Назад

Политика ОсОО «ОМКГ» в отношении сбора, обработки персональных данных

Политика ОсОО «ОМКГ» в отношении сбора, обработки персональных данных

Оглавление
Редакция от 21 ноября 2022 г.

1. Назначение и область действия документа #

1.1. Политика ОсОО «ОМКГ» (ИНН 01907202210127, 720005, Кыргызская Республика, город Бишкек, Первомайский район, улица Игембердиева, 1А) (далее по тексту также — «Общество») в отношении обработки персональных данных (далее по тексту также — «Политика») определяет позицию и намерения Общества в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Политика также направлена на ознакомление субъектов, предоставляющих свои персональные данные, с необходимой информацией (с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также информировании об ином возможном использовании их персональных данных Обществом).

1.2. Политика неукоснительно исполняется руководителями и работниками всех структурных подразделений, филиалов и представительств Общества.

1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с применением средств автоматизации и без применения таких средств.

1.4. К настоящей Политике имеет доступ любой субъект персональных данных, в том числе с использованием сети «Интернет».

1.5. Общество периодически актуализирует настоящую Политику и вправе в одностороннем порядке в любой момент изменять её условия. Общество рекомендует регулярно проверять содержание настоящей Политики на предмет её возможных изменений.

Если иное не предусмотрено Политикой, все вносимые в неё изменения вступают в силу с даты, указанной в Политике.

1.6. Цель издания настоящей Политики заключается в доведении до лиц, предоставляющих свои персональные данные, необходимой информации, позволяющей оценить, какие персональные данные и с какими целями обрабатываются Обществом, какие методы обеспечения их безопасности реализуются, а также установление основных принципов и подходов к обработке и обеспечению безопасности информации персонального характера в Организации.

1.7. Во всем ином, что не предусмотрено настоящей Политикой, Общество руководствуется положениями действующего законодательства Кыргызской Республики.

2. Термины #

2.1. Информация персонального характера (персональные данные) — зафиксированная информация на материальном носителе о конкретном человеке, отождествлённая с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности (биографические и опознавательные данные, личные характеристики, сведения о семейном положении, финансовом положении, состоянии здоровья и прочее).

2.2. Сбор персональных данных — процедура получения персональных данных держателем (обладателем) массива персональных данных от субъектов этих данных либо из других источников в соответствии с законодательством Кыргызской Республики.

2.3. Обработка персональных данных — любая операция или набор операций, выполняемых независимо от способов держателем (обладателем) персональных данных либо по его поручению, автоматическими средствами или без таковых, в целях сбора, записи, хранения, актуализации, группировки, блокирования, стирания и разрушения персональных данных.

2.4. Субъект персональных данных — физическое лицо, к которому относятся соответствующие персональные данные.

2.5. Держатель (обладатель) массива персональных данных — органы государственной власти, органы местного самоуправления и юридические лица, на которые возложены полномочия определять цели, категории персональных данных и контролировать сбор, хранение, обработку и использование персональных данных в соответствии с настоящим Законом. Для целей настоящей Политики Общество, обрабатывая персональные данные, является держателем (обладателем) массива персональных данных, если иное прямо не указано в Политике.

2.6. Обработчик — физическое или юридическое лицо, определяемое держателем (обладателем) персональных данных, которое осуществляет обработку персональных данных на основании заключённого с ним договора.

2.7. Массив персональных данных — любая структурированная совокупность персональных данных неопределенного числа субъектов, независимо от вида носителя информации и используемых средств их обработки (архивы, картотеки, электронные базы данных и т.п.).

2.8. Прочие термины используются в настоящей Политике в соответствии со значениями, определяемыми действующим законодательством Кыргызской Республики, если иное прямо не указано в Политике.

3. Порядок и условия обработки персональных данных #

3.1. Под безопасностью персональных данных Общество понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.

