Политика конфиденциальности
1. Кто мы и как с нами связаться
Оператор (владелец/оператор базы персональных данных): ИП BASQA
Адрес: Республика Казахстан, г. Алматы, ул. Шумный переулок 2, офис 105
БИН/ИИН: 970521350565
Банк: АО «Kaspi Bank», БИК CASPKZKA, счёт KZ31722S000011095211
E-mail для обращений по данным: basqawear@gmail.com
Сайт: https://basqa.kz/
Настоящая Политика применяется ко всем посетителям и покупателям Сайта и является неотъемлемой частью Публичной оферты интернет-магазина ИП BASQA (далее — «Оферта»). Все временные параметры рассчитываются по местному времени г. Алматы (часовой пояс Asia/Almaty), если не указано иное.
Нормативная база: Закон Республики Казахстан № 94-V «О персональных данных и их защите», в т.ч. ст. 5, 7–19, 24–25; действующие подзаконные правила по сбору, обработке и защите персональных данных.
2. Перечень и категории персональных данных
2.1. Мы утверждаем перечень персональных данных, необходимых и достаточных для целей обработки. К ним относятся:
А) Идентификационные и платежно-учётные данные
Б) Контактные и адресные данные
2.3. Данные несовершеннолетних. Оформление заказов для несовершеннолетних осуществляется их законными представителями. Согласия на обработку персональных данных и на маркетинговые коммуникации за ребёнка даёт его законный представитель.
2.4. Необходимые/обязательные и добровольные данные.
2.7. Мы регулярно пересматриваем перечень персональных данных на предмет достаточности/минимизации. Актуальная версия перечня публикуется в настоящей Политике; при изменении целей/категорий данных мы заблаговременно обновляем Политику и, где требуется, запрашиваем новые согласия.
3. Цели и правовые основания обработки
3.1. Цели обработки персональных данных
3.7. Мы можем применять автоматизированные антифрод-проверки и технические фильтры рисков, однако не принимаем решений, влекущих юридические последствия или иным образом существенно затрагивающих права субъекта исключительно на основании автоматизированной обработки — без участия человека. В спорных ситуациях предусмотрен ручной пересмотр.
3.8.Субъект может в любой момент отозвать согласие (на маркетинг, необязательные cookie и т. п.), направив запрос через указанные в разделе 1 контакты или через механизмы отписки/панель cookie. Отзыв не влияет на законность обработки, осуществлённой до момента отзыва, и не препятствует дальнейшей обработке в объёме, необходимом для исполнения договора, исполнения обязанностей по закону и защиты прав и законных интересов в пределах, допускаемых законодательством.
3.9. Объединение наборов данных допускается только при совместимости целей и наличии необходимого правового основания. При изменении целей на несовместимые мы заранее уведомим и при необходимости запросим новое согласие.
4. Принципы и порядок обработки персональных данных
4.1. Принципы обработки
Мы руководствуемся следующими принципами:
4.3. Мы можем применять автоматизированные антифрод-проверки и технические фильтры рисков. При этом решения, влекущие юридические последствия или существенно затрагивающие права субъекта, не принимаются исключительно автоматически — обеспечивается возможность ручного пересмотра (см. также п. 3.7).
4.4. Покупатель обязуется предоставлять достоверные данные и своевременно сообщать об изменениях (например, контактов или адреса доставки). Мы вправе запрашивать подтверждающие сведения, если это необходимо для исполнения договора/закона или защиты от мошенничества.
4.5. Мы привлекаем обработчиков (платёжные сервисы, курьерские/почтовые и транспортные компании, сервисные центры, провайдеров ИТ/хостинга, почтовые/смс-сервисы, аналитические и антифрод-провайдеры) по договору и по инструкции, передавая только минимально необходимый объём данных. Сотрудники и подрядчики принимают обязательства конфиденциальности и соблюдают меры защиты. Перечень категорий получателей раскрывается в соответствующем разделе о передаче данных.
4.6. Резервные копии и архивы ведутся в пределах, необходимых для бесперебойной работы сервисов, бухгалтерского/налогового учёта и юридической защиты. По истечении сроков хранения данные обезличиваются либо уничтожаются по утверждённым процедурам; доступ к архивам ограничен.
4.7. Ключевые операции с персональными данными и события информационной безопасности подлежат журналированию. Мы проводим периодические проверки соблюдения настоящей Политики и применяем корректирующие меры при выявлении несоответствий.
5. Передача третьим лицам и трансграничная передача
5.1. Категории получателей (обработчиков/третьих лиц)
Мы передаём персональные данные только в объёме, необходимом для заявленных целей, следующим категориям получателей:
5.2. Правовые основания передачи
Передача осуществляется на одном из оснований: (а) исполнение договора с вами (доставка, оплата, возвраты, гарантия); (б) исполнение обязанностей по закону (учёт/отчётность, ответы на законные запросы); (в) согласие (например, маркетинг, необязательные cookie/пиксели, отдельные трансграничные передачи к маркетинговым платформам); (г) законные интересы Оператора в допустимых пределах (антифрод/ИБ, защита прав).
5.3. Договорное поручение обработки и меры защиты
С получателями, которые обрабатывают данные по нашему поручению, мы заключаем договоры, предусматривающие: обработку строго по инструкции, конфиденциальность, запрет на перепоручение без согласия, минимизацию объёма данных, меры ИБ (шифрование при передаче, сегментация, контроль доступа, журналирование), порядок уведомления об инцидентах и возврат/удаление данных по завершении услуг. 5.4. Передача хешированных контактных идентификаторов в рекламные платформы для формирования/исключения аудиторий допускается только при вашем согласии на маркетинговые коммуникации и с применением предусмотренных платформами механизмов защиты. Вы вправе в любой момент отказаться от маркетинга — мы прекратим такие передачи.
