Политика обработки персональных данных

г. Ташкент

“06” сентября 2024 г.

Содержание:

1. Назначение и область применения.

2. Термины и определения.

3. Правовые основания обработки персональных данных.

4. Принципы, условия и Цели сбора и обработки персональных данных.

5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.

6. Порядок и условия обработки персональных данных.

7. Порядок обработки обращений и запросов субъектов.

8. Порядок действий в случае запросов надзорных органов.

9. Заключительные положения.

 

1. Назначение и область применения.

1.1. Данный документ является локальным актом ООО «DOSKA» (далее по тексту: Компания) связанным с обработкой, накоплением и хранением документов, содержащих персональные данные любого физического лица, являющегося пользователем сайта Компании, а равно и любого иного приложения Компании, в том числе платформы BirBir, представленной на веб-сайте и в мобильных приложениях.

1.2. Цель разработки данной Политики заключается в обеспечении защиты прав и свобод физического лица при обработке его персональных данных, включая право на личную жизнь, частную и семейную тайну. Также важным аспектом является определение ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3. Политика обработки персональных данных, относящихся к клиентам Компании, распространяется на данные, полученные как до введения в действие настоящей Политики, так и после её введения, если по тексту самой Политики не сообщено иное.

2. Термины и определения.

2.1. В Политике используются следующие термины и определения:

Персональные данные - зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации;

Субъект персональных данных (субъект) - физическое лицо, к которому относятся персональные данные;

База персональных данных - база данных в виде информационной системы, содержащая в своем составе персональные данные;

Обработка персональных данных - реализация одного или совокупности действий по сбору, систематизации, хранению, изменению, дополнению, использованию,предоставлению, распространению, передаче, обезличиванию и уничтожению персональных данных;

Оператор базы персональных данных (оператор) - государственный орган, физическое и (или) юридическое лицо, осуществляющее обработку персональных данных;

Собственник базы персональных данных (собственник) - государственный орган, физическое и (или) юридическое лицо, обладающее правом владения, пользования и распоряжения базой персональных данных;

Третье лицо - любое лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними обстоятельствами или отношениями по обработке персональных данных;

Сбор персональных данных - действия, связанные с получением персональных данных;

Систематизация персональных данных - действие, направленное на объединение персональных данных в определенную систему;

Хранение персональных данных - действия по обеспечению целостности, конфиденциальности и возможности использования персональных данных;

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение во Всемирной информационной сети Интернет или предоставление доступа к персональным данным каким-либо иным способом;

Предоставление персональных данных - действия, направленные на раскрытие персональных данных конкретному лицу;

Блокировка (ограничение) персональных данных - временное приостановление обработки персональных данных (за исключением случаев, когда необходима обработка для уточнения персональных данных);

Использование персональных данных - действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;

Изменение и (или) дополнение персональных данных - изменение и (или) дополнение персональных данных, имеющихся в базе персональных данных;

Трансграничная передача персональных данных - передача персональных данных собственником и (или) оператором за пределы территории Республики Узбекистан;

Обезличивание персональных данных - действия, в результате совершения, которых определение принадлежности персональных данных конкретному субъекту становится невозможным;

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить персональные данные;

Биографические данные - фамилия, имя, отчество субъекта, персональный идентификационный номер физического лица, данные о годе и месте рождения, адресе ипрофессии, а также другие персональные данные, не входящие в состав биометрических, генетических и специальных данных;

Биометрические данные - персональные данные, характеризующие анатомические и физиологические особенности субъекта (отпечатки пальцев, лицо, хрусталики глаз, особенности голоса и др.);

Специальные данные - данные о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также персональные данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости.

3. Правовые основания обработки персональных данных.

3.1. Политика разработана в соответствии со следующими нормативно-правовыми актами Республики Узбекистан:

1. Конституция Республики Узбекистан;

2. Гражданский кодекс Республики Узбекистан;

3. Кодекс Республики Узбекистан об Административной ответственности;

4. Трудовой кодекс Республики Узбекистан;

5. Уголовный кодекс Республики Узбекистан;

6. Закон Республики Узбекистан «О персональных данных» от 21 июня 2019 года №547 (далее – ЗРУ № 547);

7. Закон Республики Узбекистан, от 11.12.2003 г. № 560-II «Об информатизации»;

8. Закон Республики Узбекистан, от 11.09.2014 г. № ЗРУ-374 «О коммерческой тайне»;

9. Указ Президента Республики Узбекистан от 22.06.2020 г. № УП-6012 «Об утверждении национальной стратегии Республики Узбекистан по правам человека»;

10. Постановление Кабинета Министров Республики Узбекистан от 05.09.2018 г. N 707 "О мерах по совершенствованию информационной безопасности во всемирной информационной сети Интернет"

11. Постановление Кабинета министров Республики Узбекистан от 08.02.2020 г. № 71 «Об утверждении положения о государственном реестре баз персональных данных»;

12. Постановление Кабинета Министров Республики Узбекистан от 05.10.2022 г. N 570 "Об утверждении некоторых нормативно-правовых актов в области обработки персональных данных".