3.2. Обработка и обеспечение безопасности персональных данных в Обществе осуществляется в соответствии с требованиями Конституции Кыргызской Республики, Закона Кыргызской Республики № 58 «Об информации персонального характера», подзаконных актов, других определяющих случаи и особенности обработки персональных данных законов Кыргызской Республики, а также руководящих и методических документов уполномоченных государственных органов Кыргызской Республики.

3.3. При обработке персональных данных Общество придерживается следующих принципов:

  • законности и справедливости;
  • ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
  • недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
  • недопущения объединения массивов персональных данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;
  • недопущения избыточности обрабатываемых персональных данных по отношению к заявленным целям обработки;
  • обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных, а также принятия мер по уничтожению или обновлению неполных или неточных данных;
  • прозрачности обработки персональных данных: субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
  • осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
  • обеспечение защищенности массивов персональных данных от незаконных доступов, внесений дополнений, изменений и уничтожений.

3.4. Общество обрабатывает персональные данные на следующих условиях:

Цель обработки персональных данных Категории субъектов персональных данных Категории и перечень персональных данных
Для заключения и исполнения договоров с участием субъектов персональных данных в качестве сторон, выгодоприобретателей или поручителей по таким договорам, включая, но не ограничиваясь, предоставление возможности использовать сервисы и продукты Общества. Стороны, выгодоприобретатели или поручители по договорам, включая, но не ограничиваясь, пользователей сервисов и продуктов Общества, физических лиц, оказывающих услуги Обществу.
  • Гражданство.
  • ФИО.
  • Пол.
  • Дата и место рождения.
  • Данные документов, удостоверяющих личность.
  • Адрес регистрации по месту жительства и адрес фактического проживания.
  • Контактная информация (номер телефона, факса, адрес электронной почты, почтовый адрес).
  • Банковские реквизиты.
  • Реквизиты доверенностей.
  • Идентификационный номер налогоплательщика.
  • Индивидуальный страховой номер.
  • Регистрационный номер и прочие данные, содержащиеся в открытых (публичных) государственных и муниципальных реестрах (при наличии).
  • Сведения о транспортных средствах.
    		•
    Для оформления и регулирования трудовых отношений Общества с субъектами персональных данных и иных непосредственно связанных с ними отношений, в том числе для исполнения обязательств и реализации прав сторон в рамках трудовых договоров между ними, включая, но не ограничиваясь, для расчёта и выплаты заработной платы, направления субъектов персональных данных в командировки, для обеспечения безопасности субъектов персональных данных, Общества и третьих лиц, для контроля количества и качества выполняемой работы и обеспечения сохранности имущества субъектов персональных данных, Общества и третьих лиц, для получения субъектами персональных данных различных гарантий и льгот и т.д.
  • Работники Общества.
  • Близкие родственники работников Общества.
  • Бывшие работники Общества.
  • Кандидаты на замещение вакантных должностей Общества.
    		•
  • Гражданство.
  • ФИО.
  • Пол.
  • Дата и место рождения.
  • Данные документов, удостоверяющих личность.
  • Сведения, содержащиеся в документах миграционного учёта.
  • Адрес регистрации по месту жительства и адрес фактического проживания.
  • Контактная информация (номер телефона, факса, адрес электронной почты, почтовый адрес).
  • Данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации и иные аналогичные данные.
  • Семейное положение, сведения о составе семьи и близких родственниках, которые могут понадобиться Обществу, в том числе, но не ограничиваясь, для предоставления работнику льгот, предусмотренных трудовым и налоговым законодательством Кыргызской Республики.
  • Сведения о воинском учёте и сведения, содержащиеся в документах воинского учёта.
  • Сведения, содержащиеся в трудовой книжке, сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы.
  • Идентификационный номер налогоплательщика.
  • Индивидуальный страховой номер.
  • Банковские реквизиты.
  • Информация о приёме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника у Общества.
  • Сведения о доходах у Общества.
  • Сведения о деловых и иных личных качествах, носящие оценочный характер.
  • Биографические сведения.
  • Сведения о временной нетрудоспособности и о состоянии здоровья.
  • Фото- и видеоизображения.
    • Для соблюдения и исполнения требований действующего законодательства Кыргызской Республики, включая, не ограничиваясь, осуществление бухгалтерского и налогового учёта, организацию документооборота и архивного хранения, направление соответствующих сведений в государственные органы, исполнение требований и предписаний государственных органов, исполнение судебных актов, рассмотрение претензий правообладателей и обращений субъектов персональных данных и т.д.
  • Стороны, выгодоприобретатели или поручители по договорам, включая, но не ограничиваясь, пользователей сервисов и продуктов Общества, физических лиц, оказывающих услуги Обществу.
  • Представители контрагентов, государственных органов, субъектов персональных данных и третьих лиц.
  • Посетители территории Общества.
  • Работники Общества.
  • Близкие родственники работников Общества.
  • Бывшие работники Общества.
  • Кандидаты на замещение вакантных должностей Общества.
  • Иные субъекты персональных данных, каким-либо образом взаимодействующие с Обществом в рамках заявленной цели.
  • Гражданство.
  • ФИО.
  • Пол.
  • Дата и место рождения.
  • Данные документов, удостоверяющих личность.
  • Сведения, содержащиеся в документах миграционного учёта.
  • Адрес регистрации по месту жительства и адрес фактического проживания.
  • Контактная информация (номер телефона, факса, адрес электронной почты, почтовый адрес).
  • Банковские реквизиты.
  • Реквизиты доверенностей.
  • Идентификационный номер налогоплательщика.
  • Индивидуальный страховой номер.
  • Регистрационный номер и прочие данные, содержащиеся в открытых (публичных) государственных и муниципальных реестрах (при наличии).
  • Сведения о транспортных средствах.
  • Данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации и иные аналогичные данные.
  • Семейное положение, сведения о составе семьи и близких родственниках, которые могут понадобиться Обществу, в том числе, но не ограничиваясь, для предоставления работнику льгот, предусмотренных трудовым и налоговым законодательством Кыргызской Республики.
  • Сведения о воинском учёте и сведения, содержащиеся в документах воинского учёта.
  • Сведения, содержащиеся в трудовой книжке, сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы.
  • Информация о приёме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника у Общества.
  • Сведения о доходах у Общества.
  • Биографические сведения.
  • Сведения о временной нетрудоспособности и о состоянии здоровья.

