1.	ОБЩИЕ ПОЛОЖЕНИЯ
1.1.	Политика АО «СК «Коммеск-Өмiр» в отношении обработки персональных данных контрагентов (далее – Политика) разработана в соответствии с Законом Республики Казахстан «О персональных данных и их защите» (далее – Закон).
1.2.	Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в АО «СК «Коммеск-Өмiр» (далее - Оператор/собственник) с целью защиты прав и свобод человека и гражданина при сборе и обработке его персональных данных.
1.3.	В Политике используются следующие основные понятия:
1.3.1.	биометрические данные - персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность;
1.3.2.	персональные данные - сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
1.3.3.	блокирование персональных данных - действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
1.3.4.	накопление персональных данных - действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;
1.3.5.	сбор персональных данных - действия, направленные на получение персональных данных;
1.3.6.	уничтожение персональных данных - действия, в результате совершения которых невозможно восстановить персональные данные;
1.3.7.	обезличивание персональных данных - действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;
1.3.8.	база, содержащая персональные данные (далее - база), - совокупность упорядоченных персональных данных;
1.3.9.	собственник базы, содержащей персональные данные (далее - собственник), - государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
1.3.10.	оператор базы, содержащей персональные данные (далее - оператор), - государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
1.3.11.	защита персональных данных - комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных Законом;
1.3.12.	обработка персональных данных - действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
1.3.13.	использование персональных данных - действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;
1.3.14.	хранение персональных данных - действия по обеспечению целостности, конфиденциальности и доступности персональных данных;
1.3.15.	распространение персональных данных - действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;
1.3.16.	субъект персональных данных (далее - субъект) - физическое лицо, к которому относятся персональные данные;
1.3.17.	третье лицо - лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных.
1.3.18.	автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
1.3.19.	договор - все договоры страхования, контракты, соглашения, меморандумы и т.д., за исключением трудовых договоров, заключенные Оператором/собственником или их проекты, одной из сторон которых выступает Оператор/собственник;
1.3.20.	контрагент - физические лица, в том числе индивидуальные предприниматели, являющиеся стороной договора, заключаемого (заключенного) с Оператором/собственником.
1.4.	Оператор/собственник обеспечивает неограниченный доступ к настоящей Политике путем ее публикации на официальном сайте.

