Настоящая Политика конфиденциальности (далее — «Политика») регулирует порядок сбора, обработки, хранения и защиты персональных данных в связи с предоставлением доступа к программному обеспечению SANGER (далее — «Программа»).
Оператором Программы является SANGER (далее — «Лицензиар», «Компания»).
Политика разработана в соответствии с:

• Законом Республики Казахстан «О персональных данных»
• Налоговым кодексом Республики Казахстан
• международными стандартами информационной безопасности ISO/IEC 27001 и ISO/IEC 27701

Настоящая Политика является неотъемлемой частью Лицензионного и Пользовательского соглашения SANGER.
Термины и определения
Программа (SANGER) — программное обеспечение и интернет-платформа, предоставляемая Лицензиаром для автоматизации бизнес-процессов, управления персоналом, учета рабочего времени, построения графиков и выполнения иных функций.
Лицензиар (Правообладатель) — организация, обладающая исключительными имущественными правами на Программу и выступающая оператором интернет-платформы SANGER.
Лицензиат — физическое или юридическое лицо, принявшее условия Лицензионного и Пользовательского соглашения и получившее право использования Программы.
Пользователь — учетная запись в Программе, созданная Лицензиатом в личном кабинете или приложении SANGER и принадлежащая физическому лицу, которому предоставлен доступ к системе.
Подтвержденная учетная запись (Аккаунт) — учетная запись, принадлежащая конкретному физическому лицу, доступ к которой подтвержден посредством:

• SMS-кода
• электронной почты
• биометрической идентификации
• или иных методов, предусмотренных функциональностью Программы и законодательством Республики Казахстан.

Корпоративный аккаунт Лицензиата (Компания) — корпоративная учетная запись, созданная Лицензиатом для организации работы в Программе. В рамках данного аккаунта администратор управляет настройками, добавляет пользователей и назначает роли и уровни доступа.
Персональные данные — любая информация, относящаяся к физическому лицу, включая:

• Ф.И.О.
• контактные данные
• идентификационные номера
• биометрические данные
• сведения о занятости
• данные учета рабочего времени
• и иные сведения, предусмотренные Законом Республики Казахстан «О персональных данных».

Обработка персональных данных — любые действия с персональными данными, включая:

• сбор
• запись
• систематизацию
• хранение
• уточнение
• использование
• обезличивание
• блокирование
• удаление
• передачу данных.

Обезличенные данные — данные, по которым невозможно идентифицировать конкретное физическое лицо без использования дополнительной информации.
Согласие субъекта персональных данных — свободное, конкретное и информированное выражение воли субъекта персональных данных на обработку его данных, предоставляемое:

• в письменной форме
• либо в электронной форме (галочка-подтверждение, SMS-код, иные методы подтверждения).

Государственные органы — уполномоченные органы Республики Казахстан, имеющие право запрашивать и получать персональные данные в случаях, предусмотренных законом.
Договор — лицензионный договор на использование программного обеспечения SANGER, включающий настоящее Соглашение и настоящую Политику.
Персональные данные и их категории
Лицензиар может обрабатывать следующие категории персональных данных:
Идентификационные данные

• Ф.И.О.
• дата рождения
• персональный идентификационный номер
• должность
• табельный номер сотрудника.

Контактные данные

• номер телефона
• адрес электронной почты
• адрес проживания.

Данные учетной записи

• логин
• пароль
• настройки аккаунта
• роли и уровни доступа.

Данные занятости и рабочего времени

• графики работы
• табели учета рабочего времени
• сменные графики
• отметки посещаемости.

Технические данные

• IP-адрес
• cookies
• информация о браузере и устройстве
• история браузера
• геолокация.

Данные могут подразделяться на:

• основные идентификационные данные
• конфиденциальные рабочие данные
• обезличенные аналитические данные.

Цели обработки персональных данных
Персональные данные обрабатываются исключительно для законных целей, включая:

• предоставление доступа к Программе и ее функционалу
• исполнение Лицензионного и Пользовательского соглашения
• создание и управление аккаунтами Лицензиатов и Пользователей
• ведение расчетов, выставление счетов и налоговой отчетности
• обеспечение информационной безопасности и предотвращение мошенничества
• улучшение качества и функциональности Программы
• выполнение требований законодательства Республики Казахстан.

