Политика конфиденциальности

Настоящая Политика конфиденциальности (далее – «Политика») регулирует порядок сбора, обработки, хранения и защиты персональных данных, осуществляемых ТОО «Noki» (далее – «Лицензиар», «Компания») в связи с предоставлением доступа к Программе Noki (далее – «Программа»). Политика разработана в соответствии с Законом Республики Казахстан «О персональных данных и их защите» № 94-V от 21.05.2013 г., Налоговым кодексом РК, а также с применимыми нормами МФЦА и международными стандартами информационной безопасности (ISO/IEC 27001, ISO/IEC 27701). Политика является неотъемлемой частью Лицензионного и Пользовательского соглашения и Договора о предоставлении лицензии на программно-аппаратный комплекс Noki.

Термины и определения

Программа (Noki) – программное обеспечение и интернет-платформа, предоставляемая Лицензиаром для автоматизации процессов управления персоналом, учета рабочего времени, составления графиков и выполнения иных функций.

Лицензиар (Правообладатель) – ТОО «Noki», обладающее исключительными имущественными правами на Программу и выступающее оператором интернет-платформы в соответствии с законодательством Республики Казахстан.

Лицензиат – физическое лицо, индивидуальный предприниматель или юридическое лицо, акцептовавшее Лицензионное и Пользовательское соглашение и/или Договор и получившее право использования Программы.

Пользователь – учетная запись в Программе, созданная Лицензиатом в Личном кабинете или Приложении Noki, которая может представлять собой запись с данными (например, ФИО, должность, табельный номер) либо физическое лицо, которому предоставлен доступ к Программе.

Верифицированная учетная запись физического лица (Аккаунт) – учетная запись, соответствующая конкретному физическому лицу, которому предоставлен доступ к Программе и которое прошло верификацию посредством SMS-кода, электронной почты, устройства биометрической идентификации или иными методами, предусмотренными функционалом Программы и законодательством Республики Казахстан.

Учетная запись Лицензиата (Компания) – корпоративная учетная запись, создаваемая Лицензиатом для целей организации работы и использования Программы. В рамках такой учетной записи Администратор управляет настройками, добавляет Пользователей и распределяет роли и права доступа.

Персональные данные – сведения о физических лицах, относящиеся к определенному или определяемому субъекту персональных данных, включая ФИО, контактные данные, идентификационные номера, биометрические данные, сведения о занятости, данные о времени работы и другие данные, указанные в Законе Республики Казахстан «О персональных данных и их защите» № 94-V от 21.05.2013 г.

Обработка персональных данных – действия и/или операции, совершаемые с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, изменение, дополнение, использование, обезличивание, блокирование, уничтожение и передачу (распространение, предоставление, доступ).

Обезличенные данные – данные, которые не позволяют идентифицировать конкретное физическое лицо без использования дополнительной информации.

Согласие субъекта персональных данных – свободное, однозначное и информированное выражение воли субъекта персональных данных на сбор и обработку его персональных данных, данное в письменной или электронной форме (в том числе путем активации чек-бокса, подтверждения через SMS или иные способы верификации).

Государственные органы – уполномоченные органы Республики Казахстан, имеющие право запрашивать и получать персональные данные в случаях и порядке, предусмотренных законодательством.

Договор – Договор о предоставлении лицензии на программно-аппаратный комплекс Noki, неотъемлемыми частями которого являются Лицензионное и Пользовательское соглашение и настоящая Политика.

Персональные данные и их категории

К персональным данным, обрабатываемым Лицензиаром, относятся:

• идентификационные данные (ФИО, дата рождения, ИИН, должность, табельный номер);
• контактные данные (телефон, e-mail, адрес);
• учетные данные (логин, пароль, настройки учетной записи, роли);
• данные о занятости и рабочем времени (графики, табели, расписания смен, отметки посещаемости и т.д.);
• технические данные (IP-адрес, cookies, история посещений, сведения о браузере и устройстве, геолокация).

Данные классифицируются на:

• основные идентификационные (логин, e-mail, телефон);
• чувствительные персональные данные (данные о трудовой деятельности);
• обезличенные данные, используемые для аналитики и улучшения сервиса.

Цели обработки данных

Персональные данные обрабатываются Лицензиаром исключительно в законных целях, включая:

• предоставление доступа к Программе и ее функционалу;
• исполнение условий Лицензионного и Пользовательского соглашения и Договора;
• создание и управление учетными записями Лицензиатов и Пользователей;
• ведение расчетов, выставление счетов и налоговой отчетности;
• обеспечение информационной безопасности и предотвращение мошеннических действий;
• улучшение качества работы Программы и развитие ее функционала (в том числе через использование обезличенной аналитики);
• выполнение обязательств по законодательству Республики Казахстан, в том числе перед государственными органами.

