ПОЛОПОЛОЖЕНИЕ
об обработке персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее положение об обработке персональных данных (далее - Политика) разработана во исполнение норм Цифрового кодекса Кыргызской Республики и определяет правовые и организационные основания сбора, обработки, хранения и уничтожения персональных данных ОсОО «Мирэй Клиник» (далее - Владелец/Обработчик).
1.2. Настоящее положение направлена на обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных и распространяется на все операции с персональными данными, совершаемые Владельцем/Обработчиком, как в автоматизированном режиме, так и без него.
2. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ
2.1. Субъекты персональных данных имеют право:
2.1.1. на полную информацию об их персональных данных, обрабатываемых Владельцем/Обработчиком;
2.1.2. на доступ к их персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренным Цифровым кодексом Кыргызской Республики;
2.1.3. на уточнение их персональных данных, их блокирование или уничтожение в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
2.1.4. на принятие предусмотренных законом мер по защите своих прав, в том числе обращение в уполномоченный государственный орган по персональным данным;
2.1.5. на осуществление иных прав, предусмотренных законодательством Кыргызской Республики.
2.2. Субъекты персональных данных обязаны:
2.2.1. предоставлять Владельцу/Обработчику только достоверные данные о себе;
2.2.2. предоставлять документы, содержащие персональные данные в объеме, необходимом для цели обработки;
2.2.3. сообщать Владельцу/Обработчику об уточнении (обновлении, изменении) своих персональных данных.
3. ПРАВА И ОБЯЗАННОСТИ ВЛАДЕЛЬЦА/ОБРАБОТЧИКА
3.1. Владелец /Обработчик имеет право:
3.1.1. получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
3.1.2. уточнять предоставленные субъектом персональные данные.
3.2. Владелец /Обработчик обязан:
3.2.1. обрабатывать персональные данные в соответствии с требованиями Цифрового кодекса Кыргызской Республики.
3.2.2. рассматривать обращения субъекта персональных данных по вопросам обработки персональных данных и давать ответы в срок, не превышающий 7 дней с момента подачи заявления;
3.2.3. предоставлять субъекту персональных данных возможность безвозмездного доступа к его персональным данным;
3.2.4. принимать меры по актуализации персональных данных в связи с обращением субъекта персональных данных;
3.2.5. организовывать защиту персональных данных в соответствии с требованиями законодательства Кыргызской Республики.
3.2.6. Владелец/обработчик собирает, использует и охраняет персональные данные, которые предоставляет субъект персональных данных при коммуникации в любой форме, в соответствии с настоящей Политикой и законодательством Кыргызской Республики.
4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Владелец/Обработчик обрабатывает персональные данные следующих субъектов персональных данных:
4.1.1. Работники Общества (в том числе бывшие сотрудники и кандидаты на замещение вакантных должностей).
4.1.2. Клиенты - физические лица, получающие услуги Общества.
4.1.3. Представители и сотрудники контрагентов (партнеров, поставщиков, подрядчиков).
4.1.4. Посетители объекта (лица, временно находящиеся на территории Общества, включая лиц, зарегистрированных в системе пропускного режима и видеонаблюдения).
4.1.5. Посетители веб-сайта Владельца/Обработчика.
4.1.6. Иные субъекты персональных данных, с которыми у Общества возникают правоотношения в рамках осуществления его деятельности, на законных основаниях.