3.2. Компания выполняет обработку персональных данных на законной и справедливой основе. Правовым основанием обработки персональных данных является совокупность нормативно правовых актов и юридически значимых документов, во исполнение которых и в соответствии с которыми Компания осуществляет обработку персональных данных.

4. Принципы, условия и Цели сбора и обработки персональных данных.

4.1. Принципами обработки персональных данных являются:

✓ соблюдение конституционных прав и свобод человека и гражданина;

✓ законность целей и способов обработки персональных данных;

✓ точность и достоверность персональных данных;

✓ конфиденциальность и защищенность персональных данных;

✓ равенство прав субъектов, собственников и операторов;

✓ безопасность личности, общества и государства.

 

4.2. Обработка персональных данных осуществляется в следующих случаях:

✓ согласия субъекта на обработку этих данных;✓ необходимости обработки этих данных для выполнения договора, стороной которого является субъект, или принятия мер по запросу субъекта до заключения такого договора;

✓ необходимости обработки этих данных для исполнения обязательств собственника и (или) оператора, определенных законодательством;

✓ необходимости обработки этих данных для защиты законных интересов субъекта или другого лица;

✓ необходимости обработки этих данных для осуществления прав и законных интересов собственника и (или) оператора или третьего лица либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и законные интересы субъектов персональных данных;

✓ обработки этих данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;

✓ если эти данные получены из общедоступных источников.

 

4.3. При необходимости обработки персональных данных в целях защиты прав и законных интересов субъекта их обработка допускается без согласия последнего до момента, когда получение согласия станет возможным.

 

4.4. Собственник и (или) оператор либо третье лицо при обработке персональных данных обязаны соблюдать следующие требования:

✓ осуществление обработки персональных данных в конкретных и ранее заявленных целях;

✓ недопущение при обработке персональных данных объединения баз персональных данных с несоответствующими целями;

✓ обеспечение точности, достоверности, целостности и сохранности персональных данных;

✓ если в законодательстве или договоре, заключенном с субъектом, не установлен срок хранения персональных данных, персональные данные хранятся в течение срока, не превышающего срока достижения целей их обработки;

✓ если актами законодательства не предусмотрено иное, обеспечение уничтожения или обезличивания обрабатываемых персональных данных после достижения целей обработки или при отсутствии необходимости достижения этих целей.

 

4.5. Целями обработки персональных данных являются:

✓ Заключение трудовых договоров с физическими лицами;

✓ Исполнение функциональных обязанностей юридического лица как работодателя;

✓ Обеспечения финансово-хозяйственной деятельности Компании;

✓ Заключение договоров с юридическими лицами и индивидуальными предпринимателями для оказания услуг и (или) выполнения работ;

✓ Осуществление мероприятий в сфере привлечения новых покупателей/потребителей;

✓ Исполнение требований законодательства Республики Узбекистан в части предоставления льгот как самому работнику, так и, в определенных случаях, родственникам работника.

✓ Иные цели, не противоречащие нормативно-правовым актам, положениям, учредительным документам или другим документам, регулирующим деятельность собственника и (или) оператора, а также соответствующие Закону Республики Узбекистан «О персональных данных».

 

5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.

5.1. Содержание и объем обрабатываемых персональных данных полностью соответствуют заявленным целям обработки.

5.2. Компания осуществляет сбор и дальнейшую обработку следующих категорий субъектов персональных данных:

• работники, состоящие в трудовых отношениях;

• ранее работающие работники и прекратившие трудовой договор;

• близкие родственники работников;

• соискатели на вакантные должности;

• сотрудники аффилированных компаний;

• участники (учредители) Компании;

• клиенты Компании;

• работники сторонних субъектов предпринимательской деятельности;

• посетители веб-сайта Компании, платформы BirBir, представленной на веб-сайте и в мобильных приложениях;

 

6. Порядок и условия обработки персональных данных.

6.1. Персональный данные подразделяются на общедоступные данные и не являющиеся общедоступными.

6.2. Общедоступными персональными данными являются персональные данные, доступ к которым является свободным с согласия субъекта или на которые не распространяются требования соблюдения конфиденциальности. В их состав входят персональные данные, размещенные в общедоступных источниках персональных данных, в том числе в электронных информационных ресурсах, средствах массовой информации и других источниках.

6.3. Персональными данными, не являющимися общедоступными, являются персональные данные, доступ к которым не является свободным без согласия субъекта, а также ограничен актами законодательства. В их состав входят биографические, биометрические, генетические, специальные и другие данные, относящиеся к субъекту.

6.4. Обработка персональных данных осуществляется собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя, за исключением случаев, предусмотренных абзацами третьим - восьмым пункта 4.2. настоящей Политики.

6.5. Для обработки специальных персональных данных требуется получение согласия субъекта в письменной форме или в виде электронного документа.

6.6. В случае точного указания в оферте (публичном договоре) целей обработки персональных данных прием (утверждение) оферты (публичного договора) считается согласием субъекта на обработку персональных данных.

6.7. Согласие субъекта с установленными требованиями и условиями для получения услуг собственника и (или) оператора является согласием на обработку персональных данных субъекта собственником и (или) оператором.

6.8. Субъект или его законный представитель вправе в любое время отозвать свое согласие об обработке персональных данных. При этом персональные данные субъекта подлежат уничтожению собственником и (или) оператором не позднее рабочего дня, следующего за днем поступления заявления (уведомления) о прекращении обработки персональных данных.

6.9. Для сбора общедоступных персональных данных получение согласия субъекта или его законного представителя не требуется.

6.10. Данные, собранные при помощи средств видеонаблюдения, установленных в качестве обеспечения неприкосновенности частной жизни или мер предосторожности, если не предусмотрена их обработка в конкретных целях, не является сбором персональных данных. При этом распространение данных, собранных при помощи таких средств видеонаблюдения, не допускается.

6.11. Порядок и принципы систематизации персональных данных определяются собственником и (или) оператором самостоятельно.

6.12. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта в той мере, в какой требуют цели, ранее заявленные при сборе персональных данных.

6.13. Изменение и дополнение персональных данных осуществляются собственником и (или) оператором на основании заявления (запроса) субъекта или его законного представителя, а также в иных случаях, предусмотренных актами законодательства.

6.14. Изменение и дополнение персональных данных осуществляются собственником и (или) оператором в срок не позднее трех дней с момента подачи заявления (запроса) субъекта, с уведомлением субъекта об этом.

6.15. Изменение и дополнение персональных данных, не соответствующих действительности, производятся безотлагательно с момента установления такого несоответствия.

6.16. Использование персональных данных собственником и (или) оператором, а также третьим лицом осуществляется только для ранее заявленных целей их сбора.

6.17. Использование персональных данных работниками собственника и (или) оператора, а также третьего лица, связанными с обработкой персональных данных, должно осуществляться только в соответствии с их профессиональными, служебными или трудовыми обязанностями.

6.18. Распространение персональных данных в случаях, выходящих за пределы ранее заявленных целей их сбора, осуществляется с согласия субъекта.

6.19. При запросе персональных данных государственными органами субъекту персональных данных направляется уведомление об этом (за исключением случаев, содержащих сведения, относящиеся к государственной тайне и имеющие ограниченный доступ в соответствии с законодательством).

6.20. Все персональные данные субъектов Компания получает от них самих, либо от их законных представителей, за исключением тех, что являются общедоступными.

6.21. Обработка персональных данных осуществляется в соответствии с действующим законодательством Республики Узбекистан на основании согласия субъекта персональных данных, кроме случаев, предусмотренных ЗРУ № 547. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например, анкеты, бланки, всплывающие окна).

6.22. Под обработкой персональных данных понимаются действия (операции) с персональными данными, включающие:

1. Сбор, хранение, уточнение (обновление, изменение);

2. Систематизацию, накопление;

3. Использование, распространение, передачу;

4. Обезличивание, блокирование, уничтожение.

6.23. Субъект Персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, находясь в добром здравии и не действуя по/под принуждением.

6.24. Уведомление субъекта и получение его согласия не производится при:

1. Осуществлении государственными органами своих полномочий;

2. Передаче персональных данных для обработки в исторических, статистических, социологических или научных целях;

3. Сборе персональных данных из общедоступных источников.

6.25. Трансграничная передача персональных данных осуществляется на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

6.26. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту персональных данных, может осуществляться в случаях:

1. Наличия согласия субъекта на трансграничную передачу его персональных данных;

2. Необходимости защиты конституционного строя Республики Узбекистан, охраны общественного порядка, прав и свобод граждан, здоровья и нравственности населения;

3. Предусмотренных международными договорами Республики Узбекистан.