Обработка персональных данных не может осуществляться в целях, не соответствующих указанным в настоящей Политике.

Использование данных в маркетинговых целях допускается только с согласия субъекта персональных данных.

Допускается использование агрегированных обезличенных данных в маркетинговых, исследовательских и иных целях.

Сбор и источники данных

Сбор персональных данных осуществляется исключительно законными методами и только в объеме, необходимом для функционирования Программы и выполнения обязательств Лицензиара перед Лицензиатом.

Основные источники получения данных:

• регистрационные формы на Сайте и в Приложении Noki;
• учетная запись Лицензиата (Компания), создаваемая для организации работы;
• Пользователи и их Верифицированные учетные записи (через SMS, e-mail, биометрию и иные способы подтверждения);
• автоматический сбор технических данных (IP-адреса, cookies, сведения о браузере и устройстве, геолокация) для обеспечения работоспособности Программы;
• взаимодействие с технической поддержкой, при котором фиксируются обращения и иные сведения, необходимые для анализа инцидентов.

Лицензиат несет ответственность за то, что данные, вносимые им в систему (например, сведения о сотрудниках), получены и обрабатываются с согласия соответствующих субъектов данных.

Лицензиар оставляет за собой право осуществлять проверку достоверности предоставленных данных и при необходимости запрашивать подтверждающие документы, если это требуется законодательством Республики Казахстан или внутренними процедурами безопасности.

Хранение и локализация данных

Лицензиар обеспечивает хранение и защиту персональных данных в течение всего срока действия договора подписки и 12 (двенадцати) месяцев после его окончания.

По письменному запросу Лицензиата данные могут быть:

• удалены досрочно;
• доступны через временное продление действия Личного кабинета с ограниченным функционалом.

Персональные данные Пользователей из Республики Казахстан обрабатываются и хранятся на облачных серверах, расположенных на территории Республики Казахстан, что соответствует требованиям Закона РК «О персональных данных и их защите», и на биометрических устройствах, соответствующих международным стандартам безопасности.

Хранение данных сверх указанного срока допускается по письменному запросу Лицензиата, направленного до окончания срока хранения, а также в случаях, прямо предусмотренных законодательством (например, по запросу государственных органов, судов или следственных органов).

При удалении данных из системы Лицензиар гарантирует невозможность их восстановления и обязуется использовать технические средства полного уничтожения информации.

Передача данных

Передача персональных данных осуществляется в случаях, предусмотренных законодательством Республики Казахстан, а также в рамках исполнения обязательств Лицензиара перед Лицензиатом.

Персональные данные могут быть переданы:

• государственным органам Республики Казахстан — только на основании официального и надлежащим образом оформленного запроса;
• партнёрам и подрядчикам Лицензиара, привлекаемым для обеспечения функционирования Программы и для обеспечения исполнения Договора (например, дата-центры, провайдеры SMS/e-mail-услуг, сервисы API, интеграционные и платежные сервисы и прочие), при условии соблюдения ими политики конфиденциальности и подписания соглашений о неразглашении;
• аффилированным организациям Лицензиара, включая организации которыми владеет Лицензиар, или владеющим Лицензиаром для обеспечения работы Программы;
• Лицензиату и его Пользователям — для исполнения условий Соглашения, в объеме, необходимом для предоставления доступа к Программе и работе в Программе, где Лицензиат самостоятельно контролирует все разрешения и уровни доступа к данным;
• за пределы Республики Казахстан (трансграничная передача) — при наличии согласия субъекта персональных данных.

Передача данных третьим лицам в коммерческих целях (продажа, обмен) без согласия Лицензиата запрещена, за исключением обезличенных данных.

Все лица, получающие доступ к данным от Лицензиара, обязуются соблюдать требования безопасности и конфиденциальности в объёме не меньшем, чем это предусмотрено законодательством РК.

Права субъектов данных

Субъекты персональных данных (Пользователи, Лицензиаты, их сотрудники) обладают всеми правами, предусмотренными Законом РК «О персональных данных и их защите», включая:

• право на получение информации о факте, целях, источниках и способах обработки своих данных;
• право на доступ к своим данным;
• право на исправление и дополнение своих данных в случае их неполноты или недостоверности;
• право требовать блокирования или уничтожения своих данных, если они обрабатываются незаконно или не соответствуют заявленным целям;
• право на отзыв ранее данного согласия на обработку данных;
• право на ограничение обработки данных в случаях, прямо предусмотренных законодательством;
• право на защиту своих прав и законных интересов, включая обращение в суд или уполномоченные госорганы.