4.2. К персональным данным, обрабатываемым Владельцем/Обработчиком, относятся:
4.2.1. фамилия, имя, отчество;
4.2.2. дата и место рождения;
4.2.3. адрес места жительства и/или регистрации;
4.2.4. паспортные данные либо иные данные документа, удостоверяющего личность;
4.2.5. контактные данные (телефон, адрес электронной почты и др.);
4.2.6. сведения о семейном положении и составе семьи (при необходимости);
4.2.7. сведения о трудовой деятельности (образование, профессия, квалификация, опыт работы, трудовой стаж, занимаемая должность);
4.2.8. идентификационный номер налогоплательщика, персональный идентификационный номер (ПИН) и иные реквизиты, предусмотренные законодательством;
4.2.9. данные, связанные с использованием информационных систем и ресурсов Общества (логины, IP-адреса, учетные записи, идентификаторы устройств и т.п.);
4.2.10. фотографии и видеоматериалы (в том числе записи с систем видеонаблюдения и пропускного режима)
4.2.11. иные персональные данные, обработка которых необходима для достижения законных и заранее определенных целей Владельца/Обработчика, в соответствии с требованиями законодательства Кыргызской Республики.
4.3. Владелец обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
4.4. Обработка специальных категорий персональных данных, раскрывающих расовое или этническое происхождение, национальную принадлежность, политические взгляды, религиозные или философские убеждения, а также касающихся состояния здоровья и интимной жизни, Владельцем/Обработчиком не осуществляется / осуществляется в строгом соответствии со статьей 71 Цифрового кодекса Кыргызской Республики.
4.5. Перечни персональных данных и категории субъектов персональных данных могут быть пересмотрены Владельцем с обязательным закреплением изменений в настоящей Политике и уведомлением субъектов персональных данных любым доступным способом (официальный сайт, объявление, пуш-уведомление, направление сообщения на электронную почту и т.д.).
5. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Цели обработки персональных данных:
5.1.1. заключение, исполнение и прекращение трудовых договоров с сотрудниками.
5.1.2. исполнение договорных обязательств с клиентами и контрагентами.
5.1.3. ведение бухгалтерского, налогового и статистического учета.
5.1.4. обеспечение пропускного и внутриобъектового режима (учёт посещений, видеонаблюдение).
5.1.5. организация и обеспечение расчетов по заработной плате, выплатам и иным начислениям.
5.1.6. исполнение обязанностей, возложенных законодательством Кыргызской Республики (например, предоставление сведений в государственные органы).
5.1.7. обеспечение информационной и экономической безопасности организации.
5.1.8. организация делопроизводства и архивного хранения документов.
5.1.9. проведение маркетинговых и аналитических мероприятий (только при наличии согласия субъекта персональных данных).
5.1.10. иные цели, прямо предусмотренные законом или согласованные с субъектом персональных данных.
6. ПОРЯДОК СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Сбор персональных данных осуществляется исключительно в целях, предусмотренных настоящей Политикой и законодательством Кыргызской Республики.
6.2. Владелец/Обработчик обязан получать персональные данные непосредственно от субъекта или на основании его письменного согласия, за исключением случаев, прямо установленных законом.
6.3. Перед сбором данных субъект персональных данных уведомляется о:
6.3.1. наименовании и адресе владельца/обработчика;
6.3.2. целях, объёме и правовых основаниях обработки;
6.3.3. сроках хранения и порядке уничтожения;
6.3.4. правах субъекта персональных данных.
6.4. Сбор персональных данных осуществляется с соблюдением принципов законности, минимизации объёма, достоверности и соразмерности целей обработки.
7. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Правовыми основаниями обработки персональных данных Владельцем/Обработчиком являются:
7.1.1. Конституция Кыргызской Республики;
7.1.2. Трудовой кодекс Кыргызской Республики;
7.1.3. Гражданский кодекс Кыргызской Республики;
7.1.4. Цифровой кодекс Кыргызской Республики;
7.1.5. Закон Кыргызской Республики "О средствах массовой информации";
7.1.6. Иные НПА;
7.1.7. Уставные документы Владельца/Обработчика;
7.1.8. Договоры, заключаемые между Владельцем/Обработчиком и субъектами персональных данных;
7.1.9. Согласие субъектов персональных данных на обработку персональных данных.
8. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Обработка персональных данных Владельцем/Обработчиком осуществляется следующими способами:
8.1.1. Смешанный (бумажный/электронный) способ.
8.2. Обработка персональных данных совершаемая Владельцем/Обработчиком включает в себя любые операции или набор операций, выполняемых независимо от способов, автоматическими средствами или без таковых, в целях сбора, записи, хранения, актуализации, группировки, блокирования, стирания и разрушения персональных данных.
8.3. Обработка персональных данных осуществляется Владельцем/Обработчиком при условии получения согласия субъекта персональных данных (далее - Согласие), за исключением установленных законодательством случаев, когда обработка персональных данных может осуществляться без такого Согласия.
8.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает его в письменной форме на бумажном носителе либо в форме электронного документа, подписанного в соответствии с законодательством Кыргызской Республики электронной подписью.
8.5. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, актуализация персональных данных, а также выявление неправомерной обработки персональных данных.
8.6. Владелец/Обработчик для достижения целей обработки при наличии согласия субъекта персональных данных вправе передавать персональные данные третьим лицам при условии, что на получателя данных возлагается обязанность соблюдения режима конфиденциальности этих данных.
8.7. Владелец/Обработчик при обработке персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных на доступ к персональным данным
8.9. В случае подтверждения факта недостоверности персональных данных или неправомерности их обработки персональные данные подлежат актуализации, блокированию либо уничтожению в зависимости от законности их сбора, хранения и обработки таких персональных данных Владельцем/Обработчиком, или их обработка должна быть прекращена соответственно.
8.10. По фактам недостоверности персональных данных или неправомерности их обработки субъект персональных данных имеет право обратиться непосредственно в адрес Владельца, либо в Уполномоченный государственный орган по персональным данным.
8.11. По письменному запросу субъекта персональных данных Владелец/Обработчик обязан сообщить информацию об осуществляемой им обработке персональных данных с отражением следующей информации:
8.11.1. подтверждение факта обработки персональных данных Владельцем/Обработчиком;
8.11.2. правовые основания и цели обработки персональных данных;
8.11.3. цели и применяемые Владельцем/Обработчиком способы обработки персональных данных;
8.11.4. наименование и место нахождения Владельца, сведения о лицах (за исключением работников владельца, которые имеют доступ к персональным данным или которым могут быть переданы персональные данные на основании договора с Владельцем массива персональных данных или на основании закона;
8.11.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
8.11.6. сроки обработки персональных данных, в том числе сроки их хранения;
8.11.7. порядок осуществления субъектом персональных данных своих прав по вопросам актуализации, блокирования и уничтожения персональных данных;
8.11.8. информацию об осуществленной или о предполагаемой трансграничной передаче данных.
8.12. Если субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
8.13. По истечении срока хранения и достижении целей сбора персональных данных они подлежат уничтожению в течение двух недель. Уничтожение подтверждается актом, копия которого может быть вручена субъекту персональных данных по его письменному запросу.
8.14. При обработке персональных данных Владельцем персональных записей и обработчик обязаны:
8.14.1. исключить доступ посторонних лиц к оборудованию, используемому для обработки персональных данных (контроль за доступом);
8.14.2. препятствовать самовольному чтению, копированию, изменению или выносу носителей данных (контроль за пользованием носителями данных);
8.14.3. препятствовать самовольной записи персональных данных и изменению или уничтожению записанных персональных данных (контроль за записью) и обеспечивать возможность установления задним числом когда, кем и какие персональные данные были изменены;
8.14.4. обеспечить безопасность систем обработки данных, предназначенных для переноса персональных данных независимо от средств передачи данных (контроль за средствами передачи данных);
8.14.5. обеспечить, чтобы каждый пользователь системы обработки данных имел доступ только к тем персональным данным, к обработке которых он имеет допуск (контроль за допуском);
8.14.6. обеспечить возможность установления задним числом когда, кем и какие персональные данные вводились в систему обработки данных (контроль за вводом);
8.14.7. не допускать несанкционированного чтения, копирования, изменения и уничтожения персональных данных при передаче и транспортировке персональных данных (транспортный контроль);
8.14.8. обеспечить конфиденциальность информации, полученной при обработке персональных данных.