5.5. Персональные данные могут передаваться в иные государства (например, при использовании облачных сервисов, международной доставки/платежей или маркетинговых/аналитических платформ), при этом мы:
5.7. В случае реорганизации, продажи бизнеса или иной формы правопреемства персональные данные могут быть переданы правопреемнику при условии соблюдения принципов и мер защиты, указанных в Политике. При необходимости мы уведомим пользователей о таком переходе.
5.8. Мы предоставляем персональные данные госорганам/судам строго в объёме и порядке, предусмотренных законодательством РК, фиксируя правовое основание и факт передачи.
6. Сроки хранения, обезличивание и уничтожение данных6.1. Общее правило. Персональные данные хранятся не дольше, чем это необходимо для заявленных целей обработки и/или сроков, прямо установленных законодательством Республики Казахстан. По достижении цели обработки и/или истечении обязательных сроков хранения данные обезличиваются либо уничтожаются по утверждённым процедурам.
6.2. Хранение в целях бухгалтерского и налогового учёта. Первичные учётные и иные бухгалтерские/налоговые документы (в т.ч. сведения, содержащие ПДн) хранятся в сроки, установленные законодательством РК. Как правило, такие документы сохраняются не менее 5 лет после окончания соответствующего налогового периода, если иные сроки не предусмотрены законом.
6.3. Договорные отношения и претензионная работа. Данные, связанные с заключением и исполнением договора, претензионной и судебной защитой, хранятся в течение срока действия договора, гарантийных/возвратных периодов и общего срока исковой давности (обычно 3 года), а также разумного периода для фиксации и защиты прав после урегулирования спора.
6.4. Клиентская поддержка и переписка. Заявки, переписка с поддержкой, претензии и материалы к ним хранятся в течение срока, необходимого для рассмотрения обращения/спора и доказательственного подтверждения исполнения обязательств. По общему правилу — до завершения урегулирования и истечения применимых сроков исковой давности.
6.5. Маркетинговые рассылки и согласия.
6.8. Если возможно достижение целей обработки без идентификации субъекта, данные переводятся в обезличенное состояние и могут использоваться для статистики, аналитики и улучшения сервиса без возможности обратной идентификации.
6.9. Уничтожение персональных данных осуществляется способами, исключающими восстановление (для электронных носителей — удаление с перезаписью/криптографическим стиранием; для бумажных — механическое уничтожение/утилизация). Факт уничтожения фиксируется актом либо соответствующей записью.
6.10. Исключения и «legal hold». Если на момент наступления срока удаления: (а) идёт проверка/спор/судебное разбирательство, (б) действует требование госоргана о сохранении, (в) не истекли обязательные сроки хранения — данные сохраняются до снятия соответствующих ограничений, после чего подлежат удалению/обезличиванию.
6.11. Актуализация сроков. Конкретные категории сроков хранятся во внутренних реестрах/перечнях обработки. Мы периодически пересматриваем сроки, исходя из принципов минимизации и совместимости целей, и при необходимости обновляем настоящую Политику.
7. Права субъекта персональных данных и порядок их реализации7.1. Ваши права
Вы вправе (в пределах и случаях, установленных законодательством РК):
· получать информацию об обработке ваших персональных данных (цели, состав, источники, способы, сроки хранения, категории получателей, правовые основания);
· требовать уточнения/обновления/исправления персональных данных, если они неполные, устаревшие или недостоверные;
· требовать удаления (уничтожения) или блокирования персональных данных, если их сбор/обработка осуществляется с нарушением требований законодательства или цели обработки достигнуты;
· отозвать согласие (например, на маркетинговые рассылки и необязательные cookie/пиксели) в любой момент;
· ограничить обработку в случаях, предусмотренных законом (например, на период проверки достоверности данных или законности обработки);
· получать сведения о передаче данных третьим лицам и трансграничным получателям в предусмотренных законом пределах;
· обжаловать действия/бездействие Оператора по обработке персональных данных:
а) в уполномоченный государственный орган в сфере защиты персональных данных (обращение через систему e-Otinish),
б) в суд.
7.2. Как подать запрос/обращение
Направьте запрос на basqawear@gmail.com или через форму обратной связи на Сайте с темой письма «Запрос по персональным данным». В запросе укажите:
· ФИО и контакт для ответа (e-mail/телефон);
· суть запроса (доступ/уточнение/удаление/отзыв согласия/ограничение/информация о передаче и т. п.);
· идентификатор(ы), позволяющие нас найти вашу запись (например, номер заказа, контактный e-mail/телефон, указанные при оформлении);
· при обращении представителя — реквизиты доверенности/документа полномочий.
Мы можем запросить минимальные дополнительные сведения для верификации личности (чтобы убедиться, что ответ и изменения вносятся надлежащему лицу).
7.3. Сроки и формат ответа
Мы рассматриваем запросы и отвечаем в сроки, установленные законодательством РК, предоставляя информацию в доступной форме (в том числе электронно). Если запрос требует времени на поиск/проверку/сверку с архивами или задействует наших обработчиков, мы уведомим вас о ходе рассмотрения и предоставим ответ после завершения необходимых процедур.
7.4. Отказ или частичное ограничение ответа
В ответе может быть отказано полностью или частично, если:
· раскрытие затрагивает права и законные интересы третьих лиц;
· информация относится к коммерческой/служебной тайне наших контрагентов и не подлежит раскрытию без их согласия;
· имеются иные законные основания для отказа/ограничения (в т.ч. требования госорганов, режим «legal hold», обязательные сроки хранения, предотвращение мошенничества).
В таких случаях мы укажем правовое основание и объём предоставляемых сведений.
