Уведомление о защите данных для студентов и абитуриентов
Настоящее уведомление устанавливает порядок обработки персональных данных лиц, подающих заявление на обучение или обучающихся в филиале Кардиффского университета в Астане, Казахстан.
Это уведомление может периодически обновляться для обеспечения постоянного соответствия действующему законодательству и отражения лучших практик.
Для исключения недоразумений уточняется, что данное уведомление является совместным документом от имени Кардиффского университета и Кардиффского университета Казахстана. В тех случаях, когда в тексте используется собирательное обозначение («мы», «нас» и т. д.), оно относится к обеим сторонам.
Все упоминания «Кардиффского университета» в данном уведомлении относятся к Кардиффскому университету, расположенному в Великобритании (регистрационный номер благотворительной организации — 136855).
Юридические роли сторон
Кардиффский университет является Оператором в соответствии с Законом Республики Казахстан «О персональных данных и их защите» № 94-V от 21 мая 2013 года (с изменениями) (далее — «Закон Республики Казахстан о защите персональных данных») и совместным контролёром (Joint Controller) в рамках Общего регламента Великобритании по защите данных (UK GDPR) (в совокупности с Законом о защите данных 2018 года — далее «Закон Великобритании о защите данных»).
Оператор определяет цели и средства обработки персональных данных и несёт ответственность за обеспечение их защиты.
Кардиффский университет Казахстан является Владельцем (Owner) и Обработчиком (Processor) в соответствии с Законом Республики Казахстан о защите персональных данных, а также совместным контролёром в рамках UK GDPR.
Владелец отвечает за базу данных, находящуюся на территории Казахстана и содержащую персональные данные, и несёт основную ответственность за то, чтобы сбор, обработка и защита данных осуществлялись в соответствии с законом.
Обе стороны несут юридическую ответственность за обработку ваших персональных данных в соответствии с обоими законодательствами о защите данных.
Для выполнения своих функций и обязательств в связи с вашим обучением нам необходимо собирать, хранить, анализировать и в отдельных случаях раскрывать ваши персональные данные.
Мы собираем информацию о вас на этапах запроса, подачи заявления и зачисления, чтобы ответить на ваш запрос, обработать участие в мероприятиях, рассмотреть ваше заявление, администрировать процесс обучения, предоставлять услуги и присваивать квалификации.
Некоторые данные также используются для целей анализа и мониторинга.
Кардиффский университет зарегистрирован в Управлении уполномоченного по вопросам информации (ICO) в качестве контролёра данных (Data Controller) для обработки персональных данных.
Регистрационный номер: Z6549747.
Персональная информация, которую мы собираем, и источники её получения
Ниже приведён перечень типов персональных данных, которые собираются и обрабатываются на различных этапах — от первоначального запроса и подачи заявления до зачисления и на протяжении всего периода вашего обучения в Университете:
- Идентификационные данные, включая имя, дату рождения, пол и гражданство;
- ИИН (индивидуальный идентификационный номер Казахстана) и номер студенческого билета;
- Информация о квалификациях, уже полученных и находящихся в процессе получения, включая подтверждающие документы (декларацию о проверке квалификации, сведения о степени и соответствующий опыт работы);
- Контактные данные;
- Паспортные данные или данные национального удостоверения личности (включая скан-копию);
- Фотография студента*;
- Информация о посещаемости университета (включая данные о приостановлении обучения или отчислении);
- Информация об инвалидности или других медицинских состояниях;
- Сведения об исключительных обстоятельствах — серьёзных и чрезвычайных ситуациях, имевших место непосредственно до или во время проведения оценочных мероприятий;
- Данные о предоставляемой поддержке — академической, финансовой, психологической или иной, в том числе касающейся психического здоровья и благополучия;
- Информация о дисциплинарных мерах или иных официальных/неофициальных разбирательствах;
- Уровень владения английским языком (имеющаяся квалификация), необходимость прохождения теста, даты и результаты его сдачи;
- Результаты рассмотрения заявления (предложение о зачислении или отказ);
- Информация о финансировании обучения, включая сведения об оплате, намерение подать заявку на стипендию и данные о стипендии (в том числе результаты Единого национального теста);
- Результаты экзаменов и оценочных мероприятий, полученные в период обучения в университете;
- Записи о согласии родителей или законных представителей (для студентов младше 18 лет на обучение или проживание);
- Контактная информация в социальных сетях;
- Любые запросы, направленные вами в университет;
- Бронирование мероприятий, осуществлённое вами;
- Информация о курсах, вызывающих ваш интерес;
- Предпочтения по получению маркетинговых сообщений.