8.14.9. обеспечить выполнение установленных Правительством Кыргызской Республики требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
8.14.10. вести учет машинных носителей персональных данных;
8.14.11. обеспечить восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
9. ПОРЯДОК ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено законодательством Кыргызской Республики.
9.2. Персональные данные подлежат хранению на бумажных и (или) электронных носителях с применением мер защиты, предусмотренных законодательством.
9.3. Хранение данных осуществляется:
9.3.1. до достижения целей обработки;
9.3.2. до истечения сроков, установленных законодательством, договором или согласием субъекта.
9.4. Владелец/Обработчик обеспечивает:
9.4.1. защиту персональных данных от утраты, искажения, несанкционированного доступа;
9.4.2. ограничение доступа к базам данных только уполномоченным лицам;
9.4.3. ведение учета носителей и журналов доступа;
9.4.4. регулярное резервное копирование и шифрование данных (при автоматизированной обработке).
10. ПОРЯДОК ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Владелец персональных записей вправе передавать эти данные другому владельцу персональных записей без согласия субъекта персональных данных в случаях:
10.1.1. крайней необходимости для защиты интересов субъекта персональных данных;
10.1.2. по запросу органов государственной власти, органов местного самоуправления, если запрашиваемый перечень персональных данных соответствует полномочиям запрашивающего органа;
10.1.3. на основании законодательства Кыргызской Республики.
10.2. Владелец персональных записей обязан информировать субъект персональных данных об осуществленной передаче его персональных данных третьей стороне в любой форме в недельный срок.
10.3. При передаче персональных данных на получателя данных возлагается обязанность соблюдения режима конфиденциальности этих данных.
10.4. При трансграничной передаче персональных данных владелец персональных записей, находящийся под юрисдикцией Кыргызской Республики, передающий данные, исходит из наличия международного договора между сторонами, согласно которому получающая сторона обеспечивает адекватный уровень защиты прав и свобод субъектов персональных данных и охраны персональных данных, установленный в Кыргызской Республике.
10.5. Передача персональных данных в страны, не обеспечивающие адекватный уровень защиты прав и свобод субъектов персональных данных, может иметь место при условии:
10.5.1. согласия субъекта персональных данных на эту передачу;
10.5.2. если передача необходима для защиты интересов субъекта персональных данных;
10.5.3. если персональные данные содержатся в общедоступном массиве персональных данных.
10.6. При передаче персональных данных по глобальной информационной сети (Интернет и т.п.) владелец персональных записей, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, соблюдая при этом конфиденциальность информации.
11. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Уничтожение (стирание или разрушение) персональных данных - действия владельца персональных записей по приведению этих данных в состояние, не позволяющее восстановить их содержание.
11.2. Уничтожение (удаление) персональных данных осуществляется:
11.2.1. при достижении целей обработки;
11.2.2. при отзыве согласия субъектом;
11.2.3. при выявлении неправомерной обработки или по решению суда либо уполномоченного органа.
11.3. Процедура уничтожения включает:
11.3.1. составление Акта об уничтожении персональных данных с указанием основания, даты, ответственных лиц и способа уничтожения;
11.3.2. применение безопасных способов: физическое уничтожение бумажных носителей, удаление электронных данных с невозможностью восстановления.
11.4. Срок уничтожения - не позднее 14 календарных дней с даты наступления основания.
11.5. Копия Акта может быть предоставлена субъекту по его письменному запросу.
12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
12.1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям Цифрового кодекса Кыргызской Республике.
12.2. Владелец/Обработчик имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения в свободном доступе для возможности ознакомления с условием обязательного предварительного объявления о планируемых изменениях не менее чем за 14 рабочих дней до даты опубликования новой редакции Политики.
об обработке персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее положение об обработке персональных данных (далее - Политика) разработана во исполнение норм Цифрового кодекса Кыргызской Республики и определяет правовые и организационные основания сбора, обработки, хранения и уничтожения персональных данных ОсОО «Мирэй Клиник» (далее - Владелец/Обработчик).
1.2. Настоящее положение направлена на обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных и распространяется на все операции с персональными данными, совершаемые Владельцем/Обработчиком, как в автоматизированном режиме, так и без него.
2. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ
2.1. Субъекты персональных данных имеют право:
2.1.1. на полную информацию об их персональных данных, обрабатываемых Владельцем/Обработчиком;
2.1.2. на доступ к их персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренным Цифровым кодексом Кыргызской Республики;
2.1.3. на уточнение их персональных данных, их блокирование или уничтожение в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
2.1.4. на принятие предусмотренных законом мер по защите своих прав, в том числе обращение в уполномоченный государственный орган по персональным данным;
2.1.5. на осуществление иных прав, предусмотренных законодательством Кыргызской Республики.
2.2. Субъекты персональных данных обязаны:
2.2.1. предоставлять Владельцу/Обработчику только достоверные данные о себе;
2.2.2. предоставлять документы, содержащие персональные данные в объеме, необходимом для цели обработки;
2.2.3. сообщать Владельцу/Обработчику об уточнении (обновлении, изменении) своих персональных данных.
3. ПРАВА И ОБЯЗАННОСТИ ВЛАДЕЛЬЦА/ОБРАБОТЧИКА
3.1. Владелец /Обработчик имеет право:
3.1.1. получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
3.1.2. уточнять предоставленные субъектом персональные данные.
3.2. Владелец /Обработчик обязан:
3.2.1. обрабатывать персональные данные в соответствии с требованиями Цифрового кодекса Кыргызской Республики.
3.2.2. рассматривать обращения субъекта персональных данных по вопросам обработки персональных данных и давать ответы в срок, не превышающий 7 дней с момента подачи заявления;
3.2.3. предоставлять субъекту персональных данных возможность безвозмездного доступа к его персональным данным;
3.2.4. принимать меры по актуализации персональных данных в связи с обращением субъекта персональных данных;
3.2.5. организовывать защиту персональных данных в соответствии с требованиями законодательства Кыргызской Республики.
3.2.6. Владелец/обработчик собирает, использует и охраняет персональные данные, которые предоставляет субъект персональных данных при коммуникации в любой форме, в соответствии с настоящей Политикой и законодательством Кыргызской Республики.
4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Владелец/Обработчик обрабатывает персональные данные следующих субъектов персональных данных:
4.1.1. Работники Общества (в том числе бывшие сотрудники и кандидаты на замещение вакантных должностей).
4.1.2. Клиенты - физические лица, получающие услуги Общества.
4.1.3. Представители и сотрудники контрагентов (партнеров, поставщиков, подрядчиков).
4.1.4. Посетители объекта (лица, временно находящиеся на территории Общества, включая лиц, зарегистрированных в системе пропускного режима и видеонаблюдения).
4.1.5. Посетители веб-сайта Владельца/Обработчика.
4.1.6. Иные субъекты персональных данных, с которыми у Общества возникают правоотношения в рамках осуществления его деятельности, на законных основаниях.
4.2. К персональным данным, обрабатываемым Владельцем/Обработчиком, относятся:
4.2.1. фамилия, имя, отчество;
4.2.2. дата и место рождения;
4.2.3. адрес места жительства и/или регистрации;
4.2.4. паспортные данные либо иные данные документа, удостоверяющего личность;
4.2.5. контактные данные (телефон, адрес электронной почты и др.);
4.2.6. сведения о семейном положении и составе семьи (при необходимости);
4.2.7. сведения о трудовой деятельности (образование, профессия, квалификация, опыт работы, трудовой стаж, занимаемая должность);
4.2.8. идентификационный номер налогоплательщика, персональный идентификационный номер (ПИН) и иные реквизиты, предусмотренные законодательством;
4.2.9. данные, связанные с использованием информационных систем и ресурсов Общества (логины, IP-адреса, учетные записи, идентификаторы устройств и т.п.);
4.2.10. фотографии и видеоматериалы (в том числе записи с систем видеонаблюдения и пропускного режима)
4.2.11. иные персональные данные, обработка которых необходима для достижения законных и заранее определенных целей Владельца/Обработчика, в соответствии с требованиями законодательства Кыргызской Республики.
4.3. Владелец обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
4.4. Обработка специальных категорий персональных данных, раскрывающих расовое или этническое происхождение, национальную принадлежность, политические взгляды, религиозные или философские убеждения, а также касающихся состояния здоровья и интимной жизни, Владельцем/Обработчиком не осуществляется / осуществляется в строгом соответствии со статьей 71 Цифрового кодекса Кыргызской Республики.
4.5. Перечни персональных данных и категории субъектов персональных данных могут быть пересмотрены Владельцем с обязательным закреплением изменений в настоящей Политике и уведомлением субъектов персональных данных любым доступным способом (официальный сайт, объявление, пуш-уведомление, направление сообщения на электронную почту и т.д.).
5. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Цели обработки персональных данных:
5.1.1. заключение, исполнение и прекращение трудовых договоров с сотрудниками.
5.1.2. исполнение договорных обязательств с клиентами и контрагентами.
5.1.3. ведение бухгалтерского, налогового и статистического учета.
5.1.4. обеспечение пропускного и внутриобъектового режима (учёт посещений, видеонаблюдение).
5.1.5. организация и обеспечение расчетов по заработной плате, выплатам и иным начислениям.
5.1.6. исполнение обязанностей, возложенных законодательством Кыргызской Республики (например, предоставление сведений в государственные органы).
5.1.7. обеспечение информационной и экономической безопасности организации.
5.1.8. организация делопроизводства и архивного хранения документов.
5.1.9. проведение маркетинговых и аналитических мероприятий (только при наличии согласия субъекта персональных данных).
5.1.10. иные цели, прямо предусмотренные законом или согласованные с субъектом персональных данных.
6. ПОРЯДОК СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Сбор персональных данных осуществляется исключительно в целях, предусмотренных настоящей Политикой и законодательством Кыргызской Республики.
6.2. Владелец/Обработчик обязан получать персональные данные непосредственно от субъекта или на основании его письменного согласия, за исключением случаев, прямо установленных законом.
6.3. Перед сбором данных субъект персональных данных уведомляется о:
6.3.1. наименовании и адресе владельца/обработчика;
6.3.2. целях, объёме и правовых основаниях обработки;
6.3.3. сроках хранения и порядке уничтожения;
6.3.4. правах субъекта персональных данных.
6.4. Сбор персональных данных осуществляется с соблюдением принципов законности, минимизации объёма, достоверности и соразмерности целей обработки.
7. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Правовыми основаниями обработки персональных данных Владельцем/Обработчиком являются:
7.1.1. Конституция Кыргызской Республики;
7.1.2. Трудовой кодекс Кыргызской Республики;
7.1.3. Гражданский кодекс Кыргызской Республики;
7.1.4. Цифровой кодекс Кыргызской Республики;
7.1.5. Закон Кыргызской Республики "О средствах массовой информации";
7.1.6. Иные НПА;
7.1.7. Уставные документы Владельца/Обработчика;
7.1.8. Договоры, заключаемые между Владельцем/Обработчиком и субъектами персональных данных;
7.1.9. Согласие субъектов персональных данных на обработку персональных данных.
8. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Обработка персональных данных Владельцем/Обработчиком осуществляется следующими способами:
8.1.1. Смешанный (бумажный/электронный) способ.
8.2. Обработка персональных данных совершаемая Владельцем/Обработчиком включает в себя любые операции или набор операций, выполняемых независимо от способов, автоматическими средствами или без таковых, в целях сбора, записи, хранения, актуализации, группировки, блокирования, стирания и разрушения персональных данных.
8.3. Обработка персональных данных осуществляется Владельцем/Обработчиком при условии получения согласия субъекта персональных данных (далее - Согласие), за исключением установленных законодательством случаев, когда обработка персональных данных может осуществляться без такого Согласия.
8.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает его в письменной форме на бумажном носителе либо в форме электронного документа, подписанного в соответствии с законодательством Кыргызской Республики электронной подписью.
8.5. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, актуализация персональных данных, а также выявление неправомерной обработки персональных данных.
8.6. Владелец/Обработчик для достижения целей обработки при наличии согласия субъекта персональных данных вправе передавать персональные данные третьим лицам при условии, что на получателя данных возлагается обязанность соблюдения режима конфиденциальности этих данных.
8.7. Владелец/Обработчик при обработке персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных на доступ к персональным данным
8.9. В случае подтверждения факта недостоверности персональных данных или неправомерности их обработки персональные данные подлежат актуализации, блокированию либо уничтожению в зависимости от законности их сбора, хранения и обработки таких персональных данных Владельцем/Обработчиком, или их обработка должна быть прекращена соответственно.
8.10. По фактам недостоверности персональных данных или неправомерности их обработки субъект персональных данных имеет право обратиться непосредственно в адрес Владельца, либо в Уполномоченный государственный орган по персональным данным.
8.11. По письменному запросу субъекта персональных данных Владелец/Обработчик обязан сообщить информацию об осуществляемой им обработке персональных данных с отражением следующей информации:
8.11.1. подтверждение факта обработки персональных данных Владельцем/Обработчиком;
8.11.2. правовые основания и цели обработки персональных данных;
8.11.3. цели и применяемые Владельцем/Обработчиком способы обработки персональных данных;
8.11.4. наименование и место нахождения Владельца, сведения о лицах (за исключением работников владельца, которые имеют доступ к персональным данным или которым могут быть переданы персональные данные на основании договора с Владельцем массива персональных данных или на основании закона;
8.11.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
8.11.6. сроки обработки персональных данных, в том числе сроки их хранения;
8.11.7. порядок осуществления субъектом персональных данных своих прав по вопросам актуализации, блокирования и уничтожения персональных данных;
8.11.8. информацию об осуществленной или о предполагаемой трансграничной передаче данных.
8.12. Если субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
8.13. По истечении срока хранения и достижении целей сбора персональных данных они подлежат уничтожению в течение двух недель. Уничтожение подтверждается актом, копия которого может быть вручена субъекту персональных данных по его письменному запросу.
8.14. При обработке персональных данных Владельцем персональных записей и обработчик обязаны:
8.14.1. исключить доступ посторонних лиц к оборудованию, используемому для обработки персональных данных (контроль за доступом);
8.14.2. препятствовать самовольному чтению, копированию, изменению или выносу носителей данных (контроль за пользованием носителями данных);
8.14.3. препятствовать самовольной записи персональных данных и изменению или уничтожению записанных персональных данных (контроль за записью) и обеспечивать возможность установления задним числом когда, кем и какие персональные данные были изменены;
8.14.4. обеспечить безопасность систем обработки данных, предназначенных для переноса персональных данных независимо от средств передачи данных (контроль за средствами передачи данных);
8.14.5. обеспечить, чтобы каждый пользователь системы обработки данных имел доступ только к тем персональным данным, к обработке которых он имеет допуск (контроль за допуском);
8.14.6. обеспечить возможность установления задним числом когда, кем и какие персональные данные вводились в систему обработки данных (контроль за вводом);
8.14.7. не допускать несанкционированного чтения, копирования, изменения и уничтожения персональных данных при передаче и транспортировке персональных данных (транспортный контроль);
8.14.8. обеспечить конфиденциальность информации, полученной при обработке персональных данных.
