Главная
Правила BirBir
Политика обработки персональных данных субъектов ООО «DOSKA»

Политика обработки персональных данных субъектов ООО «DOSKA»

г. Ташкент

06.09.2024

Содержание:

1. Назначение и область применения.

2. Термины и определения.

3. Правовые основания обработки персональных данных.

4. Принципы, условия и цели сбора и обработки персональных данных.

5. Объём и категории обрабатываемых персональных данных, категории субъектов персональных данных.

6. Порядок и условия обработки персональных данных.

7. Порядок обработки обращений и запросов субъектов.

8. Порядок действий в случае запросов надзорных органов.

9. Заключительные положения.

1. Назначение и область применения.

1.1. Политика обработки персональных данных субъектов ООО «DOSKA» (далее – «Политика») является локальным актом ООО «DOSKA» (далее – «Компания»), регулирующим порядок обработки, накопления, хранения и защиты персональных данных физических лиц, являющихся работниками, клиентами, контрагентами или другими лицами, персональные данные которых обрабатываются Компанией в рамках её деятельности.

1.2. Цель разработки данной Политики заключается в обеспечении защиты прав и свобод физического лица при обработке его персональных данных, включая право на личную жизнь, частную и семейную тайну. Также важным аспектом является определение ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3. Политика обработки персональных данных, относящихся к Клиентам Компании, распространяется на данные, полученные как до введения в действие настоящей Политики, так и после её введения, если по тексту самой Политики не сообщено иное.

2. Термины и определения.

2.1. В Политике используются следующие термины и определения:

Персональные данные	Зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определённому физическому лицу или дающая возможность его идентификации.
Субъект персональных данных (субъект)	Физическое лицо, к которому относятся персональные данные.
База персональных данных	База данных в виде информационной системы, содержащая в своём составе персональные данные.
Обработка персональных данных	Реализация одного или совокупности действий по сбору, систематизации, хранению, изменению, дополнению, использованию, предоставлению, распространению, передаче, обезличиванию и уничтожению персональных данных.
Оператор базы персональных данных (оператор)	Государственный орган, физическое и (или) юридическое лицо, осуществляющее обработку персональных данных.
Собственник базы персональных данных (собственник)	Государственный орган, физическое и (или) юридическое лицо, обладающее правом владения, пользования и распоряжения базой персональных данных.
Третье лицо	Любое лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ним обстоятельствами или отношениями по обработке персональных данных.
Сбор персональных данных	Действия, связанные с получением персональных данных.
Систематизация персональных данных	Действие, направленное на объединение персональных данных в определённую систему.
Хранение персональных данных	Действия по обеспечению целостности, конфиденциальности и возможности использования персональных данных.
Распространение персональных данных	Действия, направленные на раскрытие персональных данных неопределённому кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в сети Интернет или предоставление доступа к персональным данным каким-либо иным способом.
Предоставление персональных данных	Действия, направленные на раскрытие персональных данных конкретному лицу.
Блокировка (ограничение) персональных данных	Временное приостановление обработки персональных данных (за исключением случаев, когда необходима обработка для уточнения персональных данных).
Использование персональных данных	Действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица.
Изменение и (или) дополнение персональных данных	Изменение и (или) дополнение персональных данных, имеющихся в базе персональных данных.
Трансграничная передача персональных данных	Передача персональных данных собственником и (или) оператором за пределы территории Республики Узбекистан.
Обезличивание персональных данных	Действия, в результате совершения которых определение принадлежности персональных данных конкретному субъекту становится невозможным.
Уничтожение персональных данных	Действия, в результате которых становится невозможным восстановить персональные данные.
Биографические данные	Фамилия, имя, отчество субъекта, персональный идентификационный номер физического лица, данные о годе и месте рождения, адресе и профессии, а также другие персональные данные, не входящие в состав биометрических, генетических и специальных данных.
Биометрические данные	Персональные данные, характеризующие анатомические и физиологические особенности субъекта (отпечатки пальцев, лицо, хрусталики глаз, особенности голоса и др.).
Специальные данные	Данные о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также персональные данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости.

3. Правовые основания обработки персональных данных.

3.1. Политика разработана в соответствии со следующими нормативно-правовыми актами Республики Узбекистан:

- Конституция Республики Узбекистан;

- Гражданский кодекс Республики Узбекистан;

- Кодекс Республики Узбекистан об Административной ответственности;

- Трудовой кодекс Республики Узбекистан;

- Уголовный кодекс Республики Узбекистан;

- Закон Республики Узбекистан от 21.06.2019 № 547 «О персональных данных» (далее – «ЗРУ № 547»);

- Закон Республики Узбекистан от 11.12.2003 № 560-II «Об информатизации»;

- Закон Республики Узбекистан от 11.09.2014 № ЗРУ-374 «О коммерческой тайне»;

- Указ Президента Республики Узбекистан от 22.06.2020 № УП-6012 «Об утверждении национальной стратегии Республики Узбекистан по правам человека»;

- Постановление Кабинета Министров Республики Узбекистан от 05.09.2018 № 707 «О мерах по совершенствованию информационной безопасности во всемирной информационной сети Интернет»;

- Постановление Кабинета министров Республики Узбекистан от 08.02.2020 № 71 «Об утверждении положения о государственном реестре баз персональных данных»;

- Постановление Кабинета Министров Республики Узбекистан от 05.10.2022 № 570 «Об утверждении некоторых нормативно-правовых актов в области обработки персональных данных».

3.2. Компания выполняет обработку персональных данных на законной и справедливой основе. Правовым основанием обработки персональных данных является совокупность нормативно правовых актов и юридически значимых документов, во исполнение которых и в соответствии с которыми Компания осуществляет обработку персональных данных.

4. Принципы, условия и цели сбора и обработки персональных данных.

4.1. Принципами обработки персональных данных являются:

- соблюдение конституционных прав и свобод человека и гражданина;

- законность целей и способов обработки персональных данных;

- точность и достоверность персональных данных;

- конфиденциальность и защищённость персональных данных;

- равенство прав субъектов, собственников и операторов;

- безопасность личности, общества и государства.

4.2. Обработка персональных данных осуществляется в следующих случаях:

- согласие субъекта на обработку персональных данных;

- необходимость обработки персональных данных для выполнения договора, стороной которого является субъект, или принятия мер по запросу субъекта до заключения такого договора;

- необходимость обработки персональных данных для исполнения обязательств собственника и (или) оператора, определённых законодательством;

- необходимость обработки персональных данных для защиты законных интересов субъекта или другого лица;

- необходимость обработки персональных данных для осуществления прав и законных интересов собственника и (или) оператора или третьего лица либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и законные интересы субъектов персональных данных;

- обработка персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;

- если персональные данные получены из общедоступных источников.

4.3. При необходимости обработки персональных данных в целях защиты прав и законных интересов субъекта их обработка допускается без согласия последнего до момента, когда получение согласия станет возможным.

4.4. Собственник и (или) оператор либо третье лицо при обработке персональных данных обязаны соблюдать следующие требования:

- осуществление обработки персональных данных в конкретных и ранее заявленных целях;

- недопущение при обработке персональных данных объединения баз персональных данных с несоответствующими целями;

- обеспечение точности, достоверности, целостности и сохранности персональных данных;

- если в законодательстве или договоре, заключенном с субъектом, не установлен срок хранения персональных данных, персональные данные хранятся в течение срока, не превышающего срока достижения целей их обработки;

- если актами законодательства не предусмотрено иное, обеспечение уничтожения или обезличивания обрабатываемых персональных данных после достижения целей обработки или при отсутствии необходимости достижения этих целей.

4.5. Целями обработки персональных данных являются:

- заключение трудовых договоров с физическими лицами;

- исполнение функциональных обязанностей Компании как работодателя;

- обеспечение финансово-хозяйственной деятельности Компании;

- заключение договоров с юридическими лицами и индивидуальными предпринимателями для оказания услуг и (или) выполнения работ;

- осуществление мероприятий в сфере привлечения новых клиентов;

- исполнение требований законодательства Республики Узбекистан в части предоставления льгот как самому работнику, так и, в определённых случаях, родственникам работника;

- иные цели, не противоречащие нормативно-правовым актам, положениям, учредительным документам или другим документам, регулирующим деятельность собственника и (или) оператора, а также соответствующие Закону Республики Узбекистан «О персональных данных».

5. Объём и категории обрабатываемых персональных данных, категории субъектов персональных данных.

5.1. Содержание и объём обрабатываемых персональных данных полностью соответствуют заявленным целям обработки.

5.2. Компания осуществляет сбор и дальнейшую обработку персональных данных следующих категорий субъектов персональных данных:

- работники, состоящие в трудовых отношениях с Компанией;

- ранее работающие работники и прекратившие трудовой договор;

- близкие родственники работников;

- соискатели на вакантные должности;

- сотрудники аффилированных компаний;

- участники (учредители) Компании;

- клиенты Компании, в том числе клиенты Платформы BirBir (сайт, размещённый в сети Интернет по адресу www.birbir.uz, мобильное приложение BirBir, а также мини-приложение в мессенджере Telegram);

- работники сторонних субъектов предпринимательской деятельности.

6. Порядок и условия обработки персональных данных.

6.1. Персональные данные подразделяются на общедоступные данные и не являющиеся общедоступными.

6.2. Общедоступными персональными данными являются персональные данные, доступ к которым является свободным с согласия субъекта или на которые не распространяются требования соблюдения конфиденциальности. В их состав входят персональные данные, размещённые в общедоступных источниках персональных данных, в том числе в электронных информационных ресурсах, средствах массовой информации и других источниках.

6.3. Персональными данными, не являющимися общедоступными, являются персональные данные, доступ к которым не является свободным без согласия субъекта, а также ограничен актами законодательства. В их состав входят биографические, биометрические, генетические, специальные и другие данные, относящиеся к субъекту.

6.4. Обработка персональных данных осуществляется собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя, за исключением случаев, предусмотренных абзацами третьим - седьмым пункта 4.2. настоящей Политики.

6.5. Для обработки специальных персональных данных требуется получение согласия субъекта в письменной форме или в виде электронного документа.

6.6. В случае точного указания в публичной оферте целей обработки персональных данных акцепт публичной оферты считается согласием субъекта на обработку персональных данных.

6.7. Согласие субъекта с установленными требованиями и условиями для получения услуг собственника и (или) оператора является согласием на обработку персональных данных субъекта собственником и (или) оператором.

6.8. Субъект или его законный представитель вправе в любое время отозвать своё согласие на обработку персональных данных. При этом персональные данные субъекта подлежат уничтожению собственником и (или) оператором не позднее рабочего дня, следующего за днём поступления заявления (уведомления) о прекращении обработки персональных данных.

6.9. Для сбора общедоступных персональных данных получение согласия субъекта или его законного представителя не требуется.

6.10. Данные, собранные при помощи средств видеонаблюдения, установленных в качестве обеспечения неприкосновенности частной жизни или мер предосторожности, если не предусмотрена их обработка в конкретных целях, не является сбором персональных данных. При этом распространение данных, собранных при помощи таких средств видеонаблюдения, не допускается.

6.11. Порядок и принципы систематизации персональных данных определяются собственником и (или) оператором самостоятельно.

6.12. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта в той мере, в какой требуют цели, ранее заявленные при сборе персональных данных.

6.13. Изменение и дополнение персональных данных осуществляются собственником и (или) оператором на основании заявления (запроса) субъекта или его законного представителя, а также в иных случаях, предусмотренных актами законодательства.

6.14. Изменение и дополнение персональных данных осуществляются собственником и (или) оператором в срок не позднее 3 (трёх) дней с момента подачи заявления (запроса) субъекта с уведомлением субъекта об этом.

6.15. Изменение и дополнение персональных данных, не соответствующих действительности, производятся безотлагательно с момента установления такого несоответствия.

6.16. Использование персональных данных собственником и (или) оператором, а также третьим лицом осуществляется только для ранее заявленных целей их сбора.

6.17. Использование персональных данных работниками собственника и (или) оператора, а также третьего лица, связанными с обработкой персональных данных, должно осуществляться только в соответствии с их профессиональными, служебными или трудовыми обязанностями.

6.18. Распространение персональных данных в случаях, выходящих за пределы ранее заявленных целей их сбора, осуществляется с согласия субъекта.

6.19. При запросе персональных данных государственными органами субъекту персональных данных направляется уведомление об этом (за исключением случаев, содержащих сведения, относящиеся к государственной тайне и имеющие ограниченный доступ в соответствии с законодательством).

6.20. Все персональные данные субъектов Компания получает от них самих, либо от их законных представителей, за исключением тех, что являются общедоступными.

6.21. Обработка персональных данных осуществляется в соответствии с действующим законодательством Республики Узбекистан на основании согласия субъекта персональных данных, кроме случаев, предусмотренных ЗРУ № 547. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например, анкеты, бланки, всплывающие окна).

6.22. Под обработкой персональных данных понимаются действия (операции) с персональными данными, включающие:

- сбор, хранение, уточнение (обновление, изменение);

- систематизацию, накопление;

- использование, распространение, передачу;

- обезличивание, блокирование, уничтожение.

6.23. Субъект персональных данных принимает решение о предоставлении своих персональных данных и даёт согласие на их обработку своей волей и в своём интересе, находясь в добром здравии и не действуя по принуждению.

6.24. Уведомление субъекта и получение его согласия не производится при:

- осуществлении государственными органами своих полномочий;

- передаче персональных данных для обработки в исторических, статистических, социологических или научных целях;

- сборе персональных данных из общедоступных источников.

6.25. Трансграничная передача персональных данных осуществляется на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

6.26. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту персональных данных, может осуществляться в случаях:

- наличия согласия субъекта на трансграничную передачу его персональных данных;

- необходимости защиты конституционного строя Республики Узбекистан, охраны общественного порядка, прав и свобод граждан, здоровья и нравственности населения;

- предусмотренных международными договорами Республики Узбекистан.

