Политика конфиденциальности

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее — Политика) определяет порядок и условия сбора, обработки, хранения, защиты и передачи персональных данных пользователей сайта [cassida.kz] (далее — Сайт), а также реализуемые меры по обеспечению безопасности персональных данных.

1.2. Оператором персональных данных является [cassida.kz] (далее — Оператор). Если на Сайте указаны дополнительные реквизиты владельца/администратора (наименование, БИН, адрес), такие сведения являются частью идентификации Оператора.

1.3. Политика разработана в соответствии с законодательством Республики Казахстан, включая Закон Республики Казахстан «О персональных данных и их защите», а также иными нормативными правовыми актами Республики Казахстан, регулирующими вопросы защиты персональных данных, информации, связи и электронных услуг.

1.4. Используя Сайт, включая просмотр страниц, заполнение форм, направление обращений, оформление заявок/заказов, подписку на рассылки и иное взаимодействие, пользователь подтверждает, что ознакомлен с настоящей Политикой и соглашается с изложенными в ней условиями. В случаях, когда по закону требуется явное согласие (например, для маркетинговых рассылок), обработка осуществляется только при предоставлении соответствующего согласия.

1.5. Политика применяется ко всей информации, которую Оператор может получить о пользователе в процессе использования Сайта и/или при исполнении договоров и заявок, оформленных с использованием Сайта. Политика не регулирует обработку данных на сайтах третьих лиц, на которые пользователь может перейти по ссылкам с Сайта.

2. Термины и определения

2.1. Персональные данные — сведения, относящиеся к определенному или определяемому субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

2.2. Субъект персональных данных — физическое лицо (пользователь Сайта), к которому относятся персональные данные.

2.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

2.4. Конфиденциальность персональных данных — обязательное для соблюдения Оператором и/или лицом, получившим доступ к персональным данным, требование не допускать распространения персональных данных без согласия субъекта либо иного законного основания.

2.5. Третьи лица — лица, не являющиеся Оператором и/или пользователем, которые могут привлекаться Оператором для достижения целей обработки (включая поставщиков ИТ-услуг, курьерские службы, колл-центры, платежных провайдеров, аналитические сервисы) либо которым данные подлежат предоставлению в силу закона.

3. Категории персональных данных, которые могут собираться

3.1. Оператор может собирать следующие категории данных (в зависимости от действий пользователя на Сайте и используемых сервисов):

3.1.1. Идентификационные и контактные данные: фамилия, имя, отчество (при наличии), номер телефона, адрес электронной почты, адрес доставки (город, улица, дом, квартира/офис), иные сведения, которые пользователь указывает в формах Сайта или передает Оператору при обращении.

3.1.2. Данные, относящиеся к заказам/заявкам и обслуживанию: наименование и количество товаров/услуг, стоимость, сведения о доставке, предпочитаемый способ связи, содержание обращений в поддержку, записи коммуникаций (при наличии и при условии уведомления), история взаимодействия с Сайтом.

3.1.3. Технические и сетевые данные: IP-адрес, сведения о браузере и устройстве (тип устройства, модель, версия ОС, язык), идентификаторы устройства, данные о сессии, дата и время доступа, URL посещенных страниц, источник перехода, сведения о действиях на страницах (клики, прокрутка, длительность), файлы cookie и аналогичные технологии.

3.1.4. Данные, предоставляемые пользователем по собственной инициативе: сведения из сообщений, прикрепленных файлов, отзывов, комментариев, запросов, в том числе содержащие персональные данные третьих лиц (в таком случае пользователь подтверждает наличие законных оснований для передачи таких данных Оператору).

3.2. Оператор не запрашивает и не обрабатывает специальные категории персональных данных (например, сведения о здоровье, биометрические данные, религиозные убеждения и т. п.), если иное прямо не требуется по характеру предоставляемых услуг и не предусмотрено законом. Пользователь обязуется не размещать такие сведения на Сайте и не направлять их Оператору без необходимости.

4. Источники получения персональных данных

4.1. Персональные данные могут быть получены:

4.1.1. непосредственно от пользователя при заполнении форм Сайта, оформлении заказа/заявки, регистрации (если доступно), подписке на рассылки, обращении через чат/мессенджеры/электронную почту/телефон;

4.1.2. автоматически при использовании Сайта (технические данные, cookie, журналы сервера);

4.1.3. от партнеров/контрагентов Оператора в пределах, необходимых для исполнения заказа/договора (например, курьерские службы, платежные провайдеры), при условии наличия законных оснований и соблюдения требований законодательства Республики Казахстан.

5. Цели обработки персональных данных

5.1. Оператор обрабатывает персональные данные исключительно для определенных, заранее заявленных и законных целей, включая:

5.1.1. предоставление функционала Сайта, обработка запросов и обращений пользователей;

5.1.2. оформление, подтверждение, исполнение и сопровождение заказов/заявок, включая доставку, возвраты, гарантийное обслуживание и претензионную работу;

5.1.3. идентификация пользователя при обращении в службу поддержки, улучшение качества сервиса;

5.1.4. выставление счетов, проведение расчетов, оформление бухгалтерских и первичных документов (в объеме, необходимом по закону и для исполнения договорных обязательств);

5.1.5. направление информационных сообщений, связанных с заказом/услугами (статусы, уведомления о доставке, изменения условий);

5.1.6. направление маркетинговых и рекламных материалов (включая рассылки) — только при наличии соответствующего согласия пользователя либо иных законных оснований, предусмотренных законодательством;

5.1.7. аналитика и статистика использования Сайта, улучшение пользовательского опыта, обеспечение корректной работы Сайта, тестирование и развитие продуктов;

5.1.8. обеспечение безопасности, предотвращение мошенничества, защита прав и законных интересов Оператора и пользователей, урегулирование споров;

5.1.9. соблюдение требований законодательства Республики Казахстан, исполнение запросов уполномоченных государственных органов в случаях и порядке, предусмотренных законом.

6. Правовые основания обработки персональных данных

6.1. Обработка персональных данных осуществляется на следующих правовых основаниях (в зависимости от конкретной ситуации):

6.1.1. согласие субъекта персональных данных на обработку его персональных данных, предоставляемое способом, позволяющим подтвердить факт получения согласия (например, проставление отметки в форме, совершение действия, однозначно выражающего волю пользователя, либо иные предусмотренные Сайтом механизмы);

6.1.2. необходимость обработки для заключения и/или исполнения договора, стороной которого является пользователь, либо для совершения действий по заявке пользователя;

6.1.3. выполнение обязанностей Оператора, установленных законодательством Республики Казахстан (в том числе в области бухгалтерского учета, налогового учета, защиты прав потребителей и иных применимых сфер);

6.1.4. защита законных интересов Оператора при условии, что такая обработка не нарушает права и свободы субъекта персональных данных и соответствует требованиям законодательства Республики Казахстан.

6.2. В случаях, когда основанием является согласие, пользователь вправе отозвать его в порядке, предусмотренном настоящей Политикой и законодательством Республики Казахстан; при этом обработка, осуществленная до отзыва согласия, считается правомерной.

7. Условия обработки, доступ к персональным данным и их передача третьим лицам

7.1. Доступ к персональным данным предоставляется только уполномоченным работникам/представителям Оператора, которым такой доступ необходим для выполнения должностных обязанностей и достижения целей обработки.

7.2. Оператор вправе поручать обработку персональных данных третьим лицам (обработчикам) на основании договора, при условии соблюдения такими лицами требований конфиденциальности и безопасности персональных данных и обработки исключительно по поручению Оператора.

7.3. Для достижения целей обработки персональные данные могут быть предоставлены следующим категориям третьих лиц (в минимально необходимом объеме):

7.3.1. поставщикам ИТ-инфраструктуры и сервисов (хостинг, облачные сервисы, техническая поддержка, системы управления взаимоотношениями с клиентами, сервисы рассылок), в объеме, необходимом для функционирования Сайта и коммуникаций;

7.3.2. курьерским и логистическим организациям — для доставки заказов;

7.3.3. платежным организациям и/или банкам — для приема и обработки платежей (при этом Оператор, как правило, не получает и не хранит полные реквизиты банковских карт; обработка платежных данных осуществляется соответствующим платежным провайдером по собственным правилам и стандартам безопасности);

7.3.4. партнерам и подрядчикам, участвующим в оказании услуг или выполнении работ по заявке пользователя;

7.3.5. консультантам и профессиональным советникам (юристы, аудиторы) — при необходимости защиты прав и законных интересов Оператора и при соблюдении конфиденциальности;

7.3.6. уполномоченным государственным органам Республики Казахстан — в случаях, предусмотренных законодательством, по законному запросу, в пределах компетенции и установленной процедуры.

7.4. Оператор не распространяет персональные данные (не делает их общедоступными) без отдельного согласия пользователя, если иное не предусмотрено законодательством Республики Казахстан.

8. Трансграничная передача персональных данных

8.1. В связи с использованием отдельных программных средств, коммуникационных платформ и аналитических сервисов обработка персональных данных может включать трансграничную передачу и/или хранение данных на серверах, расположенных за пределами Республики Казахстан.

8.2. В таких случаях Оператор принимает разумные меры для обеспечения защиты персональных данных и соблюдения требований законодательства Республики Казахстан, включая выбор поставщиков, применяющих надлежащие меры безопасности и договорные обязательства по конфиденциальности.

8.3. Пользователь, предоставляя данные и используя Сайт, соглашается с возможной трансграничной передачей персональных данных в объеме, необходимом для достижения целей обработки, если такая передача не запрещена законодательством Республики Казахстан и/или осуществляется с соблюдением установленных требований.

9. Хранение персональных данных, место хранения и сроки

9.1. Персональные данные обрабатываются и хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если иной срок хранения не установлен законодательством Республики Казахстан или договором с пользователем.

9.2. Хранение может осуществляться:

9.2.1. в информационных системах Оператора и/или уполномоченных обработчиков (включая серверы хостинг-провайдера, CRM и иные системы);

9.2.2. на материальных носителях (при необходимости оформления документов), с соблюдением режима ограниченного доступа.

9.3. Ориентировочные сроки хранения (если иное не предусмотрено законом или договором):

9.3.1. данные по заказам/заявкам и переписке — в течение срока исполнения обязательств и последующего периода, необходимого для обработки претензий, возвратов, гарантий и защиты прав Оператора, но не менее сроков, установленных законодательством для соответствующих документов;

9.3.2. бухгалтерские и первичные документы — в течение сроков, установленных законодательством Республики Казахстан;

9.3.3. данные для маркетинговых рассылок — до отзыва согласия либо прекращения актуальности цели обработки;

9.3.4. технические данные и журналы событий — в разумные сроки, необходимые для обеспечения безопасности и корректной работы Сайта (как правило, от нескольких месяцев до 3 лет, в зависимости от типа данных и целей обработки), если иное не требуется законом или расследованием инцидентов.

9.4. По достижении целей обработки, отзыву согласия (если обработка основана на согласии) либо при отсутствии иных законных оснований персональные данные подлежат уничтожению или обезличиванию в порядке, предусмотренном законодательством Республики Казахстан и внутренними регламентами Оператора.

10. Меры по защите персональных данных

10.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий, включая, но не ограничиваясь:

10.1.1. разграничение прав доступа, применение принципа «необходимого и достаточного» доступа;

10.1.2. применение средств защиты информации, антивирусной защиты, мониторинга и журналирования событий безопасности;

10.1.3. использование защищенных каналов передачи данных при наличии технической возможности (например, HTTPS);

10.1.4. резервное копирование (при необходимости), контроль целостности и доступности;

10.1.5. внутренние политики и обучение сотрудников, обязательства о конфиденциальности;

10.1.6. оценка рисков и принятие мер по предотвращению инцидентов.

10.2. Вместе с тем пользователь понимает, что ни один способ передачи данных через Интернет и ни один способ электронного хранения не может быть абсолютно безопасным. Оператор принимает меры по снижению рисков, однако не может гарантировать абсолютную защищенность.

11. Права пользователя (субъекта персональных данных)

11.1. Пользователь, как субъект персональных данных, вправе реализовать права, предусмотренные законодательством Республики Казахстан, включая (в применимых случаях):

11.1.1. право на получение информации о наличии у Оператора персональных данных пользователя, а также информации о целях, основаниях, составе и способах обработки;

11.1.2. право требовать уточнения (обновления, изменения) персональных данных, если они являются неполными, устаревшими, неточными;

11.1.3. право требовать блокирования или уничтожения персональных данных при наличии оснований, предусмотренных законодательством Республики Казахстан (в частности, если данные обрабатываются незаконно, либо цель обработки достигнута и отсутствуют иные законные основания для хранения);

11.1.4. право отозвать согласие на обработку персональных данных, когда обработка основана на согласии (при этом отзыв не влияет на законность обработки до отзыва и не отменяет обработку, необходимую для исполнения договора и/или требований закона);

11.1.5. право возражать против обработки в случаях и порядке, предусмотренных законодательством;

11.1.6. право на защиту своих прав и законных интересов, включая обращение к Оператору, а также в уполномоченные органы и/или в суд в порядке, установленном законодательством Республики Казахстан.

11.2. Для реализации прав пользователь направляет обращение Оператору способами, указанными в разделе 14 настоящей Политики. Оператор вправе запросить сведения, необходимые для идентификации пользователя и подтверждения принадлежности персональных данных обратившемуся лицу, в целях предотвращения неправомерного доступа к данным.

11.3. Ответ на обращение предоставляется в сроки и порядке, установленные законодательством Республики Казахстан, либо в разумный срок, если конкретный срок не установлен, с учетом сложности запроса и правомерности требований.

12. Файлы cookie, аналогичные технологии и аналитические сервисы

12.1. Сайт использует файлы cookie и аналогичные технологии (например, пиксели, теги) для обеспечения работоспособности, повышения удобства использования, персонализации, статистики и аналитики, а также для обеспечения безопасности.

12.2. Cookie — это небольшие фрагменты данных, сохраняемые на устройстве пользователя, которые позволяют распознавать браузер/устройство, сохранять настройки и предпочтения, а также собирать статистику.

12.3. На Сайте могут использоваться следующие виды cookie:

12.3.1. строго необходимые (технические) — обеспечивают функционирование Сайта и его основных возможностей;

12.3.2. функциональные — запоминают выбор пользователя (например, язык, регион), повышают удобство;

12.3.3. аналитические/статистические — помогают понимать, как пользователи взаимодействуют с Сайтом, какие разделы востребованы, выявлять ошибки;

12.3.4. маркетинговые (если применимо) — используются для показа релевантных предложений и оценки эффективности рекламы при наличии правовых оснований.

12.4. Сайт может использовать аналитические сервисы, включая Google Analytics или аналогичные инструменты. Такие сервисы могут собирать технические и статистические данные (включая IP-адрес, идентификаторы cookie, сведения о взаимодействии с Сайтом) и обрабатывать их в соответствии с политиками соответствующих поставщиков.

12.5. Пользователь может управлять cookie через настройки браузера (разрешать, ограничивать или удалять cookie). Отключение или удаление cookie может привести к некорректной работе отдельных функций Сайта. Если на Сайте используется баннер/панель управления согласием на cookie, пользователь может настроить предпочтения также через такой интерфейс (при наличии).

12.6. При использовании сторонних сервисов (встроенные карты, видеоплееры, виджеты, кнопки социальных сетей, мессенджеры) соответствующие поставщики могут устанавливать собственные cookie и собирать данные в соответствии со своими политиками. Оператор рекомендует пользователю ознакомиться с политиками конфиденциальности таких третьих лиц.

13. Обработка персональных данных несовершеннолетних

13.1. Сайт предназначен для использования лицами, обладающими необходимой дееспособностью в соответствии с законодательством Республики Казахстан.

13.2. Оператор не осуществляет целенаправленный сбор персональных данных несовершеннолетних без согласия их законных представителей. При выявлении факта предоставления персональных данных несовершеннолетним без надлежащего согласия Оператор вправе принять меры по удалению таких данных при наличии правовых оснований и возможности идентификации.

14. Контактная информация и порядок обращений

14.1. По вопросам, связанным с обработкой персональных данных, реализацией прав субъекта персональных данных, отзывом согласия, уточнением данных, а также по вопросам безопасности и конфиденциальности пользователь может обратиться к Оператору:

14.1.1. через контактные данные, указанные на Сайте [cassida.kz] в разделе «Контакты» (телефон, адрес электронной почты, адрес местонахождения — при наличии);

14.1.2. путем направления письменного обращения по реквизитам Оператора, указанным на Сайте.

14.2. Обращение рекомендуется оформлять таким образом, чтобы оно позволяло идентифицировать пользователя и описывало суть запроса (какие данные, какие действия требуются, за какой период).

14.3. Для отзыва согласия на маркетинговые рассылки пользователь также может воспользоваться функционалом «отписаться» (если доступно) в электронном сообщении либо направить соответствующий запрос Оператору.

15. Ссылки на иные документы и согласия

15.1. В случаях, когда для отдельных операций требуется отдельное согласие или иные условия, на Сайте могут размещаться или предоставляться дополнительные документы, включая, но не ограничиваясь:

15.1.1. Согласие на обработку персональных данных (в том числе на маркетинговые рассылки);

15.1.2. Пользовательское соглашение/Публичная оферта (если применимо);

15.1.3. Политика использования файлов cookie (если вынесена в отдельный документ);

15.1.4. Правила возврата/обмена, условия доставки и оплаты (если применимо).

15.2. В случае противоречий между настоящей Политикой и указанными документами применяются положения, обеспечивающие более высокий уровень защиты персональных данных пользователя, если иное не вытекает из существа регулирования или требований законодательства Республики Казахстан.

16. Изменение Политики

16.1. Оператор вправе изменять и/или дополнять настоящую Политику в одностороннем порядке при изменении функционала Сайта, применимых бизнес-процессов, требований законодательства и/или практик обработки данных.

16.2. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не указано в тексте новой редакции. Пользователю рекомендуется регулярно просматривать актуальную версию Политики.

16.3. Если изменения затрагивают существенные условия обработки персональных данных и/или требуют получения дополнительного согласия, Оператор обеспечивает получение такого согласия способами, предусмотренными законодательством Республики Казахстан и функционалом Сайта.

17. Заключительные положения

17.1. Настоящая Политика действует бессрочно до замены новой редакцией.

17.2. Недействительность отдельного положения Политики не влечет недействительность остальных положений.

17.3. Во всем, что не урегулировано настоящей Политикой, Оператор руководствуется законодательством Республики Казахстан.

17.4. Актуальная версия Политики размещается на Сайте [cassida.kz].