8.14.9. обеспечить выполнение установленных Правительством Кыргызской Республики требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
8.14.10. вести учет машинных носителей персональных данных;
8.14.11. обеспечить восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
9. ПОРЯДОК ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено законодательством Кыргызской Республики.
9.2. Персональные данные подлежат хранению на бумажных и (или) электронных носителях с применением мер защиты, предусмотренных законодательством.
9.3. Хранение данных осуществляется:
9.3.1. до достижения целей обработки;
9.3.2. до истечения сроков, установленных законодательством, договором или согласием субъекта.
9.4. Владелец/Обработчик обеспечивает:
9.4.1. защиту персональных данных от утраты, искажения, несанкционированного доступа;
9.4.2. ограничение доступа к базам данных только уполномоченным лицам;
9.4.3. ведение учета носителей и журналов доступа;
9.4.4. регулярное резервное копирование и шифрование данных (при автоматизированной обработке).
10. ПОРЯДОК ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Владелец персональных записей вправе передавать эти данные другому владельцу персональных записей без согласия субъекта персональных данных в случаях:
10.1.1. крайней необходимости для защиты интересов субъекта персональных данных;
10.1.2. по запросу органов государственной власти, органов местного самоуправления, если запрашиваемый перечень персональных данных соответствует полномочиям запрашивающего органа;
10.1.3. на основании законодательства Кыргызской Республики.
10.2. Владелец персональных записей обязан информировать субъект персональных данных об осуществленной передаче его персональных данных третьей стороне в любой форме в недельный срок.
10.3. При передаче персональных данных на получателя данных возлагается обязанность соблюдения режима конфиденциальности этих данных.
10.4. При трансграничной передаче персональных данных владелец персональных записей, находящийся под юрисдикцией Кыргызской Республики, передающий данные, исходит из наличия международного договора между сторонами, согласно которому получающая сторона обеспечивает адекватный уровень защиты прав и свобод субъектов персональных данных и охраны персональных данных, установленный в Кыргызской Республике.
10.5. Передача персональных данных в страны, не обеспечивающие адекватный уровень защиты прав и свобод субъектов персональных данных, может иметь место при условии:
10.5.1. согласия субъекта персональных данных на эту передачу;
10.5.2. если передача необходима для защиты интересов субъекта персональных данных;
10.5.3. если персональные данные содержатся в общедоступном массиве персональных данных.
10.6. При передаче персональных данных по глобальной информационной сети (Интернет и т.п.) владелец персональных записей, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, соблюдая при этом конфиденциальность информации.
11. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Уничтожение (стирание или разрушение) персональных данных - действия владельца персональных записей по приведению этих данных в состояние, не позволяющее восстановить их содержание.
11.2. Уничтожение (удаление) персональных данных осуществляется:
11.2.1. при достижении целей обработки;
11.2.2. при отзыве согласия субъектом;
11.2.3. при выявлении неправомерной обработки или по решению суда либо уполномоченного органа.
11.3. Процедура уничтожения включает:
11.3.1. составление Акта об уничтожении персональных данных с указанием основания, даты, ответственных лиц и способа уничтожения;
11.3.2. применение безопасных способов: физическое уничтожение бумажных носителей, удаление электронных данных с невозможностью восстановления.
11.4. Срок уничтожения - не позднее 14 календарных дней с даты наступления основания.
11.5. Копия Акта может быть предоставлена субъекту по его письменному запросу.
12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
12.1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям Цифрового кодекса Кыргызской Республике.
12.2. Владелец/Обработчик имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения в свободном доступе для возможности ознакомления с условием обязательного предварительного объявления о планируемых изменениях не менее чем за 14 рабочих дней до даты опубликования новой редакции Политики.
