Политика компании в отношении обработки персональных данных
-
1. Общие положения
Политика обработки персональных данных (далее – Политика) разработана в соответствии с Законом Республики Узбекистан «О персональных данных» №ЗРУ-547 от 02.07.2019 г. (далее – Закон).
Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «LITRES OPERATIONS» (далее – Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
В Политике используются следующие основные понятия:
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
- обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных конкретному субъекту становится невозможным;
- общедоступные персональные данные – персональные данные, доступ к которым является свободным с согласия субъекта или на которые не распространяются требования соблюдения конфиденциальности;
- обработка персональных данных – реализация одного или совокупности действий по сбору, систематизации, хранению, изменению, дополнению, использованию, предоставлению, распространению, передаче, обезличиванию и уничтожению персональных данных;
- оператор – государственный орган, физическое и (или) юридическое лицо, осуществляющее обработку персональных данных;
- персональные данные – зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных конкретному лицу;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение во Всемирной информационной сети Интернет или предоставление доступа к персональным данным каким-либо иным способом;
- трансграничная передача персональных данных – передача персональных данных собственником и (или) оператором за пределы территории Республики Узбекистан;
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить персональные данные;
-
2. Принципы и условия обработки персональных данных
-
2.1. Принципы обработки персональных данных
Обработка персональных данных у Оператора осуществляется на основе следующих принципов:
- − соблюдения конституционных прав и свобод человека и гражданина;
- − законности целей и способов обработки персональных данных;
- − точности и достоверности персональных данных;
- − конфиденциальности и защищенности персональных данных;
- − равенства прав субъектов, собственников и операторов;
- − безопасности личности, общества и государства.
-
2.2 Условия обработки персональных данных
Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:
- − обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- − обработка персональных данных необходима для выполнения договора, стороной которого является субъект, или принятия мер по запросу субъекта до заключения такого договора;
- − обработка персональных данных необходима для исполнения обязательств собственника и (или) оператора, определенных законодательством;
- − обработка персональных данных необходима для защиты законных интересов субъекта или другого лица;
- − обработка персональных данных необходима для осуществления прав и законных интересов собственника и (или) оператора или третьего лица либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и законные интересы субъектов персональных данных;
- − обработка персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
- − осуществляется обработка персональных данных, если они получены из общедоступных источников;
-
2.3 Конфиденциальность персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.
-
2.4 Общедоступные источники персональных данных
В целях информационного обеспечения населения могут создаваться общедоступные источники персональных данных (в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы).
В общедоступные источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом.
Сведения о субъекте могут быть исключены из общедоступных источников персональных данных по его обращению, поданному в той форме, в какой было дано согласие, либо в письменной форме, в том числе в виде электронного документа, а также по решению уполномоченного государственного органа или суда.
-
2.5 Специальные персональные данные
Специальными персональными данными являются данные о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости.
Обработка Оператором специальных персональных данных, допускается:
- − в целях обеспечения государственной безопасности от внешних и внутренних угроз уполномоченным государственным органом;
- − если субъект дал согласие в письменной форме, в том числе в виде электронного документа, на обработку своих специальных персональных данных;
- − если специальные персональные данные опубликованы субъектом в общедоступных источниках;
- − в целях защиты прав и законных интересов субъекта или других лиц;
- − при осуществлении деятельности судов и соответствующих правоохранительных органов в рамках возбужденного уголовного дела, исполнительного производства;
- − при осуществлении органами прокуратуры мер, направленных на противодействие легализации доходов, полученных от преступной деятельности, и финансированию терроризма;
- − при осуществлении деятельности органов государственной статистики, а также при использовании другими государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;
- − при оказании медико-социальных услуг или установлении медицинского диагноза, лечении, с условием, что такие данные обрабатываются медицинским работником либо другим лицом учреждения здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных;
- − при осуществлении прав и выполнении обязанностей в сфере трудовых отношений;
- − при обеспечении защиты законных интересов субъекта или третьего лица в случае недееспособности или ограниченной дееспособности субъекта;
- − при обнародовании персональных данных, в том числе персональных данных кандидатов на выборные государственные должности;
- − при осуществлении деятельности негосударственной некоммерческой организацией, религиозной организацией, политической партией или профессиональным союзом при условии, что обработка касается исключительно персональных данных членов или работников этих организаций и объединений, и персональные данные не передаются третьему лицу без согласия субъектов;
- − при обработке персональных данных детей, оставшихся без попечения родителей, при их устройстве на воспитание в семьи граждан (на патронат) и осуществлении других мер по обеспечению опеки и попечительства;
- − при обработке персональных данных в целях обеспечения государственной безопасности;
- − при обработке данных о судимости государственными органами, а также иными лицами в пределах их полномочий.
-
2.6 Биометрические и генетические данные
Биометрическими данными являются персональные данные, характеризующие анатомические и физиологические особенности субъекта.
Генетическими данными являются персональные данные, относящиеся к унаследованным или приобретенным характеристикам субъекта, которые являются результатом анализа биологического образца субъекта или анализа другого элемента, позволяющего получить эквивалентную информацию.
Биометрические и генетические данные, которые используются для установления личности субъекта, могут обрабатываться только при наличии согласия данного субъекта, за исключением случаев, связанных с реализацией международных договоров Республики Узбекистан, осуществлением правосудия, исполнительным производством, а также в иных случаях, предусмотренных законодательством.
Использование и хранение биометрических и генетических данных в электронной форме вне информационных систем может осуществляться только на материальных носителях информации, исключающих несанкционированный доступ к ним.
-
2.7 Поручение обработки персональных данных другому лицу
Собственник и (или) оператор вправе поручить обработку персональных данных третьему лицу в случаях:
- − наличия согласия субъекта в письменной форме, в том числе в виде электронного документа;
- − если решение принимается во исполнение договора между собственником и субъектом или выполнения условий ранее заключенного договора;
- − предусмотренных законодательством.
-
2.8 Обработка персональных данных граждан Республики Узбекистан
Оператор при обработке персональных данных граждан Республики Узбекистан с использованием информационных технологий, в том числе во всемирной информационной сети Интернет, обязан обеспечить их сбор, систематизацию и хранение в базах персональных данных на технических средствах, физически размещенных на территории Республики Узбекистан и зарегистрированных в установленном порядке в Государственном реестре баз персональных данных.
-
2.9 Трансграничная передача персональных данных
Трансграничная передача персональных данных осуществляется на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.
Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту персональных данных, может осуществляться в случаях:
- − наличия согласия субъекта на трансграничную передачу его персональных данных;
- − необходимости защиты конституционного строя Республики Узбекистан, охраны общественного порядка, прав и свобод граждан, здоровья и нравственности населения;
- − предусмотренных международными договорами Республики Узбекистан.
Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Республики Узбекистан, нравственности, здоровья, прав и законных интересов граждан Республики Узбекистан, обеспечения обороны страны и безопасности государства.
-
-
3. Права субъекта персональных данных
-
3.1. Согласие субъекта персональных данных на обработку его персональных данных
убъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законом.
-
3.2. Права субъекта персональных данных
Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с Законом. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Законом меры по защите своих прав.
Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Законом, или при наличии согласия Субъекта в письменной форме, в том числе в виде электронного документа.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный государственный орган или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.
-
-
4. Обеспечение безопасности персональных данных
Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований законодательства в области защиты персональных данных.
Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:
- − назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
- − ограничение состава лиц, допущенных к обработке персональных данных;
- − ознакомление субъектов с требованиями Закона и нормативных документов Оператора по обработке и защите персональных данных;
- − организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
- − определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
- − разработка на основе модели угроз системы защиты персональных данных;
- − проверка готовности и эффективности использования средств защиты информации;
- − разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
- − регистрация и учет действий пользователей информационных систем персональных данных;
- − использование антивирусных средств и средств восстановления системы защиты персональных данных;
- − применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
- − организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.
-
5. Заключительные положения
Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Республики Узбекистан в области персональных данных.
Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в установленном порядке.