7.5. Отзыв согласия и его последствия
Отказ от маркетинговых рассылок возможен по ссылке в письме/SMS, в настройках Личного кабинета (при наличии) либо через e-mail, указанный выше. Отзыв согласия не влияет на законность обработки, осуществлённой до отзыва, и не препятствует дальнейшей обработке в объёме, необходимом для:
· исполнения договора (оформление/доставка/возврат/гарантия),
· исполнения требований закона (учёт/отчётность, хранение документов),
· защиты прав и законных интересов Оператора и третьих лиц в пределах, допускаемых законодательством.
7.6. Удаление и хранение записей о согласиях
После отзыва согласия мы прекращаем связанную с ним обработку и удаляем/блокируем соответствующие данные, если нет иного правового основания для их сохранения. Сведения о самом факте предоставления/отзыва согласия могут храниться в разумных сроках для подтверждения законности прошлой обработки и соблюдения требований контроля/отчётности.
7.7. Доступ к информации о получателях и трансграничных передачах
По вашему запросу мы предоставим сведения о категориях получателей ваших данных и фактах трансграничной передачи (в пределах, не раскрывающих коммерческую тайну и меры информационной безопасности), а также об используемых мерах защиты.
8. БЕЗОПАСНОСТЬ ДАННЫХ И УВЕДОМЛЕНИЕ ОБ ИНЦИДЕНТАХ8.1. Общий подход и ответственность
Мы обеспечиваем защиту персональных данных от несанкционированного доступа и иных неправомерных действий посредством организационных, технических и физических мер. Назначено ответственное лицо за организацию обработки и обеспечение безопасности персональных данных; сотрудники и подрядчики подписывают обязательства о конфиденциальности и проходят регулярный инструктаж.
8.2. Организационные меры
· утверждены политика ИБ, политика обработки ПДн, регламенты доступа, резервного копирования, реагирования на инциденты;
· принцип минимизации данных и доступов (need-to-know, least privilege); ролевые модели и разграничение прав;
· проверка контрагентов/обработчиков на предмет достаточности мер защиты; договорные обязательства по ПДн и ИБ;
· управление жизненным циклом данных: классификация, сроки хранения, обезличивание/уничтожение;
· обучение персонала (онбординг, ежегодные refresh-курсы, фишинг-симуляции), контроль соблюдения;
· защита коммерческой тайны и ноу-хау; запрет вынесения ПДн на несанкционированные носители.
8.3. Технические меры
· защищённые каналы связи (HTTPS/TLS) для всех пользовательских и межсервисных взаимодействий;
· шифрование данных при передаче и, где обосновано, при хранении; управление ключами;
· хеширование паролей устойчивыми алгоритмами (например, bcrypt/Argon2);
· межсетевое экранирование, WAF/anti-DDoS, антивирус/EDR, ограничение исходящих соединений из прод-среды;
· сегментация среды (prod/test/dev), изоляция секретов, управление секретами и API-ключами;
· регулярное обновление ПО и библиотек (patch management), контроль уязвимостей (сканирование, трекинг CVE), устранение в регламентные сроки;
· централизованное журналирование и мониторинг событий безопасности (SIEM-подход), корреляция и алерты;
· резервное копирование с проверкой восстановления (RPO/RTO), целостность бэкапов, шифрование копий.
8.4. Физическая защита и инфраструктура
Размещение информационных систем — у надёжных провайдеров ДЦ/облака. Доступ к площадкам ограничен (учёт и контроль доступа, видеонаблюдение, журналы посещений); соблюдаются базовые стандарты эксплуатационной надёжности. Документы провайдеров по ИБ предоставляются по запросу в разумных пределах.
8.5. Платёжная безопасность
Оплата производится на защищённых страницах платёжного провайдера. Мы не принимаем и не храним полные реквизиты банковских карт; при опции «сохранить карту» используется токенизация на стороне провайдера по отдельному согласию пользователя.
8.6. Управление доступом и учётными записями
· индивидуальные учётные записи, двухфакторная аутентификация для критичных ролей;
· регламенты выдачи/изменения/отзыва прав, регулярные ревью доступов;
· немедленная блокировка доступа при увольнении/изменении роли;
· ограничение админ-доступов, разделение обязанностей (SoD).
8.7. Поставщики и обработчики
До подключения проводим due diligence: проверка практик ИБ, юрисдикций, договорных гарантий; закрепляем условия обработки ПДн, запрет перепоручения без согласования, меры ИБ, сроки уведомления об инцидентах, возврат/удаление данных по завершении услуг. Передаём только минимально необходимый объём данных.
8.8. Тестирование и аудит
· регулярные внутренние проверки соблюдения Политики;
· плановые сканирования уязвимостей и, по мере необходимости, независимые пентесты;
· устранение выявленных несоответствий в установленные сроки с последующей верификацией.
8.9. Инцидент с персональными данными: понятие и классификация
Инцидентом считается подтверждённый факт нарушения безопасности, повлёкший случайное/незаконное уничтожение, утрату, изменение, несанкционированное раскрытие или доступ к ПДн. Классификация по уровню риска (низкий/средний/высокий) определяется с учётом объёма, категории данных, защищённости, вероятности и тяжести последствий для субъектов.
8.10. Порядок реагирования на инциденты
· Обнаружение и регистрация (алерты мониторинга/сообщения пользователей/партнёров).
· Оценка и классификация (первичный анализ, определение масштаба/рисков).
· Локализация и пресечение (блокирование доступа, отзыв секретов, изоляция узлов).
· Устранение последствий и восстановление (патчи, чистка, восстановление из бэкапов).
· Расследование и фиксация (сохранность артефактов, журналы, таймлайн).
· Отчёт и улучшения (уроки, корректирующие меры, обновление регламентов/контролей).