Данные категории персональных данных включают также специальные категории данных, такие как информация, собираемая для обеспечения равных возможностей — например, этническая принадлежность, религиозные убеждения или сексуальная ориентация. Дополнительная информация о таких данных предоставляется по запросу в соответствующем политическом документе университета.
Мы можем получать ваши персональные данные как непосредственно от вас, так и от других лиц или сторонних организаций. Например:
- данные могут передаваться между Кардиффским университетом и Кардиффским университетом Казахстана;
- информация может поступать от вашего агента, сопровождающего процесс подачи заявления;
- данные могут быть получены из паспорта или иных удостоверений личности (например, водительского удостоверения);
- сведения могут быть извлечены из документов, заполненных вами при зачислении, а также в ходе собеседований, встреч или оценочных процедур;
- университет также хранит информацию, предоставленную третьими лицами, например рекомендательные письма.
*Ваша фотография используется, когда это необходимо, для целей идентификации в рамках законной деятельности университета и размещается на студенческом удостоверении личности.
Наши правовые основания и цели обработки ваших персональных данных
В соответствии с Законом Республики Казахстан о персональных данных и их защите основным и, по сути, единственным законным основанием для сбора и обработки персональных данных является согласие субъекта данных.
Кардиффский университет Казахстан всегда обрабатывает ваши персональные данные на основании вашего согласия.
В той мере, в какой положения Закона Республики Казахстан о защите персональных данных применимы к обработке персональных данных, осуществляемой Кардиффским университетом (в Великобритании), университет также обрабатывает такие персональные данные на основании вашего согласия, чтобы обеспечить соответствие казахстанскому законодательству о защите данных.
Получаемое от вас согласие включает все обязательные положения, предусмотренные Законом Республики Казахстан о защите персональных данных.
Это согласие действительно с даты его подписания и остаётся в силе на протяжении всего периода обучения студента, а также в течение шести лет после его завершения, если более длительный срок хранения не требуется по закону или не обоснован законными целями (например, архивирование основной студенческой записи или подтверждение факта обучения).
Что касается Общего регламента по защите данных Великобритании (UK GDPR), цели и соответствующие правовые основания, на которых Кардиффский университет может обрабатывать ваши персональные данные, приведены ниже (однако, учитывая сложность взаимоотношений между университетом и студентами, данный перечень не является исчерпывающим).
| Цель обработки | Правовое основание |
| Опыт студента | |
| Администрирование вашего обучения включает в себя: • Запросы и обращения • Бронирование и посещение мероприятий • Подачу заявлений • Зачисление • Оценку, продвижение и присуждение квалификаций • Вопросы поведения, жалобы, апелляции и пересмотры решений • Посещаемость и вовлечённость в учебный процесс • Финансовую информацию, например: оплату обучения, финансирование, спонсорство | Статья 6(1)(е) — обработка данных необходима для выполнения задачи, осуществляемой в целях общественного интереса, или при осуществлении официальных полномочий, возложенных на Кардиффский университет («публичная задача»). |
| Производство и, при необходимости, распространение научных и учебных материалов (включая запись учебных занятий и предоставление онлайн-обучения). | Статья 6(1)(е) — Публичная задача |
| Обеспечение доступа к университетским объектам и их безопасности (включая библиотечные и ИТ-сервисы). | Статья 6(1)(е) — Публичная задача |
| Рассмотрение и предоставление поддержки в связи с инвалидностью или необходимостью медицинских адаптаций. | Статья 6(1)(с) — обработка необходима для выполнения юридического обязательства, которому подчиняется Кардиффский университет («юридическое обязательство»). |
| Поддержка благополучия студентов и оказание пастырской помощи (при наличии соответствующих служб). | Статья 6(1)(е) — Публичная задача Статья 6(1)( е) — обработка необходима для достижения законных интересов Кардиффского университета или третьей стороны, но только в случаях, когда такая обработка не относится к основной публичной функции университета, не является необоснованной и не оказывает негативного влияния на ваши права, свободы или законные интересы («законные интересы»). |
| Предоставление поддержки и возможностей (включая подтверждение присуждённой квалификации) для улучшения перспектив вашего дальнейшего образования и карьеры. | Статья 6(1)(е) — Публичная задача |
| Для выполнения обязательств или потребностей университета. | |
| Исполнение установленных законом обязанностей по предоставлению информации внешним организациям или в ситуациях, связанных с угрозой жизни (см. раздел «Передача информации третьим лицам» для получения дополнительных сведений). | Статья 6(1)(c, d и e) — • Юридическое обязательство • Жизненно важные интересы • Публичная задача |
| Соблюдение законодательных требований, например, в области охраны труда и техники безопасности или иммиграционного законодательства. | Статья 6(1)(c) — Юридическое обязательство. |
| Разработка и поддержание программы для выпускников (alumni programme). | Статья 6(1)(f) — Законный интерес. |
| Подготовка управленческой статистики и проведение внутренних исследований эффективности учебных программ. | Статья 6(1)(е) — Публичная задача |
| Внутренний и внешний аудит. | Статья 6(1)(c) — Юридическое обязательство. |
| Предоставление вам консультаций и информации по вашему запросу, например, через социальные сети. Дополнительная информация о том, как обрабатываются ваши данные при обращении за консультацией через сайт Кардиффского университета, доступна в уведомлении о конфиденциальности на веб-сайте Кардиффского университета. | Статья 6(1)(a) — Согласие. |
| Маркетинг | |
| Связаться с вами, чтобы предоставить дополнительную информацию, которая, по нашему мнению, может представлять для вас интерес, исходя, по возможности, из курса (курсов), на которые вы подали заявление. | Статья 6(1)(f) — Законный интерес. |
| Отслеживать эффективность маркетинговых материалов путём анализа открытых писем, возвратов и переходов по ссылкам (3). | Статья 6(1)(f) — Законный интерес. |
| Создание «похожих аудиторий» (lookalike audiences) с целью показа рекламы пользователям с аналогичными характеристиками на таких платформах, как Facebook, Instagram, X (ранее Twitter), Snapchat или TikTok. Вы можете изменить свои предпочтения, воспользовавшись настройками конфиденциальности на этих сайтах. (3) | Статья 6(1)(f) — Законный интерес. |
| Время от времени — другие виды деятельности, относящиеся к законной деловой деятельности университета и не нарушающие ваши права и свободы (3). | Статья 6(1)(f) — Законный интерес. |
Передача информации третьим лицам
Кардиффский университет и Кардиффский университет Казахстан регулярно обмениваются данными друг с другом для целей, указанных в начале данного уведомления (включая администрирование вашего заявления, обучения, предоставляемых услуг и присуждения квалификаций). Такой обмен осуществляется в соответствии с требованиями о трансграничной и ограниченной международной передаче данных, установленными как Законом Республики Казахстан о защите персональных данных, так и Законом Великобритании о защите данных.
Информация также будет передаваться Товариществу с ограниченной ответственностью “Cardiff University Kazakhstan Holdings Limited” (“Холдинговая компания”), являющемуся одним из учредителей Кардиффского университета Казахстан. В рамках своей управленческой и надзорной роли Холдинговая компания может получать информацию или участвовать в обсуждении отдельных вопросов, связанных с образовательной, финансовой и административной деятельностью. Кроме того, отдельные сотрудники Холдинговой компании могут быть задействованы на определённых этапах академических процессов — например, при участии в приёмной комиссии или в процедуре выпуска (Graduation).
Мы также можем передавать соответствующие персональные данные о вас другим внешним организациям. Этот список не является исчерпывающим, и любые раскрытия информации будут осуществляться в строгом соответствии с законодательством Великобритании и Казахстана о защите персональных данных, при этом ваши интересы и права будут всегда учитываться и защищаться.
| Раскрытие информации | Подробности |
| Общественный фонд Qualified Centre of Education (QCEF) | Поскольку QCEF является соучредителем университета, исполнительный орган Кардиффского университета Казахстан несёт ответственность перед QCEF за все аспекты своей деятельности, включая определённые категории данных студентов. |
| Потенциальные работодатели или образовательные учреждения, к которым вы обратились. | Для подтверждения ваших квалификаций. |
| Правительственные органы Великобритании и государственные учреждения, выполняющие функции по предупреждению и раскрытию преступлений, взиманию налогов и сборов либо обеспечению национальной безопасности. | С целью обеспечения оценки, начисления, выплаты и взимания соответствующих налогов или пособий. Для оказания содействия полиции или иным уполномоченным государственным органам. Такая передача осуществляется только в случае необходимости и с учётом ваших прав и свобод. |
| Государственные органы Республики Казахстан. | К ним относятся: • Местные исполнительные органы (акиматы); • Министерство науки и высшего образования; • Министерство обороны (в части воинского учёта); • Министерство внутренних дел (особенно в отношении иностранных студентов); • а также иные уполномоченные органы, действующие в соответствии с требованиями законодательства Республики Казахстан. |
| Поставщики услуг по проверке на плагиат. | В соответствии с договором, заключённым с поставщиком услуг (например, Turnitin), для обеспечения соблюдения академических стандартов. |
| Поставщик сторонних услуг. | Когда университет заключает договор с поставщиком услуг для содействия в эффективной организации своей деятельности (например, для предоставления административной поддержки при обработке заявлений). Эти организации обязаны по договору обеспечивать безопасность ваших данных и использовать их исключительно в соответствии с указаниями Кардиффского университета. |
Срок хранения вашей информации
Кардиффский университет будет хранить ваши персональные данные в соответствии со своими политиками по хранению данных. Ознакомиться с Политикой управления записями (Records Management Policy) и Графиком хранения записей (Records Retention Schedules) можно на официальном сайте университета.
Подход Кардиффского университета Казахстан к хранению данных будет соответствовать требованиям законодательства Республики Казахстан в области защиты персональных данных.
Основная студенческая запись о вашем обучении будет сохраняться на постоянной основе. Подробности о том, какая информация входит в этот основной архив, приведены в разделе 3.6 Графика хранения записей по администрированию и поддержке студентов (Student Administration and Support Records Retention Schedule).
Безопасность вашей информации
И Закон Республики Казахстан о защите персональных данных, и Закон Великобритании о защите данных обязывают нас обеспечивать надёжную защиту вашей информации в базах данных, поддерживаемых в обеих странах. Это означает, что:
- будет соблюдаться конфиденциальность вашей информации;
- будут предприняты все необходимые меры для предотвращения несанкционированного доступа и разглашения данных;
- доступ к персональным данным будет предоставлен только тем сотрудникам, которым он необходим для выполнения служебных обязанностей.
Электронные данные о вас будут защищены паролями и другими средствами безопасности, а бумажные документы — храниться в помещениях с контролируемым доступом.
Подробнее ознакомиться с подходом Кардиффского университета к информационной безопасности можно в разделе Information Security Framework и Information Security Policies на сайте университета.
Кардиффский университет Казахстан также внедрит соответствующие технические и организационные меры безопасности в соответствии с казахстанским законодательством и отраслевыми лучшими практиками.
Некоторые операции по обработке данных могут выполняться от имени университета сторонними организациями, заключившими соответствующие договоры.