Для реализации своих прав субъект персональных данных может направить письменное обращение в адрес Лицензиара с приложением документов, подтверждающих его личность.

Лицензиар обязан рассмотреть обращение субъекта данных в срок, установленный законодательством РК (как правило, 15 календарных дней), и предоставить мотивированный ответ.

В случае отзыва согласия на обработку данных Лицензиар вправе ограничить или прекратить предоставление доступа к Программе, если без обработки соответствующих данных работа функционала невозможна.

Обязанности Лицензиата

Лицензиат обязан обеспечить получение законного согласия на обработку персональных данных от всех физических лиц (сотрудников, исполнителей, подрядчиков), чьи данные вносятся им в Программу.

Лицензиат несет полную ответственность за достоверность, полноту и актуальность переданных в Программу данных. В случае предоставления недостоверных или устаревших данных все последствия и убытки ложатся на Лицензиата.

Лицензиат обязан предпринимать меры по сохранению конфиденциальности учетных данных (логинов и паролей), а также предотвращать несанкционированный доступ третьих лиц к Личному кабинету.

Лицензиат обязуется незамедлительно уведомлять Лицензиара о фактах утраты пароля, компрометации доступа или иных нарушениях безопасности, связанных с использованием Программы.

В случае если Лицензиат вносит в Программу персональные данные своих сотрудников и/или Пользователей без получения их согласия, вся ответственность за нарушение законодательства Республики Казахстан возлагается на Лицензиата.

Защита данных

Лицензиар применяет комплекс организационных, технических и правовых мер для защиты персональных данных от неправомерного доступа, утраты, изменения, раскрытия или уничтожения.

К мерам защиты относятся:

• использование систем шифрования и защиты каналов связи;
• ограничение доступа к персональным данным по принципу «необходимого минимума»;
• применение двухфакторной аутентификации и дополнительных методов подтверждения доступа;
• ведение журналов доступа и регистрация действий Пользователей;
• регулярное проведение аудитов информационной безопасности и тестов на проникновение.

В случае выявления инцидента, связанного с нарушением безопасности персональных данных, Лицензиар обязуется в кратчайшие сроки провести расследование, устранить выявленные уязвимости и, при необходимости, уведомить Лицензиата и уполномоченные органы.

Лицензиар также обязуется контролировать деятельность подрядчиков и партнеров, имеющих доступ к персональным данным, чтобы обеспечить соблюдение ими требований законодательства и стандартов безопасности.

Ответственность

Лицензиар несет ответственность за защиту и законность обработки персональных данных в пределах своей зоны контроля, а именно — за сбор, хранение и обработку данных в Программе.

Лицензиат несет ответственность за законность предоставления данных своих сотрудников, Пользователей или третьих лиц, а также за соблюдение требований законодательства при их передаче Лицензиару.

Лицензиар не несет ответственности за ущерб, причиненный Лицензиату или Пользователям в случае:

• доступа к данным третьими лицами вследствие нарушения Лицензиатом правил безопасности (например, передачи пароля);
• сбоев в работе сетей связи и Интернета, находящихся вне контроля Лицензиара;
• нарушения Лицензиатом порядка получения согласий на обработку данных.

В случае если нарушение правил обработки данных произошло по вине Лицензиара, он несет ответственность в порядке, установленном законодательством Республики Казахстан.

Заключительные положения

Настоящая Политика размещается в открытом доступе на официальном сайте Лицензиара noki.kz и в Приложении Noki. Лицензиат и Пользователи обязаны самостоятельно знакомиться с её положениями перед началом использования Программы.

Лицензиар оставляет за собой право вносить изменения и дополнения в Политику в одностороннем порядке. Обновленная редакция вступает в силу с момента её публикации на Сайте, если иное не предусмотрено самой редакцией.

Продолжение использования Программы Лицензиатом или Пользователями после опубликования изменений означает согласие с новой редакцией Политики. В случае несогласия с изменениями Лицензиат обязан прекратить использование Программы и направить Лицензиару официальный письменный запрос на удаление своих данных.

В случае противоречий между положениями настоящей Политики и положениями Лицензионного и Пользовательского соглашения или Договора, приоритет имеют условия Договора.

Все споры, возникающие в связи с применением настоящей Политики, подлежат разрешению в соответствии с действующим законодательством Республики Казахстан.

Если какое-либо положение Политики будет признано недействительным или не имеющим юридической силы, это не влечет недействительности остальных положений.

Настоящая Политика действует бессрочно до её замены новой редакцией или отмены.

По вопросам обработки персональных данных: support@noki.kz