8.11. О существенных инцидентах, затрагивающих персональные данные, мы уведомляем уполномоченный государственный орган и/или субъектов персональных данных без неоправданной задержки и в порядке, предусмотренном законодательством. Уведомление субъектов может включать: описание инцидента, категории и объём затронутых данных, возможные последствия, принятые меры и рекомендации по защите (например, сменить пароль, отключить сохранённые сессии). Каналы уведомления: e-mail/SMS/сообщение в Личном кабинете/публикация на Сайте — исходя из ситуации и технической возможности.
8.12. Если инцидент произошёл у нашего обработчика/провайдера, он обязан оперативно сообщить нам и содействовать расследованию/устранению; мы координируем уведомления субъектов и, при необходимости, госорганов.
8.13. Мы ведём реестр инцидентов и связанных мероприятий (даты/события, принятые меры, уведомления, выводы), храним материалы расследования в сроки, необходимые для правовой защиты и соблюдения требований закона.
8.14. Сообщить о возможной уязвимости/инциденте можно на basqawear@gmail.com с темой «Security». Просим по возможности включить описание, шаги воспроизведения, скриншоты/логи и контакт для обратной связи.
8.15. Мы не обрабатываем специально-защищаемые категории данных и детские ПДн без согласия законного представителя. При любом сигнале о компрометации таких данных применяются усиленные меры реагирования и оповещения.
8.16. Поддерживается план обеспечения непрерывности и восстановления после сбоев (BCP/DRP) с целевыми показателями RPO/RTO, периодическим тестированием сценариев и актуализацией.
Оператор (владелец/оператор базы персональных данных): ИП BASQA
Адрес: Республика Казахстан, г. Алматы, ул. Шумный переулок 2, офис 105
БИН/ИИН: 970521350565
Банк: АО «Kaspi Bank», БИК CASPKZKA, счёт KZ31722S000011095211
E-mail для обращений по данным: basqawear@gmail.com
Сайт: https://basqa.kz/
Настоящая Политика применяется ко всем посетителям и покупателям Сайта и является неотъемлемой частью Публичной оферты интернет-магазина ИП BASQA (далее — «Оферта»). Все временные параметры рассчитываются по местному времени г. Алматы (часовой пояс Asia/Almaty), если не указано иное.
Нормативная база: Закон Республики Казахстан № 94-V «О персональных данных и их защите», в т.ч. ст. 5, 7–19, 24–25; действующие подзаконные правила по сбору, обработке и защите персональных данных.
2. Перечень и категории персональных данных
2.1. Мы утверждаем перечень персональных данных, необходимых и достаточных для целей обработки. К ним относятся:
А) Идентификационные и платежно-учётные данные
- Фамилия, имя, отчество (при наличии).
- ИИН (для формирования первичных учётных документов); для юрлиц/ИП — наименование, БИН, должность/ФИО представителя и документы полномочий.
- Номер заказа/счёта, сведения о возвратах/обменах, гарантийных обращениях.
- Способ оплаты, идентификаторы транзакций/возвратов, результат авторизации у платёжного провайдера.
Б) Контактные и адресные данные
- Номер телефона, адрес электронной почты, при наличии — аккаунт мессенджера.
- Адрес(а) доставки/самовывоза; ФИО получателя (если отличается от плательщика).
- Содержание заказов (ассортимент, количество, цена, скидки/промокоды), статус исполнения.
- Переписка и обращения в поддержку, отзывы/комментарии, претензионные материалы (включая фото/видео дефектов при обращениях).
- Настройки и история согласий (маркетинговые рассылки, cookie и т. п.).
- IP-адрес, дата и время визитов, идентификаторы cookie/пикселей/SDK, заголовки браузера/устройства, тип ОС, события на сайте (например, добавление в корзину, оформление заказа).
- Данные веб-аналитики и персонализации в рамках предоставленных согласий (подробнее — раздел «Cookie» в последующих разделах Политики).
2.3. Данные несовершеннолетних. Оформление заказов для несовершеннолетних осуществляется их законными представителями. Согласия на обработку персональных данных и на маркетинговые коммуникации за ребёнка даёт его законный представитель.
2.4. Необходимые/обязательные и добровольные данные.
- Для заключения и исполнения договора (приёма заказа, оплаты, доставки, возврата) обязательны: ФИО, контактный телефон и/или e-mail, адрес доставки/самовывоза, ИИН/БИН (для учётных документов), сведения о заказе и способе оплаты.
- Маркетинговые данные (подписка на рассылки, персонализация по cookie, участие в программах лояльности) носят добровольный характер и обрабатываются только при отдельном согласии. Отказ от них не влияет на возможность покупки.
- Непосредственно от субъекта данных (формы Сайта/Личного кабинета, телефон/мессенджеры, e-mail).
- От представителя субъекта (в т.ч. сотрудника/подрядчика юрлица/ИП).
- От уполномоченных партнёров, действующих по договору поручения обработки (платёжные сервисы, курьер/перевозчик, хостинг-провайдер и др.) — строго в объёме, необходимом для исполнения договора.
2.7. Мы регулярно пересматриваем перечень персональных данных на предмет достаточности/минимизации. Актуальная версия перечня публикуется в настоящей Политике; при изменении целей/категорий данных мы заблаговременно обновляем Политику и, где требуется, запрашиваем новые согласия.
3. Цели и правовые основания обработки
3.1. Цели обработки персональных данных
- Заключение и исполнение договора розничной купли-продажи, включая: приём и подтверждение Заказа, выставление счетов, оплата, отгрузка/доставка/самовывоз, возвраты/обмены, гарантийное обслуживание, сервисная коммуникация.
- Ведение бухгалтерского и налогового учёта, формирование и хранение первичных учётных и фискальных документов (чеки ККМ, счета-фактуры, накладные, акты).