2.	ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1.	Сбор, обработка и защита персональных данных осуществляются в соответствии с принципами:
2.1.1.	соблюдения конституционных прав и свобод человека и гражданина;
2.1.2.	законности;
2.1.3.	конфиденциальности персональных данных ограниченного доступа;
2.1.4.	равенства прав субъектов, собственников и операторов;
2.1.5.	обеспечения безопасности личности, общества и государства.
2.2.	Сбор, обработка персональных данных осуществляются Оператором/собственником с согласия субъекта или его законного представителя, кроме случаев, когда обработка персональных данных производятся без согласия субъекта или его законного представителя, а именно:
2.2.1.	осуществления деятельности правоохранительных органов и судов, исполнительного производства;
2.2.2.	осуществления государственной статистической деятельности;
2.2.3.	использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;
2.2.4.	реализации международных договоров, ратифицированных Республикой Казахстан;
2.2.5.	защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно;
2.2.6.	осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;
2.2.7.	опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;
2.2.8.	неисполнения субъектом своих обязанностей по представлению персональных данных в соответствии с законами Республики Казахстан;
2.2.9.	получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан;
2.2.10.	в иных случаях, установленных законами Республики Казахстан.
2.3.	Особенности сбора, обработки персональных данных в электронных информационных ресурсах, содержащих персональные данные, устанавливаются в соответствии с законодательством Республики Казахстан об информатизации, с учетом положений Закона.
2.4.	Оператор/собственник, а также третьи лица, получающие доступ к персональным данным ограниченного доступа, обеспечивают их конфиденциальность путем соблюдения требований не допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания.
2.5.	Лица, которым стали известны персональные данные ограниченного доступа в связи с профессиональной, служебной необходимостью, а также трудовыми отношениями, обязаны обеспечивать их конфиденциальность.
2.6.	Конфиденциальность биометрических данных устанавливается законодательством Республики Казахстан.
2.7.	Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.
2.8.	Общедоступные персональные данные - персональные данные, доступ к которым является свободным с согласия субъекта или на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности.
2.9.	Персональные данные ограниченного доступа - персональные данные, доступ к которым ограничен законодательством Республики Казахстан.
2.10.	В целях информационного обеспечения у Оператора/собственника могут создаваться общедоступные источники персональных данных субъектов, в том числе справочники. В общедоступные источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных. Сведения о субъекте должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта либо по решению суда или иных уполномоченных государственных органов.
2.11.	Доступ к персональным данным определяется условиями согласия субъекта или его законного представителя, предоставленного Оператору/собственнику на их сбор и обработку, если иное не предусмотрено законодательством Республики Казахстан.
2.12.	Доступ к персональным данным должен быть запрещен, если Оператор/собственник и (или) третье лицо отказываются принять на себя обязательства по обеспечению выполнения требований Закона или не могут их обеспечить.
2.13.	Обращение (запрос) субъекта или его законного представителя относительно доступа к своим персональным данным подается Оператору/собственнику письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.
2.14.	Отношения между Оператором/собственником и (или) третьим лицом относительно доступа к персональным данным регулируются законодательством Республики Казахстан.
2.15.	Накопление персональных данных производится путем сбора персональных данных, необходимых и достаточных для выполнения задач, осуществляемых Оператором/собственником, а также третьим лицом.
2.16.	Использование персональных данных осуществляться Оператором/собственником и третьим лицом для следующих целей их сбора:
2.16.1.	идентификации субъекта персональных данных и ведения досье клиента в рамках страховой (перестраховочной) деятельности в соответствии с требованиями  законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
2.16.2.	осуществления страховой (перестраховочной) деятельности;
2.16.3.	ведения досье страховых агентов;
2.16.4.	осуществления хозяйственной и маркетинговой деятельности;
2.16.5.	исполнения требований законодательства о предоставлении сведений о субъекте персональных данных в единую базу данных по страхованию.
2.17.	Персональные данные, полученные в целях указанных в п.2.16. настоящего раздела, вносятся Оператором/собственником в электронную базу данных и хранятся на протяжении всего периода деловых отношений с контрагентом и не менее пяти лет со дня их окончания. 
2.18.	Изменение и дополнение персональных данных осуществляются Оператором/собственником на основании обращения (запроса) субъекта или его законного представителя либо в иных случаях, предусмотренных законами Республики Казахстан.
2.19.	Распространение персональных данных допускается, если при этом не нарушаются права и свободы субъекта, а также не затрагиваются законные интересы иных физических и (или) юридических лиц. Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.
2.20.	Трансграничная передача персональных данных - передача персональных данных на территорию иностранных государств. В соответствии с Законом трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения этими государствами защиты персональных данных.
2.21.	Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:
2.21.1.	наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных;
2.21.2.	предусмотренных международными договорами, ратифицированными Республикой Казахстан;
2.21.3.	предусмотренных законами Республики Казахстан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения;
2.21.4.	защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно.
2.22.	Трансграничная передача персональных данных на территорию иностранных государств может быть запрещена или ограничена законами Республики Казахстан.
2.23.	При сборе и обработке персональных данных для проведения статистических, социологических, научных исследований Оператор/собственник, а также третье лицо обязаны их обезличить.
2.24.	Персональные данные подлежат уничтожению Оператором/собственником, а также третьим лицом:
2.24.1.	по истечении срока хранения в соответствии с пунктом 2.17. настоящего раздела;
2.24.2.	при прекращении правоотношений между Оператором/собственником и третьим лицом;
2.24.3.	при вступлении в законную силу решения суда;
2.24.4.	в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан.
2.25.	При наличии условия об уведомлении субъекта о передаче его персональных данных третьему лицу Оператор/собственник в течение десяти рабочих дней уведомляют об этом субъекта или его законного представителя, если иное не предусмотрено законами Республики Казахстан.
2.26.	Требования пункта 2.25. настоящего раздела не распространяются на случаи:
2.26.1.	выполнения государственными органами своих функций, предусмотренных законодательством Республики Казахстан, а также осуществления деятельности частными нотариусами, частными судебными исполнителями и адвокатами;
2.26.2.	осуществления сбора и обработки персональных данных в статистических, социологических или научных целях.

3.	ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.	Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.
3.2.	Субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства.
3.3.	Субъект имеет право:
3.3.1.	знать о наличии у Оператора/собственника, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
- подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
- перечень персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения;
3.3.2.	требовать от Оператора/собственника изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
3.3.3.	требовать от Оператора/собственника, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
3.3.4.	требовать от Оператора/собственника, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан;
3.3.5.	отозвать согласие на сбор, обработку персональных данных, кроме случаев, предусмотренных пунктом 3.2. настоящего раздела;
3.3.6.	дать согласие (отказать) Оператору/собственнику на распространение своих персональных данных в общедоступных источниках персональных данных;
3.3.7.	на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
3.3.8.	на осуществление иных прав, предусмотренных Законом и иными законами Республики Казахстан.
3.4.	Субъект обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.