Использование данных в маркетинговых целях допускается только с согласия субъекта персональных данных.
Обезличенные данные могут использоваться для:

• аналитики
• исследований
• улучшения сервисов.

Сбор данных и источникиПерсональные данные собираются только законными способами и в объеме, необходимом для функционирования Программы.
Основные источники данных:

• регистрационные формы на сайте и в приложении SANGER
• корпоративный аккаунт Лицензиата
• учетные записи пользователей
• автоматический сбор технических данных (IP, cookies, данные устройства)
• взаимодействие с технической поддержкой.

Лицензиат несет ответственность за получение согласия сотрудников и иных лиц, чьи данные вносятся в систему.
Лицензиар вправе проверять достоверность предоставленных данных и при необходимости запрашивать подтверждающие документы.
Хранение данных и место размещенияПерсональные данные хранятся:

• в течение срока действия подписки
• и 12 месяцев после ее завершения.

По письменному запросу Лицензиата данные могут:

• быть удалены ранее установленного срока
• либо сохранены с ограниченным доступом.

Персональные данные пользователей из Республики Казахстан обрабатываются и хранятся на серверах, расположенных на территории Республики Казахстан, а также на устройствах, соответствующих международным стандартам безопасности.
После удаления данных Лицензиар гарантирует невозможность их восстановления.
Передача данныхПередача персональных данных осуществляется:

• государственным органам — по официальному законному запросу
• партнерам и подрядчикам Лицензиара, обеспечивающим работу сервиса (дата-центры, SMS-провайдеры, сервисы электронной почты, API-интеграции и платежные системы)
• аффилированным компаниям Лицензиара
• Лицензиату и его пользователям в рамках функционирования системы.

Передача данных третьим лицам в коммерческих целях запрещена, за исключением обезличенных данных.
Трансграничная передача данных возможна только при наличии согласия субъекта персональных данных.
Права субъектов персональных данныхПользователи и иные субъекты данных имеют право:

• получать информацию об обработке их данных
• получать доступ к своим данным
• требовать исправления или дополнения данных
• требовать блокирования или удаления данных
• отзывать ранее предоставленное согласие
• ограничивать обработку данных
• защищать свои права в суде или уполномоченных органах.

Запрос может быть направлен Лицензиару в письменной форме с подтверждением личности.
Срок рассмотрения запроса — до 15 календарных дней, если иное не предусмотрено законодательством.
Обязанности ЛицензиатаЛицензиат обязан:

• получать законное согласие всех лиц, чьи данные вносятся в систему
• обеспечивать достоверность и актуальность предоставляемых данных
• обеспечивать конфиденциальность логинов и паролей
• предотвращать несанкционированный доступ к аккаунту
• незамедлительно сообщать Лицензиару о нарушениях безопасности.

Все последствия незаконного внесения персональных данных несет Лицензиат.
Защита данныхЛицензиар применяет комплекс организационных, технических и правовых мер защиты, включая:

• шифрование данных
• защищенные каналы связи
• принцип минимального доступа
• двухфакторную аутентификацию
• ведение журналов действий пользователей
• регулярные аудиты информационной безопасности
• тестирование на проникновение.

При выявлении инцидента безопасности Лицензиар проводит расследование и при необходимости уведомляет Лицензиата и уполномоченные органы.
ОтветственностьЛицензиар отвечает за законность обработки и защиту персональных данных в пределах контролируемой им инфраструктуры Программы.
Лицензиат отвечает за:

• законность передачи данных
• получение согласия субъектов данных.

Лицензиар не несет ответственности за ущерб, возникший вследствие:

• разглашения пароля Лицензиатом
• сбоев интернет-сетей вне контроля Лицензиара
• нарушения процедуры получения согласия субъектов данных.

Заключительные положенияНастоящая Политика доступна на официальном сайте SANGER и в приложении Программы.
Лицензиар вправе в одностороннем порядке изменять Политику. Обновленная версия вступает в силу с момента публикации на сайте.
Продолжение использования Программы после публикации изменений означает согласие с новой редакцией Политики.
Все споры, связанные с настоящей Политикой, регулируются законодательством Республики Казахстан.
Если какое-либо положение Политики будет признано недействительным, это не влияет на действительность остальных положений.

• Политика действует бессрочно до ее замены новой редакцией.