6.27. При обработке персональных данных для проведения исторических, статистических, социологических, научных исследований собственник и оператор, а также третье лицо обязаны их обезличить.

6.28. Для обезличивания персональных данных получение согласия субъекта не требуется.

6.29. Обезличивание персональных данных исключает возможность восстановления персональных данных.

6.30. Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом в течение трех дней, если иное не предусмотрено законодательством РУз:

1. При достижении цели обработки персональных данных;

2. При наличии отзыва согласия субъекта на обработку персональных данных;

3. По истечении срока обработки персональных данных, определенного согласием субъекта;

4. При вступлении в законную силу решения суда.

 

6.31. В случае осуществления обработки персональных данных субъекта с нарушением законодательства персональные данные подлежат уничтожению в течение одного рабочего дня из источника их хранения на основании требования субъекта или егозаконного представителя, решения суда или требования иного уполномоченного государственного органа.

6.32. Компания оставляет за собой право проверить полноту и точность предоставленных персональных данных при наличии согласия субъекта персональных данных. В случае выявления ошибочных или неполных персональных данных Компания имеет право прекратить все отношения с субъектом персональных данных.

6.33. Компания в целях соблюдения законодательства Республики Узбекистан, принимает необходимые правовые и технические меры для защиты Персональных данных от неправомерного и/или несанкционированного доступа к Персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных, в частности: назначение лица, ответственного за организацию обработки Персональных данных и ответственного за обеспечение безопасности Персональных данных.

 

7. Порядок обработки обращений и запросов субъектов.

7.1. При обращении либо письменном запросе субъекта персональных данных или его законного представителя, на доступ к своим персональным данным Компания руководствуется требованиями статей 18, 19, 21, 22 и 23 ЗРУ №547.

7.2. Доступ субъекта персональных данных или его законного представителя к своим персональным данным Компания предоставляет только под контролем

ответственного за организацию обработки Персональных данных.

7.3. Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.

7.4. Письменный запрос субъекта персональных данных или его законного представителя фиксируются в журнале регистрации письменных запросов граждан на доступ к своим персональным данным. Письменный запрос отправляется в ООО “Doska” по следующему адресу: Узбекистан, город Ташкент, Юнусабадский район, Ц6, д.70 или на электронный адрес

7.5. Ответственный за организацию обработки Персональных данных принимает решение о предоставлении доступа субъекта к персональным данным.

7.6. В случае, если данных предоставленных субъектом недостаточно для установления его личности или предоставление персональных данных нарушает

конституционные права и свободы других лиц, ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение ч. 4 ст. 22 ЗРУ № 547 или иного нормативно правового акта, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.

7.7. Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает сотрудника (сотрудников) структурного подразделения, обрабатывающего персональные данные субъекта по согласованию с руководителем этого структурного подразделения.

7.8. Сведения о наличии персональных данных Компания предоставляет субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.

7.9. Сведения о наличии персональных данных должны быть предоставлены субъекту при ответе на запрос в течение пятнадцати дней от даты получения запроса субъекта персональных данных или его законного представителя.

 

8. Порядок действий в случае запросов надзорных органов.

8.1. В соответствии с ч. 4 ст. 20 ЗРУ № 547 Компания сообщает в уполномоченный орган по защите прав субъектов Персональных данных о каждом изменении данных, необходимых для регистрации соответствующей базы персональных данных, не позднее десяти календарных дней со дня наступления такого изменения.

8.2. Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки Персональных данных при необходимости с привлечением сотрудников Компании.

8.3. В течение установленного законодательством срока ответственный за организацию обработки Персональных данных подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.

 

9. Заключительные положения.

9.1. Политика является локальным актом Компании и общедоступной. Общедоступность Политики обеспечивается публикацией на веб-сайте Компании.

9.2. Политика может быть пересмотрена в любом из следующих случаев:

✓ при изменении законодательства Республики Узбекистан в области обработки и защиты персональных данных;

✓ в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики;

✓ по решению руководства Компании;

✓ при изменении целей и сроков обработки Персональных данных;

✓ при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);

✓ при применении новых технологий обработки и защиты Персональных данных (в т. ч. передачи, хранения);

✓ при появлении необходимости в изменении процесса обработки Персональных данных, связанной с деятельностью Компании.

9.3. В случае неисполнения положений Политики Компания и ее работники несут ответственность в соответствии с действующим законодательством Республики Узбекистан.

9.4. Контроль исполнения требований Политики осуществляется лицами, ответственными за организацию обработки Персональных данных Компании, а также за безопасность персональных данных.