Такие организации обязаны обрабатывать персональные данные строго в соответствии с законодательством о защите данных и только для целей, определённых университетом.
Ваши права в области защиты данных
Права в соответствии с законодательством Великобритании о защите данных
В соответствии с Законом Великобритании о защите данных вы имеете ряд прав, включая право запросить копию ваших персональных данных, которые хранятся у университета. Чтобы узнать больше о ваших правах и порядке их реализации, вы можете посетить веб-страницу университета «Ваши права на защиту данных» (Your data protection rights).
Права в соответствии с Законом Республики Казахстан о персональных данных
Согласно Закону Республики Казахстан «О персональных данных и их защите», субъекты персональных данных обладают следующими правами:
• получать информацию или разъяснения относительно обработки своих персональных данных;
• требовать прекращения обработки, если персональные данные являются неточными или не соответствуют заявленным целям обработки;
• устанавливать условие предварительного согласия на обработку персональных данных в маркетинговых целях;
• обращаться в уполномоченный орган по защите прав субъектов персональных данных;
• осуществлять иные права, предусмотренные законодательством Республики Казахстан;
• отзывать согласие на обработку персональных данных только в случаях, предусмотренных законодательством Республики Казахстан.
Ограничение права на отзыв согласия
Следует учитывать, что субъект персональных данных имеет право отозвать ранее данное согласие на сбор и обработку своих персональных данных, за исключением случаев, прямо указанных в пункте 2 статьи 8 Закона Республики Казахстан «О персональных данных и их защите».
Согласие не может быть отозвано, если:
- обработка данных требуется для архивных целей в соответствии с законодательством Республики Казахстан, включая долговременное хранение академических записей;
- данные необходимы для подтверждения академических достижений, наград или признаний, полученных студентом;
- это необходимо для подтверждения факта незавершённого обучения (например, академический отпуск, отчисление или добровольный уход);
- субъект персональных данных имеет неисполненные обязательства перед оператором данных, включая, но не ограничиваясь, договорными обязательствами по договору об обучении.
В таких случаях оператор данных продолжает обработку персональных данных до достижения заявленных целей либо до истечения срока хранения, установленного законодательством Республики Казахстан.
Передача информации за пределы Великобритании и Казахстана
Регулярная передача данных между Кардиффским университетом и Кардиффским университетом Казахстан осуществляется в строгом соответствии с требованиями законодательства обеих стран в части трансграничной передачи персональных данных.
В некоторых случаях данные могут храниться в Казахстане — Кардиффским университетом Казахстан или его контрагентами, в соответствии с казахстанскими законами о защите и безопасности информации.
Информация, хранящаяся Кардиффским университетом, размещается на защищённых серверах или облачных системах в Великобритании или в странах, обеспечивающих достаточный уровень защиты данных, например, в государствах Европейской экономической зоны (ЕЭЗ).
Однако в некоторых случаях данные могут храниться вне этих территорий, и тогда университет проводит оценку рисков передачи данных, чтобы убедиться, что приняты надлежащие меры защиты вашей конфиденциальности.
В таких случаях могут устанавливаться договорные обязательства для получателей данных, если иные механизмы защиты отсутствуют. Также применяются технические меры, такие как шифрование.
Как задать вопрос, выразить обеспокоенность или подать жалобу
Если у вас есть вопросы, сомнения или жалобы относительно того, как Кардиффский университет обрабатывает ваши данные, вы можете связаться с Офицером по защите данных (Data Protection Officer). Контактная информация, а также сведения о Информационном комиссаре (Information Commissioner’s Office) доступны на странице университета Data Protection.
Если ваши вопросы касаются обработки данных Кардиффским университетом Казахстан, вы можете обратиться к представителю по защите данных — Талгату Жусипбеку, по адресу: ZhussipbekT@cardiff.edu.kz
Если вы хотите воспользоваться правом на обжалование, вы можете обратиться в Министерство искусственного интеллекта и цифрового развития Республики Казахстан:
info@mdai.gov.kz
www.egov.kz