи, защиты и уничтожения персональных данных, осуществляемых ИП «QG Consulting» (ИИН: 000000112233) в рамках деятельности образовательной онлайн-платформы Edline (myedline.com).

1.2. Настоящая Политика разработана в соответствии с:

• Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите»;
• Постановлением Правительства РК от 3 сентября 2013 года № 909 «Об утверждении Правил осуществления мер по защите персональных данных»;
• Постановлением Правительства РК от 12 ноября 2013 года № 1214 «Об утверждении Правил определения перечня персональных данных»;
• Приказом Министра цифрового развития от 21 октября 2020 года № 395/НК «Об утверждении Правил сбора, обработки персональных данных»;

иными нормативными правовыми актами Республики Казахстан.

1.3. Настоящая Политика является обязательной для исполнения всеми лицами, имеющими доступ к персональным данным Пользователей Платформы.

1.4. Настоящая Политика является внутренним документом ИП «QG Consulting» и не подлежит публикации на Платформе. Публичным документом является Политика конфиденциальности, размещённая на Платформе.

Оператор (владелец базы данных): ИП «QG Consulting»

ИИН: 000000112233

Место регистрации: г. Алматы, Республика Казахстан

Контактный email: info@myedline.com

Платформа: Edline (myedline.com)

Ответственное лицо за обработку ПД: назначается отдельным приказом (Документ 12)

4.1. Персональные данные собираются следующими способами:

• непосредственно от субъекта — при регистрации, заполнении профиля, создании контента;
• через Google OAuth — при регистрации через Google (получается email);

автоматически — технические данные, данные cookies.

4.2. Сбор персональных данных осуществляется исключительно при наличии согласия субъекта, за исключением случаев, предусмотренных статьёй 9 Закона о персональных данных.

4.3. Для несовершеннолетних субъектов (14–17 лет) согласие предоставляется законным представителем.

4.4. Согласие фиксируется посредством отметки чекбокса на Платформе. В базе данных сохраняются: факт согласия, дата/время, IP-адрес, идентификатор версии текста согласия.

4.5. Запрашиваются отдельные согласия на:

• обработку персональных данных (Документ 7);
• трансграничную передачу персональных данных (Документ 8);
• регистрацию и обработку данных несовершеннолетнего — от законного представителя (Документ 9, Форма 1);

оформление платной подписки несовершеннолетним — от законного представителя (Документ 9, Форма 2).

5.1. Обработка персональных данных включает следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

5.2. Обработка осуществляется исключительно в целях, указанных в Политике конфиденциальности и в согласиях субъектов.

5.3. Обработка персональных данных в целях, не заявленных при сборе, не допускается без получения дополнительного согласия субъекта.

5.4. Персональные данные не используются для:

• профилирования несовершеннолетних в рекламных целях;
• продажи третьим лицам;
• рассылки маркетинговых сообщений (на дату утверждения настоящей Политики);

принятия автоматизированных решений, влияющих на права субъектов.

6.1. Основной сервер

Провайдер: Contabo GmbH

Расположение: Федеративная Республика Германия (Европейский Союз)

Уровень защиты: GDPR (Общий регламент по защите данных ЕС)

Основной сервер обеспечивает хранение и обработку всех данных Платформы.

6.2. Локализованная копия (требование ст. 12 Закона о ПД)

Провайдер: Kottster

Расположение: Республика Казахстан

Локализованная копия базы данных содержит персональные данные Пользователей и синхронизируется с основным сервером для поддержания актуальности.

6.3. Порядок синхронизации

Синхронизация между основным сервером и локализованной копией осуществляется автоматически. Периодичность синхронизации определяется техническими возможностями и обеспечивает актуальность локализованной копии.

6.4. Сроки хранения

Сроки хранения персональных данных определяются в соответствии с таблицей в разделе 3 настоящей Политики. По истечении сроков хранения данные подлежат уничтожению или обезличиванию.

6.5. Резервное копирование

Резервные копии базы данных создаются регулярно для обеспечения восстановления данных в случае технических сбоев. Резервные копии хранятся на тех же серверных инфраструктурах (Contabo и Kottster) и подлежат тем же мерам защиты.

7.1. Передача третьим лицам

Персональные данные передаются третьим лицам исключительно в целях, указанных в Политике конфиденциальности и при наличии соответствующего согласия субъекта.

• Перечень третьих лиц:

7.2. Передача государственным органам

• Персональные данные передаются государственным органам Республики Казахстан исключительно в случаях, предусмотренных законодательством:
• по запросу правоохранительных органов в рамках расследования;
• по решению суда;
• по запросу уполномоченного органа по защите персональных данных (Министерство цифрового развития);
• в иных случаях, предусмотренных статьёй 9 Закона о персональных данных.

О каждом случае передачи данных государственным органам ведётся запись в журнале обработки персональных данных.

8.1. Технические меры:

• шифрование данных при передаче (SSL/TLS);
• шифрование паролей пользователей (хеширование);
• использование защищённых протоколов доступа к серверам (SSH);
• регулярное обновление программного обеспечения и устранение уязвимостей;
• использование межсетевых экранов (firewall);
• регулярное резервное копирование;

мониторинг доступа к серверной инфраструктуре.

8.2. Организационные меры:

• ограничение круга лиц, имеющих доступ к персональным данным;
• назначение ответственного лица за обработку персональных данных (Приказ — Документ 12);
• ведение журнала доступа к персональным данным;
• ознакомление лиц, имеющих доступ к данным, с настоящей Политикой;

обеспечение конфиденциальности персональных данных.

8.3. Контроль доступа:

Доступ к персональным данным Пользователей имеют только лица, которым такой доступ необходим для выполнения их обязанностей. Перечень лиц, имеющих доступ, утверждается ответственным лицом.

9.1. При обнаружении нарушения безопасности персональных данных (утечка, несанкционированный доступ, уничтожение, изменение, распространение или иной инцидент) ответственное лицо обязано:

• Немедленно (в течение 4 часов с момента обнаружения):
• зафиксировать факт инцидента, его характер и масштаб;
• принять неотложные меры по прекращению нарушения;

ограничить доступ к затронутым данным.

• В течение 1 (одного) рабочего дня с момента обнаружения:
• уведомить Министерство цифрового развития, инноваций и аэрокосмической промышленности РК;

подготовить отчёт об инциденте.

• В разумные сроки:
• уведомить затронутых Пользователей о характере нарушения и рекомендуемых мерах защиты;
• провести расследование причин инцидента;

разработать и реализовать меры по предотвращению повторных инцидентов.

9.2. Отчёт об инциденте включает: дату и время обнаружения, характер нарушения, категории и приблизительное количество затронутых субъектов, принятые и планируемые меры.

9.3. Все инциденты фиксируются в журнале инцидентов безопасности персональных данных.

10.1. Персональные данные подлежат удалению в следующих случаях:

• удаление аккаунта Пользователем через настройки Платформы;
• отзыв согласия на обработку персональных данных;
• отзыв согласия законного представителя несовершеннолетнего;
• истечение срока хранения данных;
• достижение цели обработки;

по требованию субъекта (запрос на удаление).

10.2. При удалении аккаунта Пользователем:

• регистрационные данные удаляются в течение 30 дней;
• данные профиля и пользовательский контент удаляются незамедлительно;
• технические данные удаляются по истечении 12 месяцев с момента сбора;
• данные о платежах хранятся 5 лет (налоговое законодательство);

данные о согласиях хранятся 3 года.

10.3. Удаление производится как с основного сервера (Contabo, Германия), так и с локализованной копии (Kottster, Казахстан).

10.4. Удаление из резервных копий осуществляется при следующем цикле ротации резервных копий.

10.5. Факт уничтожения данных фиксируется в журнале обработки персональных данных.

11.1. Субъект персональных данных направляет запрос на адрес info@myedline.com.

11.2. Ответственное лицо рассматривает запрос в течение 15 рабочих дней.

11.3. Виды запросов и порядок их обработки:

11.4. Каждый запрос и результат его обработки фиксируются в журнале обработки персональных данных.

11.5. В случае отказа в удовлетворении запроса субъекту направляется мотивированный ответ с указанием оснований отказа и разъяснением права на обжалование.

12.1. Ответственное лицо ведёт журнал обработки персональных данных, в котором фиксируются:

• запросы субъектов и результаты их рассмотрения;
• случаи передачи данных государственным органам;
• инциденты безопасности;
• факты уничтожения данных;
• изменения в составе лиц, имеющих доступ к данным;

иные значимые события, связанные с обработкой персональных данных.

12.2. Журнал хранится в электронном виде. Срок хранения записей — не менее 5 лет.

13.1. Лица, имеющие доступ к персональным данным, несут ответственность за соблюдение настоящей Политики и конфиденциальность персональных данных.

13.2. Нарушение требований настоящей Политики и законодательства Республики Казахстан о персональных данных влечёт административную и иную ответственность в соответствии с законодательством.

13.3. Штрафные санкции за нарушение законодательства о персональных данных составляют от 100 до 10 000 МРП (ориентировочно от 100 000 до 10 000 000 тенге), в зависимости от характера и тяжести нарушения.

14.1. Настоящая Политика подлежит пересмотру не реже одного раза в год, а также при:

• изменении законодательства Республики Казахстан о персональных данных;
• изменении состава обрабатываемых данных или целей обработки;
• изменении серверной инфраструктуры или третьих лиц;
• выявлении инцидентов безопасности;

по указанию уполномоченного органа.

14.2. Ответственность за своевременный пересмотр Политики несёт ответственное лицо за обработку персональных данных.