Политика конфиденциальности

Система управления персональными данными Товарищества с ограниченной ответственностью «Unimoney», определяющая политику и процедуру управления персональными данными

Настоящая система управления персональными данными регулирует порядок обработки и использования персональных и иных данных сайта ТОО «Unimoney» (дальше — Оператор). Действующая редакция настоящей Системы управления персональными данными, постоянно доступна для ознакомления, и размещена в сети Интернет по адресу: «www.unimo.kz»

Передавая Оператору персональные и иные данные посредством Сайта, Пользователь подтверждает свое согласие на использование указанных данных на условиях, изложенных в настоящей Политике конфиденциальности.

Если Пользователь не согласен с условиями настоящей Политики конфиденциальности, он обязан прекратить использование Сайта.

Безусловным акцептом настоящей Политики конфиденциальности является начало использования Сайта Пользователем.

1.СОКРАЩЕНИЯ

1.1. БИН - Бизнес-идентификационный номер

1.2. ВД - Внутренние документы

1.3. ГПХ - Гражданско-правовой характер

1.4. ИИН - Индивидуальный идентификационный номер

1.5. ИП - Индивидуальный предприниматель

1.6. НПА - Нормативно-правовые акты

1.7. ПД - Персональные данные

1.8. ТОО - Товарищество с ограниченной ответственностью

1.9. ЭЦП - Электронно-цифровая подпись

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Введение:

Любая организация, де-факто, вынуждена работать с персональными данными субъектов ПД: поставщики, потребители, работники и другие стейкхолдеры – все они, если являются физическими лицами, выступают субъектами персональных данных, (физических лиц [2.1.1. п.16 ст.1.]) а сама организация становится оператором [2.1.1. п.10 ст.1.], соответственно оператор обязан обеспечить управление ПД, соответствующее нормам действующего законодательства.

Для обеспечения исполнения этих норм, а также для корректного и безопасного управления персональными данными субъектов, Товарищество с ограниченной ответственностью «Unimoney» (далее ТОО «Unimoney», оператор) приняло решение о необходимости формализации системы управления персональными данными, за основу этого процесса взята «Система управления персональными данными» © Каралидзе Г.В., (свидетельство о внесении сведений в государственный реестр прав на объекты, охраняемые авторским правом №64220 от «14» ноября 2025 года), право на использование предоставлено авторским договором от «08» декабря 2025.
На основе данной системы разработан настоящий документ, объединяющий в себе Политику и процедуру управления персональными данными, описывающий принципы и процесс управления персональными данными.

2.2. Нормативные ссылки.

2.2.1. Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (с изменениями и дополнениями по состоянию на 16.09.2025 г.).

2.2.2. Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных» (с изменениями и дополнениями по состоянию на 10.05.2025 г.).

2.2.3. Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ «Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных» (с изменениями дополнениями на 08.01.2025 г.).

2.2.4. Приказ и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 9 августа 2024 года № 481/НҚ.

2.2.5. Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 июня 2023 года № 199/НҚ.

2.2.6. Приказ Министра культуры и спорта Республики Казахстан от 25 августа 2023 года № 236 «Об утверждении Правил документирования, управления документацией и использования систем электронного документооборота в государственных и негосударственных организациях» (с изменениями и дополнениями от 30.11.2024 г.).

 2.3. Основные понятия

Основные понятия, используемые в системе управления персональными данными определены в пункте 2.2.1., иные понятия, не установленные в данном документе приведены в таблице ниже.

2.4. Перечень вводимых форм

2.4.1. Перечень персональных данных, необходимый и достаточный для выполнения реализуемых им задач и функций, выполняемых работ и (или) оказываемых услуг.
2.4.2. Согласие субъекта на управление персональными данными.
2.4.3. Требование о блокировании персональных данных, на основании наличия информации о нарушении условий управления ПД.
2.3.4. Уведомление об отзыве согласия субъекта на управление персональными данными.

3. ПРИНЦИПЫ УПРАВЛЕНИЯ ПЕРСОНАЛЬНЫМИ ДАННЫМИ

3.1. Принцип законности, необходимости и достаточности
Данный принцип подразумевает, что любые действия, осуществляемые с ПД должны находиться в правовом поле. Все действия с данными строго ограничиваются заранее определенными и заявленными целями, ради которых эти данные собирались, объем данных должен позволять выполнять с ними те действия, для которых их собирали и при этом собираемые данные не должны быть избыточными.

3.2. Принцип достоверности и актуальности
Этот принцип направлен на обеспечение высокого качества обрабатываемых персональных данных. Субъект данных, предоставляя их оператору гарантирует, что они достоверны и актуальны, а также он берет на себя обязательства по актуализации своих персональных данных, собираемых оператором, при изменении этих данных.
Оператор же гарантирует, что использует актуальные данные, предоставленные субъектом.

3.3. Принцип прозрачности и открытости
Данный принцип формирует основу доверительных отношений между организацией и субъектами персональных данных. Он обязывает оператора предоставлять субъектам информацию о целях сбора, обработки и других действий с их персональными данными, процесса управления персональными данными и предоставлении информации о используемых персональных данных субъекта в соответствии с нормами действующего законодательства.

3.4. Принцип безопасности и конфиденциальности
Этот принцип является операционной реализацией обязанности оператора по защите персональных данных от любых несанкционированных действий. Меры безопасности должны быть адекватны актуальным угрозам и потенциальному вреду для субъектов, а их эффективность должна регулярно оцениваться. Принцип гарантирует, что доступ к данным имеют только уполномоченные лица и только в рамках своих служебных обязанностей, а предоставление данных третьим лицам может быть осуществлено только с прямого согласия субъекта данных или его законного представителя, если это согласие нужно в соответствии с нормами действующего законодательства.

3.5. Принцип системности и процессный подход
Данный принцип устанавливает, что управление персональными данными представляет собой целостную систему взаимосвязанных элементов, в процессе управления персональными данными в организации, а действия в этой системе происходят по заданному алгоритму, последовательно и в соответствии с установленными требованиями, а сам процесс и требования к нему проходят валидацию и верификацию через запланированные периоды времени.

4. ПРАВА И ОБЯЗАННОСТИ СТОРОН В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Перечень прав и обязанностей сторон разработан на основе требований, положений [2.2.1.] переработанных и дополненных по усмотрению автора.

4.1. Права и обязанности субъекта персональных данных и(или) его законного представителя.

4.1.1. Субъект персональных данных или его представитель в праве:

1) Быть осведомленным о наличии у оператора его персональных данных, целей, способов и сроков сбора и процесса управления (от получения согласия на сбор и обработку до уничтожения) ими, а также о предоставлении его персональных данных третьим лицам.

2) Вносить изменения и дополнения в свои персональные данные при наличии оснований, подтвержденных соответствующими документами.

3) Требовать от оператора блокировки своих персональных данных в соответствии с процедурой, установленной у оператора, с учетом того, что оператором будет заблокирована любая деятельность, для которой нужны персональные данные субъекта.

4) Требовать от оператора уничтожения своих персональных данных, осознавая, что данное действие будет произведено после истечения сроков исковой давности, до этого момента данные будут заблокированы, и по ним будет прекращены любые действия.

5) Отозвать согласие на сбор, обработку и иные действия с персональными данными, кроме случаев, предусмотренных нормами действующего законодательства.

6) Давать согласие (и отзывать его) оператору на распространение своих персональных данных в общедоступных источниках персональных данных. Здесь важно отметить, что субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит нормам законодательства, или при наличии неисполненного обязательства.

7) Защищать свои права и законные интересы.

8) Осуществлять иные права, предусмотренные нормами действующего законодательства, внутренними документами оператора и договорённостями с ним, если это не противоречит нормам действующего законодательства.

