ПОЛИТИКА КОМПАНИИ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОБЩИЕ ПОЛОЖЕНИЯ

Политика обработки персональных данных (далее – Политика) разработана в соответствии с законом ЗРУ-547 от 02.07.2019 года «О персональных данных» (далее – закон).
Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО “UPSOFT” (далее – Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
В Политике используются следующие основные понятия:
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
блокирование персональных данных - временное прекращение обработки персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку, информационных технологий и технических средств физически размещенных на территории Республики Узбекистан и зарегистрированных в установленном порядке в Государственном реестре баз персональных данных;
обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, систематизацию, накопление, хранение, изменение, дополнение, использование, предоставление, распространение, передача, обезличивание, уничтожение персональных данных;
оператор - государственный орган, юридическое или физическое лицо, осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) или дающая возможность его идентификации;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно- телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
трансграничная передача персональных данных - передача персональных данных собственником и (или) оператором за пределы территории Республики Узбекистан;
уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.

2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1 Принципы обработки персональных данных
Обработка персональных данных у Оператора осуществляется на основе следующих принципов:
  • соблюдение конституционных прав и свобод человека и гражданина;
  • законность целей и способов обработки персональных данных;
  • точность и достоверность персональных данных;
  • конфиденциальность и защищенность персональных данных;
  • равенство прав субъектов, собственников и операторов;
  • безопасность личности, общества и государства;
  • недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
  • уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей.
2.2 Условия обработки персональных данных
Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:
  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • необходимости обработки этих данных для выполнения договора, стороной которого является субъект, или принятия мер по запросу субъекта до заключения такого договора;
  • необходимости обработки этих данных для исполнения обязательств собственника и (или) оператора, определенных законодательством Республики Узбекистан;
  • необходимости обработки этих данных для защиты законных интересов субъекта или другого лица;
  • необходимости обработки этих данных для осуществления прав и законных интересов собственника и (или) оператора или третьего лица либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и законные интересы субъектов персональных данных;
  • обработки этих данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
  • если эти данные получены из общедоступных источников.
2.3 Персональные данные формируется путем сбора данных достаточных для выполнения задач, осуществляемых оператором.
Оператор самостоятельно определяет порядок сбора, систематизации персональных данных. Хранение персональных данных осуществляется в электронной форме.
Сбор и обработка персональных данных осуществляется в целях оказания услуг, а также с целью уведомления, в том числе путем совершения звонков и отправки коротких сообщений по мобильной связи и на электронную почту собственника. Срок оказания услуг определяется оператором.
Срок хранения персональных данных определяется датой достижения целей их сбора и обработки.
2.4 Изменение персональных данных.
Оператор в течении трех дней с момента обращения собственника обязан внести изменение и дополнение к персональным данным. В случае обнаружение данных, не соответствующих действительности изменение и дополнение осуществляется незамедлительно.
2.5 Конфиденциальность персональных данных.
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или наличия иного законного основания.
2.6 Общедоступные источники персональных данных.
В целях информационного обеспечения у Оператора могут создаваться общедоступные источники персональных данных субъектов, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.
Сведения о субъекте должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта либо по решению суда или иных уполномоченных государственных органов.
2.7 Специальные категории персональных данных
Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:
  • субъект персональных данных дал согласие в письменной форме, в том числе в виде электронного документооборота на обработку своих персональных данных;
  • персональные данные сделаны общедоступными субъектом персональных данных;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Республики Узбекистан сохранять врачебную тайну;
  • обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия.
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено законодательством Республики Узбекистан.
Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с законодательством Республики Узбекистан.
2.8 Биометрические персональные данные
Сведения, которые характеризуют физиологические и анатомические особенности человека, на основании которых можно установить его личность - биометрические персональные данные - могут обрабатываться только при наличии согласия данного субъекта, за исключением случаев, связанных с реализацией международных договоров Республики Узбекистан, осуществлением правосудия, исполнительным производством, а также в иных случаях, предусмотренных законодательством Республики Узбекистан.
Использование и хранение биометрических данных в электронной форме вне информационных систем может осуществляться только на материальных носителях информации, исключающих несанкционированный доступ к ним.
2.9 Поручение обработки персональных данных другому лицу
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законом.
2.10 Трансграничная передача персональных данных
Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
  • наличия согласия субъекта персональных данных на трансграничную передачу его персональных данных.
В случае предусмотренных законодательством Республики Узбекистан.

3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Согласие субъекта персональных данных на обработку его персональных данных
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в письменной или электронной форме.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, в соответствии с законом, возлагается на Оператора.
3.2 Права субъекта персональных данных
Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения, а также принимать предусмотренные законом меры по защите своих прав.
  • получать информацию об условиях предоставления доступа к своим персональным данным от собственника и (или) оператора;
  • дать согласие на обработку своих персональных данных и отозвать такое согласие;
  • дать согласие собственнику и (или) оператору, а также третьему лицу на распространение своих персональных данных в общедоступных источниках персональных данных;
  • требовать от собственника и (или) оператора временного приостановления обработки своих персональных данных, в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для целей обработки.
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Компания не докажет, что такое согласие было получено.
Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законами, или при наличии согласия в письменной форме субъекта персональных данных.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
4. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ4.1 Безопасность персональных данных.
Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований законодательства Республики Узбекистан в области защиты персональных данных.
4.2 Предотвращение несанкционированного доступа.
Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:
  • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
  • ограничение состава лиц, имеющих доступ к персональным данным;
  • ознакомление субъектов с требованиями законодательства и нормативных документов Оператора по обработке и защите персональных данных;
  • организация учета, хранения и обращения носителей информации;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
  • разработка на основе модели угроз системы защиты персональных данных;
  • проверка готовности и эффективности использования средств защиты информации;
  • разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
  • регистрация и учет действий пользователей информационных систем персональных данных;
  • использование антивирусных средств и средств восстановления системы защиты персональных данных;
  • применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
  • организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.
5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Иные права и обязанности Оператора, как оператора персональных данных определяются законодательством Республики Узбекистан.
Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством Республики Узбекистан.