- Поддержка пользователей: ответы на обращения, претензионная работа, послепродажное обслуживание.
- Обеспечение безопасности сервиса и антифрод: предотвращение мошенничества, нарушение ограничений акций, несанкционированных транзакций и доступов; поддержание работоспособности и целостности информационных систем.
- Информирование о статусе Заказа и доставке (сервисные сообщения, которые не являются рекламой).
- Маркетинговые коммуникации (акции, промокоды, новости, персональные предложения) — только при наличии отдельного согласия субъекта.
- Веб-аналитика и персонализация работы Сайта (cookie/пиксели/SDK) в пределах выданных согласий.
- Исполнение требований законодательства РК и законных запросов государственных органов в случаях и пределах, установленных правом РК.
- Статистические и исследовательские цели в обезличенном виде (данные, не позволяющие идентифицировать субъекта).
- Согласие субъекта персональных данных — для маркетинговых рассылок, необязательных cookie/пикселей, трансграничной передачи к отдельным маркетинговым/аналитическим провайдерам, а также для иных операций, требующих согласия по закону.
- Необходимость исполнения договора с субъектом — для приёма/обработки Заказа, оплаты, доставки, возвратов/обменов, гарантийного обслуживания, сервисных сообщений.
- Исполнение обязанностей, возложенных законом — для бухгалтерского/налогового учёта, фискальных документов, хранения документов в установленные сроки, ответов на запросы государственных органов.
- Осуществление прав и законных интересов Оператора/третьих лиц, если такая обработка допустима законодательством РК и не нарушает права и свободы субъекта (например, антифрод-проверки, защита от претензий и судебных исков, обеспечение ИБ).
- Договор, доставка, возвраты, гарантия → Исполнение договора.
- Фискальные документы, отчётность → Закон.
- Сервисные сообщения (статусы заказов/доставки) → Исполнение договора.
- Маркетинговые письма/SMS, персонализированная реклама → Согласие (можно отозвать в любой момент).
- Антифрод/ИБ, защита прав → Законные интересы в допустимых пределах.
- Веб-аналитика (необязательные cookie/пиксели) → Согласие; строго необходимые cookie → Исполнение договора/оказание услуги по запросу пользователя.
- На маркетинговые коммуникации — отдельный чекбокс/механизм отписки (в письме/Сайте/Личном кабинете).
- На использование необязательных cookie/пикселей — через баннер/панель настроек cookie.
- На сохранение способа оплаты (токен у платёжного провайдера) — только при явном выражении согласия в интерфейсе провайдера (при наличии опции). Продавец не хранит полные реквизиты карты.
- Отказ предоставить обязательные для договора данные (ФИО, контакт, адрес доставки, ИИН/БИН для документов, сведения об оплате/заказе) может повлечь невозможность заключения/исполнения договора.
- Отказ от маркетинга и необязательных cookie не влияет на возможность приобретения товара.
3.7. Мы можем применять автоматизированные антифрод-проверки и технические фильтры рисков, однако не принимаем решений, влекущих юридические последствия или иным образом существенно затрагивающих права субъекта исключительно на основании автоматизированной обработки — без участия человека. В спорных ситуациях предусмотрен ручной пересмотр.
3.8.Субъект может в любой момент отозвать согласие (на маркетинг, необязательные cookie и т. п.), направив запрос через указанные в разделе 1 контакты или через механизмы отписки/панель cookie. Отзыв не влияет на законность обработки, осуществлённой до момента отзыва, и не препятствует дальнейшей обработке в объёме, необходимом для исполнения договора, исполнения обязанностей по закону и защиты прав и законных интересов в пределах, допускаемых законодательством.
3.9. Объединение наборов данных допускается только при совместимости целей и наличии необходимого правового основания. При изменении целей на несовместимые мы заранее уведомим и при необходимости запросим новое согласие.
4. Принципы и порядок обработки персональных данных
4.1. Принципы обработки
Мы руководствуемся следующими принципами:
- Законность, добросовестность и прозрачность — обрабатываем данные на понятных основаниях и сообщаем субъектам о ключевых аспектах обработки.
- Ограничение целями и минимизация — собираем только те данные, которые необходимы и достаточны для заявленных целей.
- Точность и актуальность — принимаем разумные меры для уточнения/обновления данных по заявлению субъекта либо при выявлении неточностей.
- Ограничение сроков хранения — храним данные не дольше, чем требуется целями и законом; по достижении цели — обезличиваем либо уничтожаем.
- Целостность и конфиденциальность — применяем организационные и технические меры защиты, ограничиваем доступ по принципу need-to-know.
- Совместимость целей — объединяем наборы данных только при совместимых целях и наличии правового основания; при смене целей на несовместимые — предварительно информируем и, при необходимости, запрашиваем новое согласие.
4.3. Мы можем применять автоматизированные антифрод-проверки и технические фильтры рисков. При этом решения, влекущие юридические последствия или существенно затрагивающие права субъекта, не принимаются исключительно автоматически — обеспечивается возможность ручного пересмотра (см. также п. 3.7).
4.4. Покупатель обязуется предоставлять достоверные данные и своевременно сообщать об изменениях (например, контактов или адреса доставки). Мы вправе запрашивать подтверждающие сведения, если это необходимо для исполнения договора/закона или защиты от мошенничества.
4.5. Мы привлекаем обработчиков (платёжные сервисы, курьерские/почтовые и транспортные компании, сервисные центры, провайдеров ИТ/хостинга, почтовые/смс-сервисы, аналитические и антифрод-провайдеры) по договору и по инструкции, передавая только минимально необходимый объём данных. Сотрудники и подрядчики принимают обязательства конфиденциальности и соблюдают меры защиты. Перечень категорий получателей раскрывается в соответствующем разделе о передаче данных.
4.6. Резервные копии и архивы ведутся в пределах, необходимых для бесперебойной работы сервисов, бухгалтерского/налогового учёта и юридической защиты. По истечении сроков хранения данные обезличиваются либо уничтожаются по утверждённым процедурам; доступ к архивам ограничен.
4.7. Ключевые операции с персональными данными и события информационной безопасности подлежат журналированию. Мы проводим периодические проверки соблюдения настоящей Политики и применяем корректирующие меры при выявлении несоответствий.
5. Передача третьим лицам и трансграничная передача
5.1. Категории получателей (обработчиков/третьих лиц)
Мы передаём персональные данные только в объёме, необходимом для заявленных целей, следующим категориям получателей:
- Платёжные организации и провайдеры эквайринга — для приёма оплаты/возвратов, токенизации карты (при вашем отдельном согласии на «сохранить карту» у провайдера).
- Курьерские/почтовые и транспортные компании (перевозчики), пункты выдачи — для доставки/самовывоза и информирования о вручении.
- Сервисные/гарантийные центры и склады — для диагностики, ремонта, обмена.
- ИТ- и облачные провайдеры, хостинг/CDN, провайдеры e-mail/SMS/мессенджеров/push-уведомлений — для функционирования Сайта и сервисных сообщений.
- Провайдеры веб-аналитики, A/B-тестирования и маркетинга — в рамках ваших согласий на cookie/рассылки/рекламу.
- Антифрод/ИБ-провайдеры — для предотвращения мошенничества и обеспечения безопасности.
- Бухгалтерские и юридические консультанты, аудиторы — в части, необходимой для исполнения закона и защиты прав.
- Аффилированные лица и правопреемники — при реорганизации/передаче бизнеса, с уведомлением и соблюдением требований закона.
- Государственные органы и суды — в случаях и пределах, прямо предусмотренных законодательством Республики Казахстан.
5.2. Правовые основания передачи
Передача осуществляется на одном из оснований: (а) исполнение договора с вами (доставка, оплата, возвраты, гарантия); (б) исполнение обязанностей по закону (учёт/отчётность, ответы на законные запросы); (в) согласие (например, маркетинг, необязательные cookie/пиксели, отдельные трансграничные передачи к маркетинговым платформам); (г) законные интересы Оператора в допустимых пределах (антифрод/ИБ, защита прав).
5.3. Договорное поручение обработки и меры защиты
С получателями, которые обрабатывают данные по нашему поручению, мы заключаем договоры, предусматривающие: обработку строго по инструкции, конфиденциальность, запрет на перепоручение без согласия, минимизацию объёма данных, меры ИБ (шифрование при передаче, сегментация, контроль доступа, журналирование), порядок уведомления об инцидентах и возврат/удаление данных по завершении услуг. 5.4. Передача хешированных контактных идентификаторов в рекламные платформы для формирования/исключения аудиторий допускается только при вашем согласии на маркетинговые коммуникации и с применением предусмотренных платформами механизмов защиты. Вы вправе в любой момент отказаться от маркетинга — мы прекратим такие передачи.
5.5. Персональные данные могут передаваться в иные государства (например, при использовании облачных сервисов, международной доставки/платежей или маркетинговых/аналитических платформ), при этом мы:
- обеспечиваем адекватные меры защиты (защищённые каналы, шифрование, договорные обязательства получателя о защите и конфиденциальности);
- осуществляем передачу на основании закона и/или вашего согласия, когда это требуется;
- передаём минимально необходимый объём данных;
- ведём реестр трансграничных передач и по запросу предоставляем информацию о соответствующих странах и категориях получателей.
5.7. В случае реорганизации, продажи бизнеса или иной формы правопреемства персональные данные могут быть переданы правопреемнику при условии соблюдения принципов и мер защиты, указанных в Политике. При необходимости мы уведомим пользователей о таком переходе.
5.8. Мы предоставляем персональные данные госорганам/судам строго в объёме и порядке, предусмотренных законодательством РК, фиксируя правовое основание и факт передачи.
6. Сроки хранения, обезличивание и уничтожение данных6.1. Общее правило. Персональные данные хранятся не дольше, чем это необходимо для заявленных целей обработки и/или сроков, прямо установленных законодательством Республики Казахстан. По достижении цели обработки и/или истечении обязательных сроков хранения данные обезличиваются либо уничтожаются по утверждённым процедурам.
6.2. Хранение в целях бухгалтерского и налогового учёта. Первичные учётные и иные бухгалтерские/налоговые документы (в т.ч. сведения, содержащие ПДн) хранятся в сроки, установленные законодательством РК. Как правило, такие документы сохраняются не менее 5 лет после окончания соответствующего налогового периода, если иные сроки не предусмотрены законом.
6.3. Договорные отношения и претензионная работа. Данные, связанные с заключением и исполнением договора, претензионной и судебной защитой, хранятся в течение срока действия договора, гарантийных/возвратных периодов и общего срока исковой давности (обычно 3 года), а также разумного периода для фиксации и защиты прав после урегулирования спора.
6.4. Клиентская поддержка и переписка. Заявки, переписка с поддержкой, претензии и материалы к ним хранятся в течение срока, необходимого для рассмотрения обращения/спора и доказательственного подтверждения исполнения обязательств. По общему правилу — до завершения урегулирования и истечения применимых сроков исковой давности.
6.5. Маркетинговые рассылки и согласия.
- Данные для рассылок (контакт, факт подписки, предпочтения) — до отзыва согласия либо до прекращения рассылок, с последующим удалением/блокированием.
- Запись самого согласия/отзыва хранится в доказательственных целях разумный срок после отписки (для подтверждения законности рассылок в прошлые периоды).
- Строго необходимые cookie (сессия, корзина, аутентификация) — на срок работы сессии либо в пределах, указанных в настройках cookie.
- Аналитические/маркетинговые идентификаторы — в границах, указанных в баннере и панели настроек cookie, и в любом случае не дольше, чем это обосновано целью и вашими настройками/согласием.
- Технические журналы безопасности и антифрод-события — в разумных сроках, необходимых для расследования инцидентов и защиты прав.
6.8. Если возможно достижение целей обработки без идентификации субъекта, данные переводятся в обезличенное состояние и могут использоваться для статистики, аналитики и улучшения сервиса без возможности обратной идентификации.
6.9. Уничтожение персональных данных осуществляется способами, исключающими восстановление (для электронных носителей — удаление с перезаписью/криптографическим стиранием; для бумажных — механическое уничтожение/утилизация). Факт уничтожения фиксируется актом либо соответствующей записью.
6.10. Исключения и «legal hold». Если на момент наступления срока удаления: (а) идёт проверка/спор/судебное разбирательство, (б) действует требование госоргана о сохранении, (в) не истекли обязательные сроки хранения — данные сохраняются до снятия соответствующих ограничений, после чего подлежат удалению/обезличиванию.
6.11. Актуализация сроков. Конкретные категории сроков хранятся во внутренних реестрах/перечнях обработки. Мы периодически пересматриваем сроки, исходя из принципов минимизации и совместимости целей, и при необходимости обновляем настоящую Политику.
7. Права субъекта персональных данных и порядок их реализации7.1. Ваши права
Вы вправе (в пределах и случаях, установленных законодательством РК):
· получать информацию об обработке ваших персональных данных (цели, состав, источники, способы, сроки хранения, категории получателей, правовые основания);
· требовать уточнения/обновления/исправления персональных данных, если они неполные, устаревшие или недостоверные;
· требовать удаления (уничтожения) или блокирования персональных данных, если их сбор/обработка осуществляется с нарушением требований законодательства или цели обработки достигнуты;
· отозвать согласие (например, на маркетинговые рассылки и необязательные cookie/пиксели) в любой момент;
· ограничить обработку в случаях, предусмотренных законом (например, на период проверки достоверности данных или законности обработки);
· получать сведения о передаче данных третьим лицам и трансграничным получателям в предусмотренных законом пределах;
· обжаловать действия/бездействие Оператора по обработке персональных данных:
а) в уполномоченный государственный орган в сфере защиты персональных данных (обращение через систему e-Otinish),
б) в суд.
7.2. Как подать запрос/обращение
Направьте запрос на basqawear@gmail.com или через форму обратной связи на Сайте с темой письма «Запрос по персональным данным». В запросе укажите:
· ФИО и контакт для ответа (e-mail/телефон);
· суть запроса (доступ/уточнение/удаление/отзыв согласия/ограничение/информация о передаче и т. п.);
· идентификатор(ы), позволяющие нас найти вашу запись (например, номер заказа, контактный e-mail/телефон, указанные при оформлении);
· при обращении представителя — реквизиты доверенности/документа полномочий.
Мы можем запросить минимальные дополнительные сведения для верификации личности (чтобы убедиться, что ответ и изменения вносятся надлежащему лицу).
7.3. Сроки и формат ответа
Мы рассматриваем запросы и отвечаем в сроки, установленные законодательством РК, предоставляя информацию в доступной форме (в том числе электронно). Если запрос требует времени на поиск/проверку/сверку с архивами или задействует наших обработчиков, мы уведомим вас о ходе рассмотрения и предоставим ответ после завершения необходимых процедур.
7.4. Отказ или частичное ограничение ответа
В ответе может быть отказано полностью или частично, если:
· раскрытие затрагивает права и законные интересы третьих лиц;
· информация относится к коммерческой/служебной тайне наших контрагентов и не подлежит раскрытию без их согласия;
· имеются иные законные основания для отказа/ограничения (в т.ч. требования госорганов, режим «legal hold», обязательные сроки хранения, предотвращение мошенничества).
В таких случаях мы укажем правовое основание и объём предоставляемых сведений.
7.5. Отзыв согласия и его последствия
Отказ от маркетинговых рассылок возможен по ссылке в письме/SMS, в настройках Личного кабинета (при наличии) либо через e-mail, указанный выше. Отзыв согласия не влияет на законность обработки, осуществлённой до отзыва, и не препятствует дальнейшей обработке в объёме, необходимом для:
· исполнения договора (оформление/доставка/возврат/гарантия),
· исполнения требований закона (учёт/отчётность, хранение документов),
· защиты прав и законных интересов Оператора и третьих лиц в пределах, допускаемых законодательством.
7.6. Удаление и хранение записей о согласиях
После отзыва согласия мы прекращаем связанную с ним обработку и удаляем/блокируем соответствующие данные, если нет иного правового основания для их сохранения. Сведения о самом факте предоставления/отзыва согласия могут храниться в разумных сроках для подтверждения законности прошлой обработки и соблюдения требований контроля/отчётности.
7.7. Доступ к информации о получателях и трансграничных передачах
По вашему запросу мы предоставим сведения о категориях получателей ваших данных и фактах трансграничной передачи (в пределах, не раскрывающих коммерческую тайну и меры информационной безопасности), а также об используемых мерах защиты.
8. БЕЗОПАСНОСТЬ ДАННЫХ И УВЕДОМЛЕНИЕ ОБ ИНЦИДЕНТАХ8.1. Общий подход и ответственность
Мы обеспечиваем защиту персональных данных от несанкционированного доступа и иных неправомерных действий посредством организационных, технических и физических мер. Назначено ответственное лицо за организацию обработки и обеспечение безопасности персональных данных; сотрудники и подрядчики подписывают обязательства о конфиденциальности и проходят регулярный инструктаж.
8.2. Организационные меры
· утверждены политика ИБ, политика обработки ПДн, регламенты доступа, резервного копирования, реагирования на инциденты;
· принцип минимизации данных и доступов (need-to-know, least privilege); ролевые модели и разграничение прав;
· проверка контрагентов/обработчиков на предмет достаточности мер защиты; договорные обязательства по ПДн и ИБ;
· управление жизненным циклом данных: классификация, сроки хранения, обезличивание/уничтожение;
· обучение персонала (онбординг, ежегодные refresh-курсы, фишинг-симуляции), контроль соблюдения;
· защита коммерческой тайны и ноу-хау; запрет вынесения ПДн на несанкционированные носители.
8.3. Технические меры
· защищённые каналы связи (HTTPS/TLS) для всех пользовательских и межсервисных взаимодействий;
· шифрование данных при передаче и, где обосновано, при хранении; управление ключами;
· хеширование паролей устойчивыми алгоритмами (например, bcrypt/Argon2);
· межсетевое экранирование, WAF/anti-DDoS, антивирус/EDR, ограничение исходящих соединений из прод-среды;
· сегментация среды (prod/test/dev), изоляция секретов, управление секретами и API-ключами;
· регулярное обновление ПО и библиотек (patch management), контроль уязвимостей (сканирование, трекинг CVE), устранение в регламентные сроки;
· централизованное журналирование и мониторинг событий безопасности (SIEM-подход), корреляция и алерты;
· резервное копирование с проверкой восстановления (RPO/RTO), целостность бэкапов, шифрование копий.
8.4. Физическая защита и инфраструктура
Размещение информационных систем — у надёжных провайдеров ДЦ/облака. Доступ к площадкам ограничен (учёт и контроль доступа, видеонаблюдение, журналы посещений); соблюдаются базовые стандарты эксплуатационной надёжности. Документы провайдеров по ИБ предоставляются по запросу в разумных пределах.
8.5. Платёжная безопасность
Оплата производится на защищённых страницах платёжного провайдера. Мы не принимаем и не храним полные реквизиты банковских карт; при опции «сохранить карту» используется токенизация на стороне провайдера по отдельному согласию пользователя.
8.6. Управление доступом и учётными записями
· индивидуальные учётные записи, двухфакторная аутентификация для критичных ролей;
· регламенты выдачи/изменения/отзыва прав, регулярные ревью доступов;
· немедленная блокировка доступа при увольнении/изменении роли;
· ограничение админ-доступов, разделение обязанностей (SoD).
8.7. Поставщики и обработчики
До подключения проводим due diligence: проверка практик ИБ, юрисдикций, договорных гарантий; закрепляем условия обработки ПДн, запрет перепоручения без согласования, меры ИБ, сроки уведомления об инцидентах, возврат/удаление данных по завершении услуг. Передаём только минимально необходимый объём данных.
8.8. Тестирование и аудит
· регулярные внутренние проверки соблюдения Политики;
· плановые сканирования уязвимостей и, по мере необходимости, независимые пентесты;
· устранение выявленных несоответствий в установленные сроки с последующей верификацией.
8.9. Инцидент с персональными данными: понятие и классификация
Инцидентом считается подтверждённый факт нарушения безопасности, повлёкший случайное/незаконное уничтожение, утрату, изменение, несанкционированное раскрытие или доступ к ПДн. Классификация по уровню риска (низкий/средний/высокий) определяется с учётом объёма, категории данных, защищённости, вероятности и тяжести последствий для субъектов.
8.10. Порядок реагирования на инциденты
· Обнаружение и регистрация (алерты мониторинга/сообщения пользователей/партнёров).
· Оценка и классификация (первичный анализ, определение масштаба/рисков).
· Локализация и пресечение (блокирование доступа, отзыв секретов, изоляция узлов).
· Устранение последствий и восстановление (патчи, чистка, восстановление из бэкапов).
· Расследование и фиксация (сохранность артефактов, журналы, таймлайн).
· Отчёт и улучшения (уроки, корректирующие меры, обновление регламентов/контролей).
8.11. О существенных инцидентах, затрагивающих персональные данные, мы уведомляем уполномоченный государственный орган и/или субъектов персональных данных без неоправданной задержки и в порядке, предусмотренном законодательством. Уведомление субъектов может включать: описание инцидента, категории и объём затронутых данных, возможные последствия, принятые меры и рекомендации по защите (например, сменить пароль, отключить сохранённые сессии). Каналы уведомления: e-mail/SMS/сообщение в Личном кабинете/публикация на Сайте — исходя из ситуации и технической возможности.
8.12. Если инцидент произошёл у нашего обработчика/провайдера, он обязан оперативно сообщить нам и содействовать расследованию/устранению; мы координируем уведомления субъектов и, при необходимости, госорганов.
8.13. Мы ведём реестр инцидентов и связанных мероприятий (даты/события, принятые меры, уведомления, выводы), храним материалы расследования в сроки, необходимые для правовой защиты и соблюдения требований закона.
8.14. Сообщить о возможной уязвимости/инциденте можно на basqawear@gmail.com с темой «Security». Просим по возможности включить описание, шаги воспроизведения, скриншоты/логи и контакт для обратной связи.
8.15. Мы не обрабатываем специально-защищаемые категории данных и детские ПДн без согласия законного представителя. При любом сигнале о компрометации таких данных применяются усиленные меры реагирования и оповещения.
8.16. Поддерживается план обеспечения непрерывности и восстановления после сбоев (BCP/DRP) с целевыми показателями RPO/RTO, периодическим тестированием сценариев и актуализацией.