Политика в отношении сбора, обработки персональных данных

1. Назначение и область действия документа 

 1.1. Политика Общества с ограниченной ответственностью "Союз Транс Логистик Кей Джи" ИНН: 01307202310389 (B2BMarket.kg) Кыргызская Республика, город Бишкек, Ленинский район, микрорайон Ак-Ордо, уч. 4/351 (далее по тексту также — «Общество») в отношении обработки персональных данных (далее по тексту также — «Политика») определяет позицию и намерения Общества в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Политика также направлена на ознакомление субъектов, предоставляющих свои персональные данные, с необходимой информацией (с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также информировании об ином возможном использовании их персональных данных Обществом).

1.2. Политика неукоснительно исполняется руководителями и работниками всех структурных подразделений, филиалов и представительств Общества.

1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с применением средств автоматизации и без применения таких средств.

1.4. К настоящей Политике имеет доступ любой субъект персональных данных, в том числе с использованием сети «Интернет».

1.5. Общество периодически актуализирует настоящую Политику и вправе в одностороннем порядке в любой момент изменять её условия. Общество рекомендует регулярно проверять содержание настоящей Политики на предмет её возможных изменений. Если иное не предусмотрено Политикой, все вносимые в неё изменения вступают в силу с даты, указанной в Политике.

1.6. Цель издания настоящей Политики заключается в доведении до лиц, предоставляющих свои персональные данные, необходимой информации, позволяющей оценить, какие персональные данные и с какими целями обрабатываются Обществом, какие методы обеспечения их безопасности реализуются, а также установление основных принципов и подходов к обработке и обеспечению безопасности информации персонального характера в Организации.

1.7. Во всем ином, что не предусмотрено настоящей Политикой, Общество руководствуется положениями действующего законодательства Кыргызской Республики.

 2. Термины

2.1. Информация персонального характера (персональные данные) — зафиксированная информация на материальном носителе о конкретном человеке, отождествлённая с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности (биографические и опознавательные данные, личные характеристики, сведения о семейном положении, финансовом положении, состоянии здоровья и прочее).

 2.2. Сбор персональных данных — процедура получения персональных данных держателем (обладателем) массива персональных данных от субъектов этих данных либо из других источников в соответствии с законодательством Кыргызской Республики.

 2.3. Обработка персональных данных — любая операция или набор операций, выполняемых независимо от способов держателем (обладателем) персональных данных либо по его поручению, автоматическими средствами или без таковых, в целях сбора, записи, хранения, актуализации, группировки, блокирования, стирания и разрушения персональных данных.

 2.4. Субъект персональных данных — физическое лицо, к которому относятся соответствующие персональные данные.

 2.5. Держатель (обладатель) массива персональных данных — органы государственной власти, органы местного самоуправления и юридические лица, на которые возложены полномочия определять цели, категории персональных данных и контролировать сбор, хранение, обработку и использование персональных данных в соответствии с настоящим Законом. Для целей настоящей Политики Общество, обрабатывая персональные данные, является держателем (обладателем) массива персональных данных, если иное прямо не указано в Политике.

 2.6. Обработчик — физическое или юридическое лицо, определяемое держателем (обладателем) персональных данных, которое осуществляет обработку персональных данных на основании заключённого с ним договора.

 2.7. Массив персональных данных — любая структурированная совокупность персональных данных неопределенного числа субъектов, независимо от вида носителя информации и используемых средств их обработки (архивы, картотеки, электронные базы данных и т.п.).

 2.8. Прочие термины используются в настоящей Политике в соответствии со значениями, определяемыми действующим законодательством Кыргызской Республики, если иное прямо не указано в Политике.

 3. Порядок и условия обработки персональных данных 

3.1. Под безопасностью персональных данных Общество понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.

 3.2. Обработка и обеспечение безопасности персональных данных в Обществе осуществляется в соответствии с требованиями Конституции Кыргызской Республики, Закона Кыргызской Республики № 58 «Об информации персонального характера» (http://cbd.minjust.gov.kg/act/view/ru-ru/202269), подзаконных актов, других определяющих случаи и особенности обработки персональных данных законов Кыргызской Республики, а также руководящих и методических документов уполномоченных государственных органов Кыргызской Республики.

 3.3. При обработке персональных данных Общество придерживается следующих принципов:

✓ законности;

✓ ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;

✓ недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;

✓ недопущения объединения массивов персональных данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

✓ соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;

✓ недопущения избыточности обрабатываемых персональных данных по отношению к заявленным целям обработки;

✓ обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных, а также принятия мер по уничтожению или обновлению неполных или неточных данных;

✓ прозрачности обработки персональных данных: субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;

✓ осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;

✓ обеспечение защищенности массивов персональных данных от незаконных доступов, внесений дополнений, изменений и уничтожений.

3.4. Общество обрабатывает персональные данные на следующих условиях:

 3.5. Общество вправе поручить обработку персональных данных третьим лицам — обработчикам — на основании заключаемых с этими лицами договоров. К таким лицам, в частности, относятся поставщики услуг, которые помогают Обществу в его деятельности: поставщики услуг хостинга, контактного центра по работе с клиентами и т.д.

 3.6. В случаях, установленных законодательством Кыргызской Республики, Общество вправе осуществлять передачу персональных данных третьим лицам, в том числе без поручения таким лицам обработки персональных данных.

 3.7. Если иное не предусмотрено законодательством Кыргызской Республики, Общество прекращает обработку персональных данных (в отношении любой из заявленных выше целей) и уничтожает их в случаях: 

✓ реорганизации Общества, влекущей прекращение его деятельности;

✓ установления неправомерности сбора персональных данных;

Конкретный порядок уничтожения персональных данных на носителях, содержащих персональные данные, в том числе внешних/съёмных электронных носителях, бумажных носителях и в информационных системах персональных данных, определяются Обществом в своих внутренних документах и локальных нормативных актах.

 3.8. Общество при осуществлении обработки персональных данных:

✓ принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Кыргызской Республики, внутренних документов и локальных нормативных актов Общества в области персональных данных;

✓ принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

✓ назначает лицо, ответственное за организацию обработки персональных данных в Обществе;

✓ создает внутренние документы, определяющие политику Общества в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Кыргызской Республики, устранение последствий таких нарушений;

✓ осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства Кыргызской Республики и принятым в соответствии с ним нормативным правовым актам, иным требованиям к защите персональных данных, настоящей Политике, внутренним документам и локальным нормативным актам Общества в области персональных данных;

✓ публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;

✓ прекращает обработку персональных данных и уничтожает их в случаях, предусмотренных законодательством Кыргызской Республики;

✓ совершает иные действия, предусмотренные законодательством Кыргызской Республики в области персональных данных.

4. Права субъекта персональных данных 

Лицо, персональные данные которого обрабатываются Обществом, имеет:

4.1 Право на отзыв ранее данного им согласия на обработку персональных данных;

4.2. Право на получение информации, касающейся обработки персональных данных;

4.3. Право требовать уточнения своих персональных данных, их блокирования или уничтожения, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки, а также требовать прекращения обработки персональных данных, если цель такой обработки достигнута Обществом или минованию надобности в них.

Если иной порядок взаимодействия Общества и субъекта персональных данных не предусмотрен соответствующим документом между ними (например, договором или текстом согласия на обработку персональных данных), для реализации указанных прав субъекту персональных данных необходимо направить Обществу заявление в письменной форме и подписанное собственноручной подписью по адресу: Кыргызская Республика, город Бишкек, Ленинский район, микрорайон Ак-Ордо,  4/351 Такое заявление должно в обязательном порядке содержать описание требований субъекта персональных данных, а также следующие сведения:

✓ ФИО субъекта персональных данных;

✓ номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе ЛИБО иные данные, позволяющие однозначно идентифицировать субъекта персональных данных;

✓ сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, ЛИБО сведения, иным способом подтверждающие факт обработки персональных данных Обществом;

✓ подпись субъекта персональных данных или его представителя.

✓ субъект персональных данных также вправе обжаловать действия (бездействия) и решения Общества, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных и в суд в порядке, установленном законодательством Кыргызской Республики.

 5. Сведения о реализуемых требованиях к защите персональных данных 

Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Общество регулярно актуализирует принимаемые меры для обеспечения наилучшей защищенности обрабатываемых персональных данных — такие меры описываются в настоящей Политике, внутренних документах и локальных нормативных актах Общества.

 К таким мерам, в частности, относится:

✓ определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

✓ применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

✓ оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

✓ обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

✓ восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

✓ становление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных;

✓ контроль за принимаемыми мерами по обеспечению безопасности персональных данных;

✓ размещение технических средств обработки персональных данных в пределах охраняемой территории;

✓ поддержание технических средств охраны, сигнализации в постоянной готовности;

✓ проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных.