Политика обработки персональных данных

Политика ОсОО «Ап Ту» в отношении обработки и обеспечения защиты информации персонального характера (политика конфиденциальности)

1. Общие положения

1.1. Настоящая Политика проводится ОсОО «Ап Ту» (далее — «Организация») в отношении обработки и обеспечения защиты информации персонального характера физических лиц (субъектов персональных данных) на основании статей 29 и 33 Конституции КР и закона N 58 «Об информации персонального характера».

1.2. Политика применяется в отношении всех персональных данных, которые могут быть получены Организацией в процессе деятельности, в том числе клиентов Организации. Обработка информации персонального характера в Организации осуществляется в соответствии со следующими нормативно-правовыми актами:

• КОДЕКС КР от 4 августа 2004 года N 106 "Трудовой кодекс Кыргызской Республики"
• Закон от 14 апреля 2008 года N 58 «Об информации персонального характера»;
• Закон от 14 июля 2014 года № 136 «О биометрической регистрации граждан Кыргызской Республики»
• ПостановлениеПравительства Кыргызской Республики от 21 ноября 2017 года № 759 «Порядок получения согласия субъекта информации персонального характера на сбор и обработку его персональных данных, порядок и форма уведомления субъектов информации персонального характера о передаче их информации персонального характера третьей стороне»;
• иные нормативные правовые акты Кыргызской Республики инормативные документы исполнительных органов государственной̆ власти.

1.3. Цель Политики заключается в доведении до лиц, предоставляющих свои персональные данные, необходимой информации, позволяющей оценить, какие персональные данные и с какими целями обрабатываются Организацией, какие методы обеспечения их безопасности реализуются, а также установление основных принципов и подходов к обработке и обеспечению безопасности информации персонального характера в Организации.

1.4. Политика обеспечивает защиту прав и свобод субъектов при обработке их информации персонального характера с использованием средств автоматизации или без использования таких средств, а также устанавливает ответственность лиц, имеющих доступ к персональным данным, за невыполнение требований, регулирующих обработку и защиту персональных данных.

1.5. Пользователи, используя сервисы и услуги Организации, сервисы и услуги, размещенные на веб-сайте Организации https://hosting.kg сообщив Организации свои персональные данные, в том числе при посредничестве третьих лиц, признают своё согласие на обработку информации персонального характера в соответствии с настоящей Политикой. В случае несогласия с настоящей Политикой в целом, как и в случае несогласия с каким-либо пунктом настоящей Политики, Пользователь должен воздержаться от использования Сервисов.

Организация получает и начинает обработку информации персонального характера Субъекта с момента получения его согласия. Согласие на обработку информации персонального характера может быть дано Субъектом информации персонального характера в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом информации персонального характера конклюдентных действий при использовании сервисов на веб-сайте Организации https://hosting.kg использовании форм обратной связи и акцепте оферт, содержащих в себе положения об обработке информации персонального характера в соответствии с действующим законодательством и размещенных по ссылкам — https://www.cctld.kg/rus/policy_ru.htm. В случае отсутствия согласия Субъекта информации персонального характера на обработку его персональных данных, такая обработка не осуществляется.

1.6. Согласие на обработку информации персонального характера может быть отозвано субъектом персональных данных. В случае отзыва субъектом информации персонального характера согласия на обработку информации персонального характера оператор вправе продолжить обработку информации персонального характера без согласия субъекта информации персонального характера при наличии оснований, указанных действующим законодательством.

1.7. Настоящая Политика может быть изменена Организацией. Организация имеет право в любое время по своему собственному усмотрению вносить изменения в настоящую Политику без предварительного уведомления Пользователя об этом. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения на веб-сервере, если иное не предусмотрено новой редакцией Политики.

1.8. Настоящая Политика применима только к информации о Пользователе, получаемой в ходе использования Сервисов Организации. Организация не контролирует и не несет ответственности за обработку информации о Пользователе веб-сайтами третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на официальном веб-сервере Организации.

1.9. Понятия, используемые в настоящей политике:

Информация персонального характера (персональные данные) - зафиксированная информация на материальном носителе о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности.

К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном положении, финансовом положении, состоянии здоровья и прочее.

Перечень информации персонального характера- список категорий данных об одном субъекте.

Массив информации персонального характера- любая структурированная совокупность информации персонального характера неопределенного числа субъектов, независимо от вида носителя информации и используемых средств их обработки (архивы, картотеки, электронные базы данных и т.п.).

Общедоступные массивы информации персонального характера- массивы персональных данных, доступ к которым не ограничен законодательством, и предназначенные для общего пользования (справочники, телефонные книги, адресные книги и т.п.).

Режим конфиденциальности информации персонального характера- нормативно установленные правила, определяющие ограничения доступа, передачи, предоставления и условия хранения персональных данных.

Субъект информации персонального характера(субъект) - физическое лицо, к которому относятся соответствующие персональные данные.

Держатель (обладатель) массива информации персонального характера- органы государственной власти, органы местного самоуправления и юридические лица, на которые возложены полномочия определять цели, категории информации персонального характера и контролировать сбор, хранение, обработку и использование информации персонального характера в соответствии с настоящим Законом.

Уполномоченный государственный орган по персональным данным (далее - уполномоченный государственный орган) - государственный орган, уполномоченный Правительством Кыргызской Республики осуществлять функции и полномочия по обеспечению соответствия обработки информации персонального характера требованиям настоящего Закона, защите прав субъектов информации персонального характера(субъектов), регистрации держателей (обладателей) массива персональных данных, ведению Реестра держателей массивов персональных данных, другие задачи, функции и полномочия, предусмотренные настоящим Законом.

Обработчик - физическое или юридическое лицо, определяемое держателем (обладателем) персональных данных, которое осуществляет обработку информации персонального характера на основании заключенного с ним договора.

Получатель информации персонального характера- орган государственной власти или органы местного самоуправления, юридические и физические лица, а также субъект информации персонального характера(субъект), которым передаются и предоставляются персональные данные в соответствии с настоящим Законом.

Сбор информации персонального характера- процедура получения информации персонального характера держателем (обладателем) массива информации персонального характера от субъектов этих данных либо из других источников в соответствии с законодательством Кыргызской Республики.

Обработка информации персонального характера- любая операция или набор операций, выполняемых независимо от способов держателем (обладателем) информации персонального характера либо по его поручению, автоматическими средствами или без таковых, в целях сбора, записи, хранения, актуализации, группировки, блокирования, стирания и разрушения персональных данных.

Согласие субъекта информации персонального характера- выраженное в форме, предусмотренной настоящим Законом, свободное, конкретное, безоговорочное и осознанное волеизъявление лица, в соответствии с которым субъект оповещает о своем согласии на осуществление процедур, связанных с обработкой его персональных данных.

Передача информации персонального характера- предоставление держателем (обладателем) информации персонального характера третьим лицам в соответствии с настоящим Законом и международными договорами.

Трансграничная передача информации персонального характера- передача держателем (обладателем) информации персонального характера держателям, находящимся под юрисдикцией других государств.

Актуализация информации персонального характера- оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными действующим законодательством Кыргызской Республики.

Блокирование информации персонального характера- временное прекращение передачи, уточнения, использования и уничтожения персональных данных.

Уничтожение (стирание или разрушение) информации персонального характера- действия держателя (обладателя) информации персонального характера по приведению этих данных в состояние, не позволяющее восстановить их содержание.

Обезличивание информации персонального характера- изъятие из информации персонального характера той их части, которая позволяет отождествить их с конкретным человеком.

Информационная система информации персонального характера- совокупность содержащихся в базах данных информации персонального характера и обеспечивающих их обработку информационных технологий и технических средств.

 

2. Понятие исостав персональных данных

2.1. В целях настоящей Политики под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту информации персонального характера).

2.2. В зависимости от субъекта персональных данных, Организация для осуществления своей деятельности и для выполнения своих обязательств может обрабатывать персональные данные следующих категорий субъектов:

• информации персонального характера работника Организации, кандидата наработу — информация, необходимая Организации в связи с трудовыми отношениями и касающиеся конкретного работника;
• данные Клиента— информация, необходимая Организации для выполнения своих обязательств в рамках договорных отношений с Клиентом и для выполнения требований законодательства Кыргызской Республики. Сюда также относятся данные, предоставленные потенциальными клиентами, представителями клиентов, уполномоченными представлять клиентов; руководителями и главным бухгалтерами юридических лиц, являющихся клиентами Организации, лицами, заключившими с Организацией гражданско-правовые договоры на оказание услуг Организации; работниками партнеров Организации и других юридических лиц, имеющих договорные отношения с Организацией, с которым взаимодействуют работники Организации в рамках своей деятельности;
• персональные данные Клиента, предоставленные прирегистрации на web-сайте https://hosting.kg в том числе при осуществлении Клиентом Заказов, а также при использовании сервисов, форм связи, размещенных на web-сайте https://hosting.kg;
• персональные данные иных физических лиц, выразивших согласие наобработку Организацией их информации персонального характера или физические лица, обработка информации персонального характера которых необходима Организации для достижения целей, предусмотренных международным договором Кыргызской Республики или законом, для осуществления и выполнения возложенных законодательством Кыргызской Республики на хостинг-провайдера и регистратора доменных имен функций, полномочий и обязанностей;
• персональные данные физических лиц, которые сделаны ими общедоступными, аих обработка не нарушает их прав и соответствует требованиям, установленным Законодательством об информации персонального характера.

2.3. Субъект персональных данных, подпадающий в перечень лиц указанных в п. 2.2, клиент организации дает согласие на обработку следующих персональных данных: фамилии, имени, отчества; даты рождения; почтовых адресов (по месту регистрации и для контактов); номере основного документа, удостоверяющего личность Заказчика, сведений о дате выдачи указанного документа и выдавшем его органе; номерах телефонов; номерах факсов; адресах электронной почты (E-mail).

3. Основания ицели обработки персональных данных

3.1. Организация обрабатывает персональные данные для осуществления своей деятельности, в том числе для оказания Клиентам услуг. Организация вправе:

• осуществлять возложенные наОрганизацию законодательством Кыргызской Республики функции в соответствии с законом N 58 «Об информации персонального характера» и иными законами и нормативными правовыми актами КР, а также Уставом и нормативными актами Организации;
• Организация собирает ихранит персональные данные Клиента, необходимые для оказания услуг, исполнения соглашений и договоров, исполнения обязательств перед Клиентом.

3.2. Организация обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:

• обработка информации персонального характера осуществляется ссогласия субъекта информации персонального характера на обработку его персональных данных;
• обработка информации персонального характера необходима длядостижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством КР на оператора функций, полномочий и обязанностей;
• обработка информации персонального характера необходима дляисполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта информации персонального характера или договора, по которому субъект информации персонального характера будет являться выгодоприобретателем или поручителем;
• обработка информации персонального характера необходима дляосуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта информации персонального характера;
• осуществляется обработка информации персонального характера, доступ неограниченного круга лиц ккоторым предоставлен субъектом информации персонального характера либо по его просьбе;
• осуществляется обработка информации персонального характера, подлежащих опубликованию илиобязательному раскрытию в соответствии с законом.

3.3. Организация и иные лица, получившие доступ к информации персонального характера, обязаны не раскрывать третьим лицам и не распространять информацию персонального характера без согласия субъекта информации персонального характера, если иное не предусмотрено законом.

3.4. Организация может обрабатывать информацию персонального характера субъектов информации персонального характера в следующих целях:

• дляидентификации субъекта информации персонального характера;
• дляосуществления возможности регистрации и обслуживания доменного имени;
• длясвязи с субъектом информации персонального характера в случае необходимости, в том числе направление предложений, уведомлений, информации и запросов, как связанных, так и не связанных с оказанием услуг, а также обработка заявлений, запросов и заявок Клиента;
• улучшение качества услуг, оказываемых Организацией.

3.5. Обработка специальных категорий Персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Организацией не осуществляется.

3.6. Правовыми основаниями обработки информации персонального характера являются следующие правовые акты:

• Закон КР от 2 апреля 1998 года N 31 "Об электрической и почтовой связи";
• Закон от 19 июля 2017 года № 127 «Об электронном управлении»
• Уставные документы Организации;
• Договоры, заключаемые между Организацией иКлиентами в соответствии с имеющимися лицензиями Организации;
• иные акты, принятые уполномоченными государственными органами иорганизациями, регулирующие деятельность провайдеров, а также регистратора доменных имен в КР.

 

4. Принципы обработки информации персонального характера

4.1. Обработка информации персонального характера Организацией осуществляется на основе принципов:

• законности целей испособов Обработки информации персонального характера;
• добросовестности Организацией, какоператора информации персонального характера, что достигается путем выполнения требований законодательства Кыргызской Республики в отношении Обработки информации персонального характера;
• соответствия состава иобъема обрабатываемых информации персонального характера, а также способов Обработки Информации персонального характера заявленным целям Обработки;
• точности идостаточности, а в необходимых случаях и актуальности Информации персонального характера по отношению к заявленным целям их Обработки;
• уничтожения Информации персонального характера подостижении целей Обработки способом, исключающим возможность их восстановления;
• недопустимости объединения баз данных содержащих информацию персонального характера, обработка которой осуществляется вцелях, несовместимых между собой.

4.2. Работники Организации, допущенные к Обработке информации персонального характера, обязаны:

• Знать инеукоснительно выполнять положения:
  — законодательства Кыргызской Республики в области информации персонального характера, настоящей Политики;
  — локальных актов Организации по вопросам Обработки и обеспечения безопасности информации персонального характера;
• Обрабатывать информацию персонального характера только врамках выполнения своих должностных обязанностей;
• Неразглашать информацию персонального характера, обрабатываемые в Организации;
• Сообщать одействиях других лиц, которые могут привести к нарушению положений настоящей Политики;
• Сообщать обизвестных фактах нарушения требований настоящей Политики Ответственному за организацию Обработки информации персонального характера в Организации.

4.3. Безопасность информации персонального характера в Организации обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности информации персонального характера, минимизацию возможного ущерба.

5. Сроки обработки персональных данных

5.1. Сроки обработки информации персонального характера определяются исходя из целей обработки в информационных системах Организации, в соответствии со сроком действия договора, соглашения с субъектом персональных данных.

5.2. Условием прекращения обработки информации персонального характера может являться достижение целей обработки информации персонального характера согласно условиям заключенных между Организацией и субъектом информации персонального характера договором, истечение срока действия согласия или отзыв согласия субъекта информации персонального характера на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

6. Круг лиц, допущенных кобработке информации персонального характера

6.1. Для достижения целей статьи 3 настоящей Политики к обработке информации персонального характера допущены только те сотрудники Организации, на которых возложена такая обязанность в соответствии с их служебными (трудовыми) обязанностями. Доступ других сотрудников может быть предоставлен только в предусмотренных законом случаях. Организация требует от своих сотрудников соблюдения конфиденциальности и обеспечения безопасности персональных данных, при их обработке.

6.2. Организация вправе передать персональные данные третьим лицам в следующих случаях:
— Субъект информации персонального характера явно выразил свое согласие на такие действия;
— Передача предусмотрена национальным или иным применимым законодательством в рамках установленной законодательством процедуры.

При этом к приобретателю переходят все обязательства по соблюдению условий настоящей Политики применительно к полученным им данным.

6.3. По мотивированному запросу уполномоченного органа и согласно действующему законодательству персональные данные субъекта без его согласия могут быть переданы:

• всвязи с осуществлением правосудия в судебные органы;
• ворганы внутренних дел, ГКНБ, прокуратуры;
• виные уполномоченные действующим законодательством и применимыми нормами права органы и организации в случаях, установленных в нормативно-правовых актах, обязательных для исполнения оператором.

7. 
   Порядок иметоды обработки информации персонального характера

7.1. В процессе предоставления услуг, при осуществлении внутрихозяйственной деятельности Организация использует автоматизированную и неавтоматизированную обработку информации персонального характера.

7.2. Организация вправе поручить Обработку Информации персонального характера другому лицу с согласия Субъекта Персональных данных, если иное не предусмотрено законодательством КР, на основании заключаемого с этим лицом договора, обязательным условием которого является соблюдение этим лицом принципов и правил Обработки Персональных данных, предусмотренных Законом «Об информации персонального характера».

7.3. Персональные данные не раскрываются третьим лицам и не распространяются иным образом без согласия Субъекта информации персонального характера, если иное не предусмотрено законодательством КР.

7.4. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов) получают доступ к информации персонального характера, обрабатываемой в Организации, в объеме и порядке, установленном законодательством КР.

7.5. В рамках обработки информации персонального характера для Субъекта информации персонального характера и Организации определены следующие права.

7.5.1. Субъект информации персонального характера имеет право:

• получать информацию, касающуюся обработки его персональных данных, впорядке, форме и сроки, установленные Законодательством об информации персонального характера;
• требовать уточнения своей информации персонального характера, ее Блокирования илиУничтожения в случае, если информация персонального характера является неполной, устаревшей, недостоверной, незаконно полученной, не является необходимой для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении Субъектом информации персонального характера согласия на обработку персональных данных;
• заключить с Организацией Соглашение о приватном режиме доступа к информации персонального характера клиента
• принимать предусмотренные законом меры позащите своих прав;
• отозвать свое согласие наобработку персональных данных.

7.5.2. Организация имеет право:

• обрабатывать персональные данные Субъекта информации персонального характера всоответствии с заявленной целью;
• требовать отСубъекта информации персонального характера предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных Законодательством о персональных данных;
• ограничить доступ Субъекта информации персонального характера кего персональным данным в случае, если Обработка информации персонального характера осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ Субъекта информации персонального характера к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством КР;
• обрабатывать общедоступные персональные данные физических лиц;
• осуществлять обработку персональных данных, подлежащих опубликованию илиобязательному раскрытию в соответствии с законодательством КР;
• поручить обработку информации персонального характера другому лицу ссогласия Субъекта персональных данных.

7.6. В случае подтверждения факта неточности информации персонального характера или неправомерности их обработки, информация персонального характера подлежит актуализации оператором, а обработка должна быть прекращена.

7.7. При достижении целей обработки информации персонального характера, а также в случае отзыва субъектом информации персонального характера согласия на ее обработку информация персонального характера подлежат уничтожению, если:

• иное непредусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект информации персонального характера;
• Организация невправе осуществлять обработку без согласия субъекта информации персонального характера на основаниях, предусмотренных законодательством КР;
• иное непредусмотрено иным соглашением между Организацией и субъектом информации персонального характера.

7.8. Организация обязана сообщить субъекту информации персонального характера или его представителю информацию об осуществляемой им обработке информации персонального характера такого субъекта по запросу последнего.

7.9. Организация также обладает иными правами и несет иные обязанности, установленные законом «Об информации персонального характера».

8. Реализация защиты персональных данных

8.1. Деятельность Организации по обработке информации персонального характера в информационных системах неразрывно связана с защитой Организацией конфиденциальности полученной информации. Все работники Организации обязаны обеспечивать конфиденциальность персональных данных, а также об иных сведениях, установленных Организацией, если это не противоречит действующему законодательству КР.

8.2. Безопасность информации персонального характера при ее обработке в информационных системах Организации обеспечивается с помощью системы защиты информации.

Обеспечение безопасности обрабатываемых информации персонального характера осуществляется Организацией в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, составляющей коммерческую тайну, с учетом требований Законодательства об информации персонального характера, принятых в соответствии с ним нормативных правовых актов.

8.3. Обмен информацией персонального характера при ее обработке в информационных системах осуществляется по каналам связи, защищенным техническими средства защиты информации.

8.4. При обработке информации персонального характера в информационных системах Организации обеспечиваются:

• проведение мероприятий, направленных напредотвращение несанкционированного доступа к информации персонального характера и (или) передача ее лицам, не имеющим права доступа к такой информации;
• своевременное обнаружение фактов несанкционированного доступа кинформации персонального характера;
• недопущение воздействия натехнические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
• возможность незамедлительного восстановления информации персонального характера, модифицированной иуничтоженной вследствие несанкционированного доступа к ней;
• постоянный контроль уровня защищенности информации персонального характера.
• назначение должностных лиц, ответственных заорганизацию обработки и защиты информации персонального характера;
• ограничение состава лиц, имеющих доступ кинформации персонального характера;
• ознакомление субъектов стребованиями законодательства и нормативных документов Организации по обработке и защите информации персонального характера;
• производится ознакомление сотрудников Организации, осуществляющих обработку информации персонального характера, c требованиями законодательства КР обинформации персонального характера, локальными актами по вопросам обработки информации персонального характера.