4.	ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА/СОБСТВЕННИКА
4.1.	Оператор/собственник имеет право осуществлять сбор, обработку персональных данных в порядке, установленном Законом и иными нормативными правовыми актами Республики Казахстан.
4.2.	Оператор/собственник обязан:
4.2.1.	утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан;
4.2.2.	принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;
4.2.3.	соблюдать законодательство Республики Казахстан о персональных данных и их защите;
4.2.4.	принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан;
4.2.5.	представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;
4.2.6.	сообщать информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан;
4.2.7.	в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан;
4.2.8.	в течение одного рабочего дня:
	изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
	блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
	уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан;
	снять блокирование персональных данных в случае не подтверждения факта нарушения условий сбора, обработки персональных данных.

5.	ПОРЯДОК ОСУЩЕСТВЛЕНИЯ ОПЕРАТОРОМ/СОБСТВЕННИКОМ МЕР ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1.	Оператор/собственник, а также третьи лица обеспечивают защиту персональных данных, которая гарантируется государством и принимают необходимые меры по защите персональных данных, обеспечивающие:
5.1.1.	предотвращение несанкционированного доступа к персональным данным;
5.1.2.	своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;
5.1.3.	минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным.
5.2.	Обязанности Оператора/собственника, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.
5.3.	Сбор и обработка персональных данных осуществляется только в случаях обеспечения их защиты.
5.4.	Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
5.4.1.	реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
5.4.2.	обеспечения их целостности и сохранности;
5.4.3.	соблюдения их конфиденциальности;
5.4.4.	реализации права на доступ к ним;
5.4.5.	предотвращения незаконного их сбора и обработки.
5.5.	Защита электронных информационных ресурсов, содержащих персональные данные, осуществляется в соответствии с законодательством Республики Казахстан об информатизации.
5.6.	Для обеспечения защиты персональных данных при их сборе и обработке, Оператор/собственник отделяет персональные данные от иной информации, в частности путем фиксации их на носителях.
5.7.	Лицами, осуществляющими сбор и обработку персональных данных контрагентов, а также имеющими к ним доступ являются работники всех подразделений Оператора/собственника в соответствии с реализуемыми целями и полномочиями, а также страховые агенты. 
5.8.	Оператором/собственником установлены организационно – технические меры и соблюдаются условия, необходимые и обеспечивающие сохранность персональных данных, исключающие несанкционированный к ним доступ при хранении носителей,  а именно:
5.8.1.	назначение лиц, ответственных за организацию обработки и защиты персональных данных;
5.8.2.	ознакомление субъектов с требованиями Закона и положениями настоящей Политики;
5.8.3.	организация учета, хранения и обращения носителей информации;
5.8.4.	наличие системы внутреннего контроля;
5.8.5.	обеспечение защиты конфиденциальной информации;
5.8.6.	внедрение процедур по реализации политики информационной безопасности;
5.8.7.	проверка готовности и эффективности использования средств защиты информации;
5.8.8.	разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
5.8.9.	регистрация и учет действий пользователей информационных систем персональных данных;
5.8.10.	использование антивирусных средств и средств восстановления системы защиты персональных данных;
5.8.11.	организация пропускного режима на территорию Оператора/собственника, охраны помещений с техническими средствами обработки персональных данных.
5.9.	Субъекты персональных данных в целях указанных в п.2.16. раздела 2 настоящей Политики предоставляют Оператору/собственнику персональные данные, необходимые и достаточные для выполнения осуществляемых им задач, согласно следующему перечню:
5.9.1.	фамилия, имя, отчество (при наличии);
5.9.2.	дата рождения;
5.9.3.	данные документа удостоверяющего личность;
5.9.4.	домашний адрес;
5.9.5.	контактные данные (телефонный номер, адрес электронной почты);
5.9.6.	другая информация, на основании которой возможна идентификация субъекта персональных данных, требуемая в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также требуемая согласно законодательным актам Республики Казахстан по вопросам страхования и страховой деятельности.
5.10.	В базе Оператора/собственника создаются и хранятся следующие группы документов, содержащие персональные данные контрагентов:
5.10.1.	досье контрагента;
5.10.2.	досье страхового агента; 
5.10.3.	справочно-информационный банк данных (картотеки, журналы, корпоративная информационно-аналитическая система).

6.	ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
6.1.	Иные вопросы, связанные с регулированием отношений в сфере персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Республики Казахстан.
6.2.	Настоящая Политика вводится в действие с момента ее утверждения Советом директоров Оператора/собственника.
6.3.	В настоящую Политику могут быть внесены изменения и (или) дополнения путем утверждения документа в новой редакции.
6.4.	Если в результате изменения законодательства Республики Казахстан или требований уполномоченного органа отдельные положения настоящей Политики вступают в противоречие с ними, то эти положения утрачивают силу, и, до момента внесения изменений в настоящую Политику, Оператор/собственник руководствуется действующими на соответствующий момент времени положениями законодательства Республики Казахстан и/или требованиями уполномоченного органа.
6.5.	Оригинал настоящей Политики на бумажном носителе хранится в Технологическом департаменте и размещается им на сервере Оператора/собственника.