1.1. Оператор осуществляет обработку персональных данных в соответствии с законодательством Республики Казахстан, включая Закон Республики Казахстан «О персональных данных и их защите», а также иные применимые нормативные правовые акты.

1.2. Внутренние процедуры Оператора ориентированы на риск-ориентированный подход к защите персональных данных: уровень мер безопасности соразмеряется характеру, объему, контексту и целям обработки, а также вероятности и тяжести потенциального ущерба для субъектов.

2.1. Оператор — ТОО «канцTREND», организующее и (или) осуществляющее сбор и обработку персональных данных, определяющее цели и основные параметры обработки.

2.2. Субъект персональных данных — физическое лицо, к которому относятся персональные данные.

2.3. Сбор персональных данных — действия, направленные на получение персональных данных.

2.4. Обработка персональных данных — совокупность операций (действий) с персональными данными, включая (но не ограничиваясь) сбор, запись, систематизацию, накопление, хранение, изменение (обновление, дополнение), использование, передачу, обезличивание, блокирование и уничтожение.

2.5. Обработчик (уполномоченное лицо) — третье лицо, осуществляющее обработку персональных данных по поручению Оператора на основании договора и в пределах предоставленных полномочий.

2.6. Трансграничная передача — передача персональных данных на территорию иностранного государства.

Оператор руководствуется следующими принципами:

• законность и добросовестность обработки;
• целевое ограничение: обработка осуществляется в конкретных, заранее определенных и законных целях;
• минимизация данных: объем и содержание данных соразмерны заявленным целям;
• точность и актуальность: при необходимости данные обновляются/уточняются;
• ограничение сроков хранения: хранение — не дольше, чем требуется целями обработки и/или законом;
• конфиденциальность и безопасность: применение мер защиты от несанкционированного доступа, изменения, раскрытия, утраты.

Оператор может обрабатывать персональные данные следующих категорий субъектов:

• посетители Сайта;
• покупатели (лица, оформляющие заказ);
• лица, направляющие обращения/заявки/отзывы;
• представители юридических лиц (при оформлении заказа/запроса от организации);
• подписчики рассылок (если соответствующий функционал реализован на Сайте).

5.1. В зависимости от сценария использования Сайта Оператор может обрабатывать:

• (a) Контактные данные: ФИО, номер телефона, адрес электронной почты.
• (b) Данные, необходимые для исполнения заказа: адрес доставки, сведения о получателе, состав и история заказов, комментарии к заказу.
• (c) Коммуникационные данные: содержание обращений/переписки, иные сведения, которые субъект добровольно указывает в сообщениях.
• (d) Технические и телеметрические данные: IP-адрес, cookie-файлы и аналогичные идентификаторы, данные о браузере и устройстве, события и действия на Сайте (в части, необходимой для работы Сайта, аналитики и обеспечения безопасности).

5.2. Оператор не устанавливает в качестве обязательного условия предоставление данных, не относящихся к целям обработки. Субъекту рекомендуется не указывать в сообщениях избыточные сведения.

5.3. Специальные категории данных (например, сведения о здоровье, биометрические данные) и данные о судимости Оператором не запрашиваются и не обрабатываются в рамках стандартных пользовательских сценариев Сайта. Если субъект самостоятельно направит такие сведения, они будут обрабатываться исключительно в пределах ответа на обращение и при наличии законного основания.

Оператор обрабатывает персональные данные для следующих целей:

• обеспечение функционирования Сайта и предоставления сервисов;
• идентификация пользователя в рамках взаимодействия (если применимо);
• обработка обращений, предоставление консультаций и поддержки;
• оформление, подтверждение и исполнение заказов, организация доставки;
• бухгалтерский/операционный учет, документирование операций, исполнение требований законодательства;
• повышение качества сервиса, развитие функционала Сайта, статистическая и продуктовая аналитика, предотвращение злоупотреблений и обеспечение информационной безопасности;
• направление информационных сообщений, а также маркетинговых коммуникаций (при наличии согласия субъекта и/или иных предусмотренных законом оснований — если применимо).

7.1. Оператор осуществляет сбор и обработку персональных данных при наличии одного или нескольких правовых оснований, предусмотренных законодательством Республики Казахстан, включая:

• согласие субъекта (или его законного представителя), выраженное письменно, в форме электронного документа либо иным способом, допускаемым законом;
• необходимость исполнения сделки/договора (включая исполнение заказа и оказание услуг), стороной или выгодоприобретателем по которому является субъект;
• исполнение обязанностей Оператора, установленных законодательством Республики Казахстан;
• иные основания, прямо предусмотренные законодательством.

7.2. В случаях, когда обработка основана на согласии, субъект вправе отозвать согласие в порядке, предусмотренном законодательством. Отзыв согласия не затрагивает законность обработки, осуществленной до его отзыва, а также обработку, необходимую для исполнения обязательств Оператора, предусмотренных законом.

8.1. Оператор обеспечивает конфиденциальность персональных данных и применяет правовые, организационные и технические меры защиты, направленные на предотвращение:

• несанкционированного доступа;
• неправомерного изменения, блокирования, копирования, предоставления, распространения;
• утраты или уничтожения данных.

8.2. Типовой набор мер (в зависимости от рисков) может включать:

• разграничение прав доступа и управление учетными записями;
• ведение журналов событий и контроль действий в информационных системах;
• использование средств защиты (включая шифрование каналов связи, если применимо);
• резервное копирование и восстановление;
• регламент реагирования на инциденты информационной безопасности;
• обучение/инструктаж лиц, имеющих доступ к данным.

8.3. Доступ к персональным данным предоставляется только уполномоченным сотрудникам Оператора и/или обработчикам по поручению Оператора — строго в пределах функциональной необходимости.

9.1. Персональные данные хранятся в информационных системах Оператора и (или) обработчиков в течение срока, необходимого для достижения целей обработки, если более длительный срок не требуется или не допускается законодательством.

9.2. По достижении целей обработки либо при наступлении иных оснований (например, отзыв согласия при отсутствии иных законных оснований) персональные данные подлежат блокированию и/или уничтожению в порядке, предусмотренном законодательством и внутренними процедурами Оператора.

9.3. Хранение персональных данных осуществляется в базах данных, находящихся на территории Республики Казахстан, если иное не предусмотрено законодательством.

10.1. Оператор может передавать персональные данные третьим лицам исключительно при наличии законного основания, в объеме, необходимом для достижения целей обработки, включая:

• курьерским/логистическим службам — для доставки заказов;
• подрядчикам, обеспечивающим эксплуатацию ИТ-инфраструктуры и сервисов (хостинг, техническая поддержка, аналитические инструменты) — в объеме, необходимом для функционирования Сайта;
• платежным и финансовым организациям — в рамках обработки платежей (если такие операции осуществляются через Сайт или по связанным каналам);
• государственным органам — по законному запросу и в случаях, предусмотренных законодательством.

10.2. При привлечении обработчиков Оператор обеспечивает договорное закрепление требований к конфиденциальности, безопасности, целевому использованию данных и запрету их обработки вне поручения.

11.1. Трансграничная передача персональных данных допускается при соблюдении требований законодательства Республики Казахстан, включая оценку обеспеченности защиты персональных данных на территории иностранного государства.

11.2. Если по характеру услуги/инфраструктуры трансграничная передача необходима, Оператор принимает меры для обеспечения надлежащего уровня защиты (договорные обязательства обработчиков, ограничения доступа, организационно-технические меры) и/или получает согласие субъекта, когда это требуется законом.

Субъект персональных данных обладает правами, предусмотренными законодательством Республики Казахстан, включая право:

• получать информацию о наличии у Оператора его персональных данных, а также о целях, источниках, способах и сроках обработки;
• требовать изменения и/или дополнения персональных данных при наличии подтвержденных оснований;
• требовать блокирования персональных данных при наличии информации о нарушении условий сбора, обработки;
• требовать уничтожения персональных данных, если они обработаны с нарушением законодательства или при отсутствии законных оснований;
• отозвать согласие на обработку персональных данных (когда обработка основана на согласии);
• обжаловать действия/бездействие Оператора в уполномоченный орган и/или в судебном порядке.

13.1. Сайт может использовать cookie и аналогичные технологии для:

• обеспечения корректной работы функционала;
• повышения удобства пользователя (например, сохранение настроек);
• статистической и продуктовой аналитики;
• обеспечения безопасности и предотвращения злоупотреблений.

13.2. Пользователь может управлять cookie через настройки браузера и/или (если реализовано) через инструменты управления согласием на Сайте. Ограничение cookie может повлиять на доступность отдельных функций.

14.1. Для реализации прав и по вопросам обработки персональных данных субъект может направить обращение Оператору по электронной почте: oneki@oneki.kz [cite: 102, 103]

14.2. Рекомендуемый состав обращения: ФИО, контакт для ответа, описание запроса, а также сведения для идентификации субъекта (например, номер заказа, телефон и/или e-mail, использованный при оформлении заказа).

14.3. Оператор вправе запросить дополнительные сведения, необходимые для идентификации субъекта и выполнения запроса, в пределах, допускаемых законодательством.

15.1. Оператор вправе пересматривать настоящую Политику в целях актуализации правовых оснований, процедур обработки и мер защиты.

15.2. Актуальная редакция Политики размещается на Сайте. Продолжение использования Сайта после публикации новой редакции означает ознакомление и принятие условий Политики в части, не противоречащей законодательству.