    • 3.5. Общество обрабатывает персональные данные только при наличии хотя бы одного из условий ниже в течение следующих сроков:

    Правовое основание обработки персональных данных Срок обработки и хранения персональных данных
    С согласия субъекта персональных данных на обработку его персональных данных. В течение срока, на который было дано согласие на обработку персональных данных.
    Для защиты интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно. До момента, когда получение согласия субъекта персональных данных станет возможным или когда соответствующие основания, угрожающие интересам, отпадут (в зависимости от того, какое обстоятельство наступит раньше).
    Для осуществления прав и законных интересов Держателя (обладателя) персональных данных. В течение срока, необходимого для осуществления прав и обеспечения законных интересов.
    Конкретный срок определяется Обществом с учётом положений настоящей Политики, внутренних документов и локальных нормативных актов Общества, а также принципов обработки персональных данных и требований действующего законодательства Кыргызской Республики, в том числе в части прекращения обработки персональных данных при достижении конкретных, заранее определённых и законных целей такой обработки.

    3.6. Общество вправе поручить обработку персональных данных третьим лицам — обработчикам — на основании заключаемых с этими лицами договоров. К таким лицам, в частности, относятся поставщики услуг, которые помогают Обществу в его деятельности: поставщики услуг хостинга, контактного центра по работе с клиентами и т.д.

    3.7. В случаях, установленных законодательством Кыргызской Республики, Общество вправе осуществлять передачу персональных данных третьим лицам, в том числе без поручения таким лицам обработки персональных данных.