4.1.2. Субъект персональных данных или его представитель обязан:

1) Давать информированное согласие на управление персональными данными для получения работ / услуг оператора, в случае чёткого указания целей и объема заращиваемых персональных данных, а также действий, которые могут быть выполнены с

2) Предоставлять необходимый и достаточный объем персональных данных, необходимых для выполнения работ / оказания услуг, предоставляемых оператором.

3) Предоставлять достоверные и актуальные персональные данные оператору, а также своевременно вносить изменения в предоставленные данные в случае возникновения необходимости, в случае несвоевременной актуализации данных ответственность ложится на субъект ПД.

4) Нести риск последствий в случае непредоставления, либо предоставления недостоверных или неактуальных ПД, повлекших невозможность выполнения работ / оказания услуг.

5) Соблюдать установленные оператором правила использования информационных систем и средств, при помощи которых осуществляется управление ПД.

6) В случае отзыва согласия, запроса на блокировку и (или) удаление своих персональных данных в сроки, установленные оператором, сохранить все необходимые файлы и документ, находящиеся у оператора или третьей стороны, связанные с выполнением работ / оказанием услуг оператора, а в случае нарушения этих сроков приять на себя все риски и последствия.

7) Исполнять иные обязательства, предусмотренные нормами действующего законодательства, внутренними документами оператора и договорённостями с ним, если это не противоречит нормам действующего законодательства.

4.2. Права и обязанности оператора персональных данных.

4.2.1. Оператор имеет право:

1) Запрашивать у субъекта разрешение на сбор обработку и иные действия с его персональными данными, указанными в согласии, при условии доведения до субъекта целей такого управления, включая, но не ограничиваясь предоставлением персональных данных третьей стороне, если это необходимо для выполнения работ / оказания услуг.

2) Отказать в выполнении работ / оказании услуг собственнику персональных данных если тот отказался предоставить персональные данные и (или) предоставил недостоверные и (или) не актуальные данные, отправил запрос на блокировку или удаление персональных данных и (или) своевременно не актуализировал свои персональные данные.

3) Запрашивать у субъекта документы, подтверждающие достоверность предоставляемых персональных данных.

4) Собирать, обрабатывать и предоставлять третьим сторонам персональные данные без согласия субъекта в случаях, предусмотренных действующим законодательством.

5) Осуществлять трансграничную передачу персональных данных в порядке, установленном действующим законодательством.

6) Требовать от субъекта соблюдения установленных оператором правил использования информационных систем и средств, при помощи которых осуществляется обработка персональных данных.

7) Осуществлять иные права, предусмотренные нормами действующего законодательства, внутренними документами оператора и договорённостями с ним, если это не противоречит нормам действующего законодательства.

4.2.2. Оператор обязан:

1) Утвердить перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, если иное не предусмотрено нормами действующего законодательства.

2) Разработать и утвердить документы, определяющие политику и процедуру оператора в отношении сбора, обработки и защиты персональных данных.

3) Принимать необходимые меры, для защиты персональных данных.

4) Соблюдать нормы действующего законодательства в сфере персональных данных и их защиты.

5) Принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных нормами действующего законодательства.

6) Запрашивать согласие субъекта на управление персональными данными, включая, но не ограничиваясь: сбором, обработкой, хранением, передачей третьим лицам, блокировкой и уничтожением.

7) По обращению субъекта сообщать информацию, относящуюся к нему, в сроки, предусмотренные законодательством. В случае отказа в предоставлении информации субъекту или его законному представителю представить мотивированный ответ в сроки, предусмотренные нормативно-правовыми актами.

8) В течение одного рабочего дня:

изменить и (или) дополнить персональные данные на основании соответствующих документов, предоставленных субъектом, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения.

блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки.

уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства, а также в иных случаях, установленных нормативными правовыми актами.

снять блокирование персональных данных в случае не подтверждения факта нарушения условий сбора, обработки персональных данных.

c момента обнаружения нарушения безопасности персональных данных уведомить уполномоченный орган о таком нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии).

9) Предоставлять безвозмездно субъекту или его законному представителю возможность ознакомления с персональными данными, относящимися к данному субъекту на основании запроса.

10) Назначить лицо, ответственное за управление персональными данными в случае, если оператор является юридическим лицом.

11) Исполнять иные обязательства, предусмотренные нормами действующего законодательства, внутренними документами оператора и договорённостями с ним, если это не противоречит нормам действующего законодательства.

4.2.3. Лицо, ответственное за управление персональными данными со стороны оператора, обязано:

1) Осуществлять внутренний контроль за соблюдением оператором и его работниками норм законодательства о персональных данных и их защите, в том числе требований к защите персональных данных.

2) Доводить до сведения работников оператора положения законодательства о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных.

3) Осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей.

5. ОПРЕДЕЛЕНИЕ ПЕРЕЧНЯ ПД, НЕОБХОДИМОГО И ДОСТАТОЧНОГО ДЛЯ ВЫПОЛНЕНИЯ ОСУЩЕСТВЛЯЕМЫХ ЗАДАЧ

Лицо, ответственное за управление ПД инициирует проведение анализа деятельности с целью определения персональных данных, необходимых для реализации задач и функций, выполнения работ и (или) оказания услуг, по результатам которого формируется перечень персональных данных, необходимый и достаточный для выполнения реализуемых задач и функций, выполняемых работ и (или) оказываемых услуг согласно форме в приложении 1, где указываются цели сбора, обработки и иных действий с ПД в рамках задач, функций, работ и (или) услуг.

Перечень структурируется по типам отношений между оператором и субъектом ПД (потребитель, работник, поставщик и т.д.), а затем по задачам, функциям, работам и или услугам.

Цели должны быть законными, четко и однозначно сформулированы, должна прослеживаться связь с задачами и (или) функциями и (или) работами и (или) услугами, перечень ПД не должен включать персональные данные, которые являются избыточными по отношению к заявленным задачам и (или) функциям и (или) работам и (или) услугам.

Данный перечень проходит плановую валидацию и верификацию ежеквартально, и внеплановую, в случае изменения в перечне задач и функций, выполнения работ и (или) оказания услуг.

Подтверждение проведения данных действий обеспечивается соответствующей записью в листе регистрации, посредством проставления записи «Перечень персональных данных, необходимый и достаточный для выполнения реализуемых задач и функций, выполняемых работ и (или) оказываемых услуг валиден и верифицирован» подпись лица, проводившего валидацию и верификацию, расшифровка подписи (инициал имени, фамилия), дата.

6. ПРОЦЕСС УПРАВЛЕНИЯ ПЕРСОНАЛЬНЫМИ ДАННЫМИ

Процесс управления персональными данными включает: сбор, обработку: обезличивание, накопление, хранение, использование, распространение, блокирование и уничтожение) персональных данных с согласия субъекта ПД или его законного представителя в соответствии с нормами действующего законодательства.

6.1. Сбор персональных данных

Сбор персональных данных субъекта осуществляется ТОО «Unimoney» на основании согласия субъекта. Форма согласия приведена в приложении 2.

Субъект ПД предоставляет согласие в электронной (подписанной ЭЦП или в виде акцепта) или бумажной форме (оригинал).

Согласие требуется от физического лица:

6.1.1. Претендующего на трудоустройство у оператора – перед предоставлением персональных данных (до получения резюме или иного источника получения персональных данных).

6.1.2. Работника перед заключением трудового договора.

6.1.3. Оказывающего услуги по договору ГПХ перед заключением договора. Если этому предшествует этап, на котором осуществляется передача оператору ПД, то согласие необходимо получить до момента передачи ПД.

6.1.4. Потребителя услуг оператора. Согласие может быть приложением к договору оказания услуг, либо при регистрации в электронной системе оператора может быть получено посредством акцепта.

6.1.5. Потребителя услуг оператора на проведение анализа финансовой устойчивости и (или) агентских услуг по размещению и сопровождению проекта в системе оператора. Согласие предоставляет как ИП, так физические лица, участвующие и подлежащие проверке со стороны юридического лица. Согласие может быть приложением к договору оказания услуг, или самостоятельным документом.

6.1.6. Для взаимодействия, с которым оператору необходимы персональные данные.

Согласие должно содержать:

1) Наименование, БИН и контактные данные оператора.

2) Фамилию, имя, отчество ИИН и контактные данные субъекта.

3) Период действия согласия на управление персональными данными.

4) Сведения о возможности оператора передавать персональные данные третьим лицам.

5) Информацию о наличии либо отсутствии трансграничной передачи персональных данных в процессе управления ими.

6) Сведения о распространении персональных данных в общедоступных источниках.

7) Цель сбора персональных данных связанных с субъектом и их перечень, в соответствии с перечнем персональных данных, необходимый и достаточный для выполнения реализуемых им задач и функций, выполняемых работ и (или) оказываемых услуг, определенным оператором.

8) Информированное согласие с содержанием и сутью данной Политики по управлению персональными данными.

9) Иные пункты, в зависимости от целей сбора ПД.

Предоставление согласия субъектом на управление ПД осуществляется посредством интернет-ресурса, в т.ч. стороннего, при подписании ЭЦП, и (или) посредством проставления акцепта, а также может быть предоставлено на бумажном носителе с прикреплением скан-копии и отправкой оригинала почтой или нарочно.

6.2. Обработка персональных данных

6.2.1. Накопление и хранение персональных данных

ТОО «Unimoney» получая данные (при наличии согласия) от субъекта или из открытых источников, формирует базу персональных данных, в которой эти данные накапливаются и хранятся. Срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством.

При формировании базы отражается цель получения данных (5.), а также дату получения согласия и срок его действия (6.1.).

Оператор обеспечивает хранение базы персональных данных на серверах и (или) жестких дисках, находящихся в Республике Казахстан. При этом оператор понимает, что если в согласии отражена трансграничная передача данных, то это относится именно к самим данным, а не к базе их содержащей.

6.2.2. Внесение изменений в персональные данные
Субъект ПД или его законный представитель имеет право требовать актуализации данных в базе оператора, при наличии подтвержденных оснований.
Для осуществления актуализации данных субъект может направить пакет документов с данными, подлежащими актуализации нарочно на юридический адрес оператора с пояснением того, какие данные актуализируются с предоставлением основания для актуализации.

Либо самостоятельно внести измененные данные через интернет-ресурс \ платформу оператора также с предоставлением основания для актуализации.

6.2.3) Использование, распространение (включая передачу третьей стороне) и обезличивание персональных данных

Использование персональных данных может осуществляться оператором на основании согласия субъекта или его законного представителя в соответствии с перечнем персональных данных, необходимых и достаточных для выполнения реализуемых оператором задач и функций, выполняемых работ и (или) оказываемых услуг в строгом соответствии с заявленными целями.

При этом распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.

Для реализации этого условия оператор инициирует процесс отзыва субъектом ПД действующего согласия и подписания уточнённого. Такой подход позволяет упростить учет согласий (нет необходимости учитывать согласие и приложения, посредством которых вносились изменения), контроль за сроками и целями, а также исключает возможность использования неактуального согласия и (или) приложений к нему.

При необходимости распространения ПД оператор запускает процесс обезличивания ПД, при этом обеспечивая невозможность идентификации субъекта и исключение возможности восстановления связки субъекта и ПД.

Процесс обезличивания осуществляется оператором до распространения ПД, любым не противоречащим нормам действующего законодательства способом включая технические и криптографические методы шифрования.

Обезличивание может проводиться через:

1) удаление части данных, по которым можно идентифицировать субъект (Ф.И.О., ИИН, и т.д.);

2) агрегацию – усреднение показателей, перевод в % или доли (для числовых показателей);

3) замену ПД, на псевдонимы или коды, без сохранения ключа;

4) любые другие способы, не запрещенные нормами законодательства, в зависимости от специфики данных и цели их предоставления.

Передача третьей стороне ПД, если это необходимо для выполнения реализуемых оператором задач и функций, выполняемых работ и (или) оказываемых услуг может выполняться без обезличивания при условии прямого согласия на это субъекта ПД или его законного представителя, кроме этого третья сторона должна гарантировать сохранность и безопасность получаемых ПД, а также соответствовать требованиям действующего законодательства.

6.2.4) Блокирование и уничтожение персональных данных
Блокирование ПД осуществляется по требованию субъекта или его законного представителя в случае наличия информации о нарушении условий управления ПД. Форма требования приведена в приложении 3.

Блокирование осуществляется путем остановки выполнения всех действий, связанных с субъектом, в которых необходимо использовать ПД, о блокировке которых проступил запрос. Например, если оператор готовит договор, но от субъекта поступает запрос на блокировку ПД, подготовка останавливается, и договор не заключается. Если же договор уже заключен, то собственник ПД должен указать, как действовать в отношении этого договора при обращении – продолжить реализацию, или досрочно расторгнуть по инициативе собственника ПД.

Кроме того, блокируется доступ работников оператора к данным субъекта, указанным в требовании.

Если ПД используются для авторизации (личный кабинет, учетная запись работника), такая учетная запись приостанавливается. Субъект не может войти в систему, а его данные внутри нее не используются.

Субъект или его законный представитель вправе обратиться в уполномоченный орган с целью проверки оператора на предмет соблюдения требований по сбору и обработке персональных данных в соответствии с нормами действующего законодательства.

Персональные данные, сбор и обработка которых произведены оператором с нарушением норм действующего законодательства, а также в иных случаях, установленных номами законодательства, по требованию субъекта подлежат уничтожению без этапа блокировки.

Уничтожение ПД осуществляется:

1) по истечении срока хранения;

2) при прекращении правоотношений между субъектом и операторам, с учетом срока исковой давности, до этого момента данные блокируются и исключаются для использования, в т.ч. непреднамеренного;

3) по решению суда;

4) в иных случаях, предусмотренных нормами действующего законодательства.

Уничтожение ПД осуществляется посредством остановки обработки, исключения из базы ПД, архивирования ПД субъекта и хранения до истечения срока исковой давности (блокирование без возможности восстановления), после истечения срока исковой давности данные подлежат удалению в соответствии с нормами действующего законодательства.

6.3. Доступ к персональным данным субъекта ПД

Доступ субъекта ПД для просмотра и корректировки его персональных данных реализуется через личный кабинет субъекта, защищенный логином и паролем.

7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Для обеспечения защиты персональных данных оператор:

1) Выделил процессы, содержащие персональные данные через формирование перечня ПД, поскольку в этом перечне закреплена связь между процессом, целью и перечнем ПД, необходимым для их реализации.

2) Разграничил ПД на общедоступные и ограниченного доступа, согласно таблице 2.

Таблица 2 – Общедоступные персональные данные и ограниченного доступа

Если данные содержаться в перечне общедоступных и ограниченного доступа, то дублирующийся данные считаются общедоступными.

Например, резюме (общедоступные) содержит перечень предыдущих мест работы и документы, подтверждающие трудовой стаж (ограниченного доступа) тоже, соответственно, места работы, указанные в резюме, считаем общедоступными.

3) Определяет лиц, осуществляющих сбор и обработку персональных данных и имеющих к ним доступ и закрепляет их приказом.

4) Оператор назначает ответственного за организацию обработки персональных данных.

5) Оператор разработал настоящий документ, отражающий политику в отношении сбора, обработки и защиты ПД, а также устанавливающий порядок доступа к персональным данным и порядок действий при обнаружении нарушения безопасности ПД.

6) Оператор проводит аудит и актуализацию прав доступа не реже одного раза в год, а также при кадровых перестановках работников, имеющих такие права в обязательном порядке.

7) База данных оператора хранится на серверах, находящихся на территории Республики Казахстан, доступ к ней ограничен посредством технических средств, доступ имеется у определенного и ограниченного количества лиц, доступ возможен только при введении логина и пароля.

8. РЕАГИРОВАНИЕ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъект персональных данных может получать информацию о составе ПД, целях и способах сбора, обработки и источниках получения, сроках обработки и хранения.

Оператор реализует это через личный кабинет интернет-ресурса \ платформы.

Кроме того, субъект или его законный представитель вправе направить письменный запрос оператору по его юридическому адресу и получить ответ в срок не позднее трех рабочих дней с даты получения запроса оператором, если иные сроки не предусмотрены законодательными актами, также письменно, оператор в праве как предоставить перечень данных, так и отказать в предоставлении, в этом случае готовится и направляется мотивированный отказ.

При обращении субъекта или его законного представителя по поводу блокировки или удаления ПД, оператор в течении одного рабочего дня обработать запрос и выполнить блокировку данных (см. 6.2.4.)), а затем, по истечении срока исковой давности – удаление данных, если они были получены без нарушений.

Субъект или его законный представитель в праве отозвать согласие на управление персональными данными направив оператору оригинал отзыва в виде электронного (подписанного ЭЦП) или бумажного документа (оригинала). Форма отзыва в приложении 4.

Субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства.

9. РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ

В случае возникновения инцидента (выявления факта утечки ПД) оператор обязан уведомить субъект ПД и уполномоченный орган в сфере ПД в течении одного рабочего дня с момента возникновения инцидента, кроме этого оператор проводит внутреннее расследование с целью выявления причин и исключения повторных инцидентов.

10. УПРАВЛЕНИЕ РИСКАМИ

ТОО «Unimoney» понимает, что управление персональными данными сопряжено с большими рисками их некорректного сбора или обработки, возможностью их утечки и нарушения действующего законодательства.

Для минимизации реализации рисков оператор осуществляет:

1) Идентификацию рисков, связанных с ПД.

2) Анализ рисков, связанных с ПД.

3) Оценивание рисков, связных с ПД.

Для снижения рисков, связанных с ПД оператор:

1. Через запланированные периоды времени проверяет внесение изменений в действующее законодательство по вопросам ПД и их защиты.

2. Проводит регулярные аудиты безопасности ПД.

3. Проверяет актуальность ПД, там, где это возможно.

4. Учитывает необходимость передачи ПД третьим лицам, в том числе и через трансграничную передачу данных

5. Регулярно повышает компетенции в вопросах работы с ПД.

6. Осуществляет контроль за тем, как лица, в чей функционал входит управление ПД, выполняют свои функции, связанные с ПД.

7. Применяет иные инструменты, направленные на снижение вероятности реализации рисков, связанных с ПД или последствий их реализации.

11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Описанная политика и система управления персональными данными учитывает требования законодательства и лучшие практики работы с персональными данными для обеспечения законности и безопасности как для субъектов, так и для оператора.

Документ описывает учитывает конкретные условия внутренней и внешней среды организации, специфики ее деятельности и существующих процессов оператора.

Данный документ разработан на основе научного произведения «Система управления персональными данными» © Каралидзе Г.В., (свидетельство о внесении сведений в государственный реестр прав на объекты, охраняемые авторским правом №64220 от «14» ноября 2025 года), право на использование предоставлено авторским договором от «08» декабря 2025.

Любое воспроизведение как документа целиком, так и любой его части допустимо только при наличии прямого согласия автора, если воспроизведение затрагивает процессы ТОО «Unimoney», то коме согласия автора требуется и согласие уполномоченного лица организации.