6.27. При обработке персональных данных для проведения исторических, статистических, социологических, научных исследований собственник и оператор, а также третье лицо обязаны их обезличить.

6.28. Для обезличивания персональных данных получение согласия субъекта не требуется.

6.29. Обезличивание персональных данных исключает возможность восстановления персональных данных.

6.30. Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом в течение 3 (трёх) дней, если иное не предусмотрено законодательством Республики Узбекистан:

- при достижении цели обработки персональных данных;

- при наличии отзыва согласия субъекта на обработку персональных данных;

- по истечении срока обработки персональных данных, определённого согласием субъекта;

- при вступлении в законную силу решения суда.

6.31. В случае осуществления обработки персональных данных субъекта с нарушением законодательства персональные данные подлежат уничтожению в течение 1 (одного) рабочего дня из источника их хранения на основании требования субъекта или его законного представителя, решения суда или требования иного уполномоченного государственного органа.

6.32. Компания оставляет за собой право проверить полноту и точность предоставленных персональных данных при наличии согласия субъекта персональных данных. В случае выявления ошибочных или неполных персональных данных Компания имеет право прекратить все отношения с субъектом персональных данных.

6.33. Компания в целях соблюдения законодательства Республики Узбекистан принимает необходимые правовые и технические меры для защиты персональных данных от неправомерного и/или несанкционированного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в частности: назначение лица, ответственного за организацию обработки персональных данных и ответственного за обеспечение безопасности персональных данных.

7. Порядок обработки обращений и запросов субъектов.

7.1. При обращении либо письменном запросе субъекта персональных данных или его законного представителя на доступ к своим персональным данным Компания руководствуется требованиями статей 18, 19, 21, 22 и 23 ЗРУ №547.

7.2. Доступ субъекта персональных данных или его законного представителя к своим персональным данным Компания предоставляет только под контролем ответственного за организацию обработки Персональных данных.

7.3. Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учёта обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.

7.4. Письменный запрос субъекта персональных данных или его законного представителя фиксируются в журнале регистрации письменных запросов граждан на доступ к своим персональным данным. Письменный запрос отправляется Компании по следующему адресу: Республика Узбекистан, город Ташкент, Юнусабадский район, Ц6, дом 70 или на электронный адрес office@birbir.team.

7.5. Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекта к персональным данным.

7.6. В случае если данных, предоставленных субъектом, недостаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы других лиц, ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение ч. 4 ст. 22 ЗРУ № 547 или иного нормативно правового акта, являющегося основанием для такого отказа, в срок, не превышающий 30 (тридцати) рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.

7.7. Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает работника (работников) структурного подразделения, обрабатывающего персональные данные субъекта по согласованию с руководителем этого структурного подразделения.

7.8. Сведения о наличии персональных данных Компания предоставляет субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.

7.9. Сведения о наличии персональных данных должны быть предоставлены субъекту при ответе на запрос в течение 15 (пятнадцати) дней от даты получения запроса субъекта персональных данных или его законного представителя.

8. Порядок действий в случае запросов надзорных органов.

8.1. В соответствии с ч. 4 ст. 20 ЗРУ № 547 Компания сообщает в уполномоченный орган по защите прав субъектов персональных данных о каждом изменении данных, необходимых для регистрации соответствующей базы персональных данных, не позднее 10 (десяти) календарных дней со дня наступления такого изменения.

8.2. Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных при необходимости с привлечением работников Компании.

8.3. В течение установленного законодательством срока ответственный за организацию обработки персональных данных подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.

9. Заключительные положения.

9.1. Политика является общедоступной. Общедоступность Политики обеспечивается публикацией на официальном сайте Компании, размещённом в сети Интернет по адресу www.birbir.uz.

9.2. Политика может быть пересмотрена в любом из следующих случаев:

- при изменении законодательства Республики Узбекистан в области обработки и защиты персональных данных;

- в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики;

- по решению руководства Компании;

- при изменении целей и сроков обработки Персональных данных;

- при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);

- при применении новых технологий обработки и защиты персональных данных (в том числе передачи, хранения);

- при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Компании.

9.3. В случае неисполнения положений Политики Компания и её работники несут ответственность в соответствии с действующим законодательством Республики Узбекистан.

9.4. Контроль исполнения требований Политики осуществляется лицами, ответственными за организацию обработки персональных данных Компании, а также за безопасность персональных данных.

9.5. Политика составлена на русском и узбекском языке, при этом, несмотря на то, что государственным языком Республики Узбекистан является узбекский язык, в случае расхождений между редакциями на двух языках, приоритет у редакции, составленной на русском языке.