    3.8. Если иное не предусмотрено законодательством Кыргызской Республики, Общество прекращает обработку персональных данных (в отношении любой из заявленных выше целей) и уничтожает их в случаях:

    • ликвидации Общества;
    • реорганизации Общества, влекущей прекращение его деятельности;
    • установления неправомерности сбора персональных данных;
    • отпадения правовых оснований обработки персональных данных, и/или достижения целей обработки персональных данных, и/или минованию надобности в них.

    Конкретный порядок уничтожения персональных данных на носителях, содержащих персональные данные, в том числе внешних/съёмных электронных носителях, бумажных носителях и в информационных системах персональных данных, определяются Обществом в своих внутренних документах и локальных нормативных актах.

    3.9. Общество при осуществлении обработки персональных данных:

    • принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Кыргызской Республики, внутренних документов и локальных нормативных актов Общества в области персональных данных;
    • принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
    • назначает лицо, ответственное за организацию обработки персональных данных в Обществе;
    • издает внутренние документы, определяющие политику Общества в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Кыргызской Республики, устранение последствий таких нарушений;
    • осуществляет ознакомление работников Общества, его филиалов, представительств и структурных подразделений, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Кыргызской Республики, внутренних документов и локальных нормативных актов Общества в области персональных данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
    • проводит регулярные обязательные тренинги для своих работников по вопросам персональных данных;
    • осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства Кыргызской Республики и принятым в соответствии с ним нормативным правовым актам, иным требованиям к защите персональных данных, настоящей Политике, внутренним документам и локальным нормативным актам Общества в области персональных данных;
    • публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
    • прекращает обработку персональных данных и уничтожает их в случаях, предусмотренных законодательством Кыргызской Республики;
    • совершает иные действия, предусмотренные законодательством Кыргызской Республики в области персональных данных.

    4. Права субъекта персональных данных #

    Лицо, персональные данные которого обрабатываются Обществом, имеет:

    • право на отзыв ранее данного им согласия на обработку персональных данных;
    • право на получение информации, касающейся обработки персональных данных;
    • право требовать уточнения своих персональных данных, их блокирования или уничтожения, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки, а также требовать прекращения обработки персональных данных, если цель такой обработки достигнута Обществом или минованию надобности в них.

    Если иной порядок взаимодействия Общества и субъекта персональных данных не предусмотрен соответствующим документом между ними (например, договором или текстом согласия на обработку персональных данных), для реализации указанных прав субъекту персональных данных необходимо направить Обществу заявление в письменной форме и подписанное собственноручной подписью по адресу: 720005, Кыргызская Республика, город Бишкек, Первомайский район, улица Игембердиева, 1А.

    Такое заявление должно в обязательном порядке содержать описание требований субъекта персональных данных, а также следующие сведения:

    • ФИО субъекта персональных данных;
    • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе ЛИБО иные данные, позволяющие однозначно идентифицировать субъекта персональных данных;
    • сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, ЛИБО сведения, иным способом подтверждающие факт обработки персональных данных Обществом;
    • подпись субъекта персональных данных или его представителя.

    Субъект персональных данных также вправе обжаловать действия (бездействия) и решения Общества, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных и в суд в порядке, установленном законодательством Кыргызской Республики.

    5. Сведения о реализуемых требованиях к защите персональных данных #

    Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Общество регулярно пересматривает и актуализирует принимаемые меры для обеспечения наилучшей защищенности обрабатываемых персональных данных — такие меры описываются в настоящей Политике, внутренних документах и локальных нормативных актах Общества.

    К таким мерам, в частности, относится:

    • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
    • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
    • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
    • обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
    • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных;
    • контроль за принимаемыми мерами по обеспечению безопасности персональных данных;
    • учёт машинных носителей персональных данных;
    • организация пропускного и внутриобъектового режимов на территории Общества;
    • размещение технических средств обработки персональных данных в пределах охраняемой территории;
    • поддержание технических средств охраны, сигнализации в постоянной готовности;
    • проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных.