Редакция от 21 ноября 2022 г.
1. Назначение и область действия документа #
1.1. Политика ОсОО «ОМКГ» (ИНН 01907202210127, 720005, Кыргызская Республика, город Бишкек, Первомайский район, улица Игембердиева, 1А) (далее по тексту также — «Общество») в отношении обработки персональных данных (далее по тексту также — «Политика») определяет позицию и намерения Общества в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Политика также направлена на ознакомление субъектов, предоставляющих свои персональные данные, с необходимой информацией (с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также информировании об ином возможном использовании их персональных данных Обществом).
1.2. Политика неукоснительно исполняется руководителями и работниками всех структурных подразделений, филиалов и представительств Общества.
1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с применением средств автоматизации и без применения таких средств.
1.4. К настоящей Политике имеет доступ любой субъект персональных данных, в том числе с использованием сети «Интернет».
1.5. Общество периодически актуализирует настоящую Политику и вправе в одностороннем порядке в любой момент изменять её условия. Общество рекомендует регулярно проверять содержание настоящей Политики на предмет её возможных изменений.
Если иное не предусмотрено Политикой, все вносимые в неё изменения вступают в силу с даты, указанной в Политике.
1.6. Цель издания настоящей Политики заключается в доведении до лиц, предоставляющих свои персональные данные, необходимой информации, позволяющей оценить, какие персональные данные и с какими целями обрабатываются Обществом, какие методы обеспечения их безопасности реализуются, а также установление основных принципов и подходов к обработке и обеспечению безопасности информации персонального характера в Организации.
1.7. Во всем ином, что не предусмотрено настоящей Политикой, Общество руководствуется положениями действующего законодательства Кыргызской Республики.
2. Термины #
2.1. Информация персонального характера (персональные данные) — зафиксированная информация на материальном носителе о конкретном человеке, отождествлённая с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности (биографические и опознавательные данные, личные характеристики, сведения о семейном положении, финансовом положении, состоянии здоровья и прочее).
2.2. Сбор персональных данных — процедура получения персональных данных держателем (обладателем) массива персональных данных от субъектов этих данных либо из других источников в соответствии с законодательством Кыргызской Республики.
2.3. Обработка персональных данных — любая операция или набор операций, выполняемых независимо от способов держателем (обладателем) персональных данных либо по его поручению, автоматическими средствами или без таковых, в целях сбора, записи, хранения, актуализации, группировки, блокирования, стирания и разрушения персональных данных.
2.4. Субъект персональных данных — физическое лицо, к которому относятся соответствующие персональные данные.
2.5. Держатель (обладатель) массива персональных данных — органы государственной власти, органы местного самоуправления и юридические лица, на которые возложены полномочия определять цели, категории персональных данных и контролировать сбор, хранение, обработку и использование персональных данных в соответствии с настоящим Законом. Для целей настоящей Политики Общество, обрабатывая персональные данные, является держателем (обладателем) массива персональных данных, если иное прямо не указано в Политике.
2.6. Обработчик — физическое или юридическое лицо, определяемое держателем (обладателем) персональных данных, которое осуществляет обработку персональных данных на основании заключённого с ним договора.
2.7. Массив персональных данных — любая структурированная совокупность персональных данных неопределенного числа субъектов, независимо от вида носителя информации и используемых средств их обработки (архивы, картотеки, электронные базы данных и т.п.).
2.8. Прочие термины используются в настоящей Политике в соответствии со значениями, определяемыми действующим законодательством Кыргызской Республики, если иное прямо не указано в Политике.
3. Порядок и условия обработки персональных данных #
3.1. Под безопасностью персональных данных Общество понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.
3.2. Обработка и обеспечение безопасности персональных данных в Обществе осуществляется в соответствии с требованиями Конституции Кыргызской Республики, Закона Кыргызской Республики № 58 «Об информации персонального характера», подзаконных актов, других определяющих случаи и особенности обработки персональных данных законов Кыргызской Республики, а также руководящих и методических документов уполномоченных государственных органов Кыргызской Республики.
3.3. При обработке персональных данных Общество придерживается следующих принципов:
- законности и справедливости;
- ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
- недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- недопущения объединения массивов персональных данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;
- недопущения избыточности обрабатываемых персональных данных по отношению к заявленным целям обработки;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных, а также принятия мер по уничтожению или обновлению неполных или неточных данных;
- прозрачности обработки персональных данных: субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
- осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
- обеспечение защищенности массивов персональных данных от незаконных доступов, внесений дополнений, изменений и уничтожений.
3.4. Общество обрабатывает персональные данные на следующих условиях:
Цель обработки персональных данных | Категории субъектов персональных данных | Категории и перечень персональных данных |
---|---|---|
Для заключения и исполнения договоров с участием субъектов персональных данных в качестве сторон, выгодоприобретателей или поручителей по таким договорам, включая, но не ограничиваясь, предоставление возможности использовать сервисы и продукты Общества. | Стороны, выгодоприобретатели или поручители по договорам, включая, но не ограничиваясь, пользователей сервисов и продуктов Общества, физических лиц, оказывающих услуги Обществу. |
|
Для оформления и регулирования трудовых отношений Общества с субъектами персональных данных и иных непосредственно связанных с ними отношений, в том числе для исполнения обязательств и реализации прав сторон в рамках трудовых договоров между ними, включая, но не ограничиваясь, для расчёта и выплаты заработной платы, направления субъектов персональных данных в командировки, для обеспечения безопасности субъектов персональных данных, Общества и третьих лиц, для контроля количества и качества выполняемой работы и обеспечения сохранности имущества субъектов персональных данных, Общества и третьих лиц, для получения субъектами персональных данных различных гарантий и льгот и т.д. |
|
|
Для соблюдения и исполнения требований действующего законодательства Кыргызской Республики, включая, не ограничиваясь, осуществление бухгалтерского и налогового учёта, организацию документооборота и архивного хранения, направление соответствующих сведений в государственные органы, исполнение требований и предписаний государственных органов, исполнение судебных актов, рассмотрение претензий правообладателей и обращений субъектов персональных данных и т.д. |
|
|
3.5. Общество обрабатывает персональные данные только при наличии хотя бы одного из условий ниже в течение следующих сроков:
Правовое основание обработки персональных данных | Срок обработки и хранения персональных данных |
---|---|
С согласия субъекта персональных данных на обработку его персональных данных. | В течение срока, на который было дано согласие на обработку персональных данных. |
Для защиты интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно. | До момента, когда получение согласия субъекта персональных данных станет возможным или когда соответствующие основания, угрожающие интересам, отпадут (в зависимости от того, какое обстоятельство наступит раньше). |
Для осуществления прав и законных интересов Держателя (обладателя) персональных данных. | В течение срока, необходимого для осуществления прав и обеспечения законных интересов. Конкретный срок определяется Обществом с учётом положений настоящей Политики, внутренних документов и локальных нормативных актов Общества, а также принципов обработки персональных данных и требований действующего законодательства Кыргызской Республики, в том числе в части прекращения обработки персональных данных при достижении конкретных, заранее определённых и законных целей такой обработки. |
3.6. Общество вправе поручить обработку персональных данных третьим лицам — обработчикам — на основании заключаемых с этими лицами договоров. К таким лицам, в частности, относятся поставщики услуг, которые помогают Обществу в его деятельности: поставщики услуг хостинга, контактного центра по работе с клиентами и т.д.
3.7. В случаях, установленных законодательством Кыргызской Республики, Общество вправе осуществлять передачу персональных данных третьим лицам, в том числе без поручения таким лицам обработки персональных данных.
3.8. Если иное не предусмотрено законодательством Кыргызской Республики, Общество прекращает обработку персональных данных (в отношении любой из заявленных выше целей) и уничтожает их в случаях:
- ликвидации Общества;
- реорганизации Общества, влекущей прекращение его деятельности;
- установления неправомерности сбора персональных данных;
- отпадения правовых оснований обработки персональных данных, и/или достижения целей обработки персональных данных, и/или минованию надобности в них.
Конкретный порядок уничтожения персональных данных на носителях, содержащих персональные данные, в том числе внешних/съёмных электронных носителях, бумажных носителях и в информационных системах персональных данных, определяются Обществом в своих внутренних документах и локальных нормативных актах.
3.9. Общество при осуществлении обработки персональных данных:
- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Кыргызской Республики, внутренних документов и локальных нормативных актов Общества в области персональных данных;
- принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- назначает лицо, ответственное за организацию обработки персональных данных в Обществе;
- издает внутренние документы, определяющие политику Общества в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Кыргызской Республики, устранение последствий таких нарушений;
- осуществляет ознакомление работников Общества, его филиалов, представительств и структурных подразделений, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Кыргызской Республики, внутренних документов и локальных нормативных актов Общества в области персональных данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
- проводит регулярные обязательные тренинги для своих работников по вопросам персональных данных;
- осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства Кыргызской Республики и принятым в соответствии с ним нормативным правовым актам, иным требованиям к защите персональных данных, настоящей Политике, внутренним документам и локальным нормативным актам Общества в области персональных данных;
- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
- прекращает обработку персональных данных и уничтожает их в случаях, предусмотренных законодательством Кыргызской Республики;
- совершает иные действия, предусмотренные законодательством Кыргызской Республики в области персональных данных.
4. Права субъекта персональных данных #
Лицо, персональные данные которого обрабатываются Обществом, имеет:
- право на отзыв ранее данного им согласия на обработку персональных данных;
- право на получение информации, касающейся обработки персональных данных;
- право требовать уточнения своих персональных данных, их блокирования или уничтожения, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки, а также требовать прекращения обработки персональных данных, если цель такой обработки достигнута Обществом или минованию надобности в них.
Если иной порядок взаимодействия Общества и субъекта персональных данных не предусмотрен соответствующим документом между ними (например, договором или текстом согласия на обработку персональных данных), для реализации указанных прав субъекту персональных данных необходимо направить Обществу заявление в письменной форме и подписанное собственноручной подписью по адресу: 720005, Кыргызская Республика, город Бишкек, Первомайский район, улица Игембердиева, 1А.
Такое заявление должно в обязательном порядке содержать описание требований субъекта персональных данных, а также следующие сведения:
- ФИО субъекта персональных данных;
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе ЛИБО иные данные, позволяющие однозначно идентифицировать субъекта персональных данных;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, ЛИБО сведения, иным способом подтверждающие факт обработки персональных данных Обществом;
- подпись субъекта персональных данных или его представителя.
Субъект персональных данных также вправе обжаловать действия (бездействия) и решения Общества, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных и в суд в порядке, установленном законодательством Кыргызской Республики.
5. Сведения о реализуемых требованиях к защите персональных данных #
Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Общество регулярно пересматривает и актуализирует принимаемые меры для обеспечения наилучшей защищенности обрабатываемых персональных данных — такие меры описываются в настоящей Политике, внутренних документах и локальных нормативных актах Общества.
К таким мерам, в частности, относится:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных;
- учёт машинных носителей персональных данных;
- организация пропускного и внутриобъектового режимов на территории Общества;
- размещение технических средств обработки персональных данных в пределах охраняемой территории;
- поддержание технических средств охраны, сигнализации в постоянной готовности;
- проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных.