Положение об обработке персональных данных

1. Основные понятия

1.1. Основные понятия, используемые в Положении:

1.1.1. Блокирование — временное прекращение Обработки (кроме хранения) при проверке правомерности, достоверности либо по заявлению Субъекта персональных данных.

1.1.2. Веб-сайт – совокупность программных и аппаратных средств, размещённых по адресу https://www.a7a5.kg/, через которые Компанией предоставляется доступ к Предложению и публикуется Положение.

1.1.3. Компания – Общество с ограниченной ответственностью «А7–Кыргызстан», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку Персональных данных, а также определяющее цели обработки Персональных данных, состав Персональных данных, подлежащих обработке, действия (операции), совершаемые с Персональными данными.

1.1.4. Обработка - любая операция или набор операций, выполняемых независимо от способов держателем (обладателем) персональных данных либо по его поручению, автоматическими средствами или без таковых, в целях сбора, записи, хранения, актуализации, группировки, блокирования, стирания и разрушения персональных данных, включая, но не ограничиваясь, следующими способами: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

1.1.5. Обезличивание — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность Персональных данных конкретному Субъекту персональных данных.

1.1.6. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных);

1.1.7. Положение – настоящий документ, расположенный на Вебсайте, по точному адресу: https://www.a7a5.kg/.

1.1.8. Предложение – функциональные возможности, доступные через Веб-сайт, в связи с предложением, изложенным в Основных условиях приобретения и оборота простых векселей Компании, а также условиях выдачи, опубликованных на Веб-сайте, и/или иные каналы, в рамках которых осуществляется Обработка, в том числе для которых Субъект персональных данных и Компания могут заключать сделки и совершать операции.

1.1.9. Согласие — добровольное, конкретное, информированное и осознанное волеизъявление Субъекта персональных данных на Обработку, данное в установленной форме

1.1.10. Субъект персональных данных - физическое лицо, к которому относятся соответствующие персональные данные.

1.1.11. Уничтожение — действия, делающие невозможным восстановление содержания Персональных данных в информационной системе и/или на материальных носителях, в том числе удаление.

1.2. Иные термины и определения используются в смысле, придаваемом им применимым законодательством Кыргызской Республики в сфере персональных данных.

2. Правовые основы обработки персональных данных

2.1. Настоящее Положение устанавливает общие правила и правовые основания Обработки на Веб-сайте и в Предложении и применяется ко всем операциям с Персональными данными, выполняемым автоматизированными, неавтоматизированными или смешанными способами. Положение распространяется на все Персональные данные, которые могут быть получены Компанией в процессе деятельности.

2.2. Положение действует в части, не противоречащей обязательным нормам законодательства Кыргызской Республики в сфере Персональных данных. В случае противоречия применяются нормы законодательства Кыргызской Республики.

2.3. Компания осуществляет Обработку при наличии одного или нескольких из следующих оснований:

2.3.1. согласие Субъекта персональных данных на Обработку, данное в установленной форме;

2.3.2. исполнение обязанностей Компании или государственных или муниципальных органов власти по законодательству Кыргызской Республики, включая случаи, когда Обработка необходима для исполнения предусмотренных законом требований и процедур, а также исполнения полномочий государственных и муниципальных органов;

2.3.3. исполнение договора с Субъектом персональных данных (в том числе в случаях, когда он/она являются стороной, выгодоприобретателем или поручителем по договору) либо принятие мер по инициативе Субъекта персональных данных до заключения договора;

2.3.4. законный интерес Компании, то есть Обработка, необходимая для достижения законных интересов Компании, при условии, что такие интересы не нарушают права и свободы Субъекта персональных данных. При этом при Обработке на основании законного интереса Компания проводит оценку баланса интересов Компании и прав Субъекта персональных данных и применяет меры минимизации воздействия на Субъектов персональных данных, включая ограничение объема данных и сроков хранения, а также предоставление удобных способов направления возражений;

2.3.5. защита интересов Субъекта персональных данных, если Обработка необходима для защиты таких интересов в предусмотренных законом случаях.

2.4. Компания обеспечивает конфиденциальность и безопасность Персональных данных посредством правовых, организационных и технических мер, предусмотренных законодательством Кыргызской Республики и настоящим Положением.

2.5. Настоящее Положение применимо к информации о Субъекте персональных данных, получаемой Компанией при использовании Веб-сайта и (или) в связи с Предложением. Компания не контролирует и не несёт ответственность за обработку информации о Субъекте персональных данных на веб-сайтах третьих лиц, на которые можно перейти по ссылкам, размещённым на Веб-сайте.

2.6. Компания осуществляет Обработку на основе принципов:

2.6.1. законности целей и способов Обработки;

2.6.2. добросовестности Компании, обеспечиваемой соблюдением требований законодательства Кыргызской Республики в отношении Обработки;

2.6.3. соответствия состава и объёма Персональных данных, а также способов Обработки заявленным целям;

2.6.4. точности и достаточности Персональных данных, их актуализации при необходимости;

2.6.5. Уничтожения персональных данных по достижении целей Обработки способом, исключающим возможность восстановления;

2.6.6. недопустимости объединения баз данных, содержащих Персональные данные, Обработка которых осуществляется в целях, несовместимых между собой.

3. Обработка персональных данных

3.1. Компания обрабатывает Персональные данные в объёме, необходимом и достаточном для достижения заранее определённых и законных целей Обработки. Обработка осуществляется с использованием средств автоматизации и без таковых при соблюдении принципов законности, определения целей, минимизации хранения и обеспечения безопасности.

3.2. Сроки хранения Персональных данных определяются исходя из принципа целесообразности и ограничиваются периодом, необходимым для достижения целей Обработки, после чего данные подлежат Уничтожению либо Обезличиванию, если иное не предусмотрено законодательством или договорами.

3.3. В рамках Предложения и исполнения договоров с Субъектом персональных данных Компания может обрабатывать следующие базовые категории Персональных данных:

3.3.1. идентификационные и контактные данные: фамилия, имя, отчество (при наличии), дата рождения (при необходимости), номер мобильного телефона, адрес электронной почты, адрес места жительства, иные личные реквизиты, в том числе паспортные, предоставляемые Субъектом персональных данных;

3.3.2. данные учётной записи: идентификаторы пользователя, сведения об аккаунте, история авторизации, настройки и предпочтения, статус участия в Предложении, иные связанные данные;

3.3.3. платёжные и расчётные сведения: информация о факте и параметрах платежа, способах оплаты, реквизитах расчётных документов, возвратах и взаиморасчётах. Компания не хранит реквизиты банковских карт;

3.3.4. технические данные электронного пути Субъекта персональных данных в связи с Предложением: IP-адрес, дата и время доступа, сведения о сеансе, идентификаторы файлов cookie и аналогичных технологий, идентификаторы устройства/браузера, журналы событий, данные о взаимодействии с интерфейсами;

3.3.5. коммуникации: обращения и запросы Субъекта персональных данных, переписка по поддержке, отметки о Согласии и его отзывах, сведения о подписках и отказах от рассылок;

3.3.6. сведения о том, что Субъект персональных данных воспользовался Предложением;

3.3.7. иные персональные данные, которые предоставляет Субъект персональных данных исходя из сути взаимодействия с Компанией.

3.4. Компания не обрабатывает специальные категории Персональных данных (сведения о здоровье, биометрические данные, убеждения, иное, отнесённое законом к специальным категориям). В рамках настоящего Положения обработка специальных категорий не предполагается.

3.5. Персональные данные предоставляются Субъектом персональных данных непосредственно при регистрации и использовании Предложения, при заполнении форм и направлении иных обращений, а также в рамках заключения и исполнения договоров и иных сделок.

3.6. При использовании Веб-сайта и Предложения осуществляется автоматический сбор технических данных: IP-адрес, дата и время доступа, идентификаторы файлов cookie и аналогичных технологий, параметры устройства и браузера, журналы событий и иные сведения об использовании функциональности.

3.7. Цели Обработки включают в себя:

3.7.1. заключение, исполнение, изменение и прекращение договоров между Компанией и Субъектом персональных данных, а также иное взаимодействие в рамках Предложения;

3.7.2. идентификация Субъекта персональных данных, ведение и администрирование учётной записи, предоставление Предложения;

3.7.3. соблюдение требований законодательства Кыргызской Республики, включая бухгалтерский и налоговый учёт, ответы на законные запросы уполномоченных органов, исполнение установленной отчётности и обязательных процедур;

3.7.4. клиентская поддержка и коммуникации: приём и обработка обращений, уведомления в связи с Предложением, информирование о статусе операций и об изменениях условий обслуживания;

3.7.5. обеспечение безопасности Предложения и предотвращение злоупотреблений: мониторинг событий, расследование инцидентов, ограничение несанкционированного доступа, регистрация и анализ технических логов, меры по сохранению целостности и стабильности работы Предложения;

3.7.6. маркетинг и персонализация в пределах, допустимых законодательством: направление сообщений о Предложении, анализ аудитории и эффективности коммуникаций, сегментация и настройка контента, проведение опросов об удовлетворённости при соблюдении требований к необходимым согласиям и механизмам отказа;

3.7.7. ведение внутренней аналитики и статистики: агрегирование и Обезличивание Персональных данных для улучшения Предложения, разработки новых функций и повышения удобства использования;

3.7.8. защита прав и законных интересов Компании и третьих лиц: досудебное урегулирование и судебная защита, предъявление и рассмотрение претензий, исполнение судебных актов;

3.8. Компания осуществляет Обработку для каждой цели следующими способами:

3.8.1. неавтоматизированная Обработка (т.е. при отсутствии использования средств вычислительной техники);

3.8.2. автоматизированная обработка персональных данных (т.е. при использовании средств вычислительной техники);

3.8.3. смешанная обработка персональных данных.

3.9. Компания вправе передавать Персональные данные третьим лицам в объёме, необходимом для достижения целей, указанных в настоящем Положении, при условии наличия действительных обязательств по конфиденциальности и безопасности.

3.10. Контроль за исполнением требований настоящего Положения осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в Компании.

3.11. Порядок и сроки рассмотрения запросов Субъекта персональных данных, а также правила актуализации, исправления, блокирования, уничтожения Персональных данных регулируются настоящим Положением.

4. Передача персональных данных третьим лицам

4.1. Компания вправе передавать Персональные данные третьим лицам в объёме, необходимом для достижения целей Обработки, определённых настоящим Положением, при условии наличия соответствующего правового основания и соблюдения законодательства Кыргызской Республики о защите персональных данных.

4.2. К получателям Персональных данных могут относиться: провайдеры хостинга и облачной инфраструктуры, подрядчики и контрагенты Компании, сервисы рассылок и аналитики, иные лица, привлекаемые Компанией для оказания услуг и (или) исполнения обязательств перед Субъектами персональных данных.

4.3. Передача Персональных данных осуществляется при наличии действительных обязательств на стороне третьих лиц, предусматривающих обязанности получателя по обеспечению конфиденциальности и безопасности персональных данных, ограничению целей и способов обработки, запрету предоставления данных иным лицам без документально подтверждённого основания.

4.4. Передача Персональных данных государственным органам и иным лицам по требованиям закона допускается в случаях и порядке, предусмотренных законодательством, в пределах запрошенных полномочий и лишь в необходимом объёме.

5. Сроки хранения персональных данных

5.1. Персональные данные хранятся в форме, позволяющей идентифицировать Субъекта персональных данных, не дольше периода, необходимого для достижения целей Обработки, определённых настоящим Положением. По достижении целей соответствующие Персональные данные подлежат Уничтожению либо Обезличиванию.

5.2. Срок хранения может быть продлён в пределах, необходимых:

5.2.1. для исполнения требований законодательства Кыргызской Республики;

5.2.2. для защиты прав и законных интересов Компании или третьих лиц;

5.2.3. для исполнения действующего договора с Субъектом персональных данных, или в случае, если сохранение персональных данных необходимо для надлежащего исполнения Предложения;

5.2.4. для иных целей, предусмотренных законодательством Кыргызской Республики.

5.3. Резервные копии и журналы событий хранятся в пределах технологически необходимого срока, после чего подлежат циклическому Уничтожению либо Обезличиванию; при наличии законной обязанности хранения такие материалы удерживаются до истечения соответствующего срока.

6. Меры по обеспечению конфиденциальности и безопасности персональных данных

6.1. Компания обеспечивает конфиденциальность Персональных данных и организует их защиту путём реализации правовых, организационных и технических мер, сопоставимых с характером и объёмом обрабатываемых данных, рисками для прав Субъекта персональных данных и уровнем технологической инфраструктуры.

6.2. К организационным мерам относятся: назначение ответственных лиц; контроль соблюдения требований настоящего Положения и локальных актов; обучение и принятие обязательств о неразглашении.

6.3. Технические меры включают: применение средств предотвращения несанкционированного доступа; применение технических способов при передаче данных в публичных сетях и при хранении, обеспечивающих конфиденциальность и неразглашение Персональных данных, где это применимо; резервное копирование и восстановление; тестирование уязвимостей.

6.4. К процедурным мерам относятся: предварительная оценка рисков и минимизация объёма Персональных данных; проверка соразмерности целей и состава Обработки; Блокирование на период проверки по заявлению Субъекта персональных данных или при выявлении признаков нарушения; управление инцидентами с регистрацией, локализацией, расследованием и уведомлением получателей данных в пределах договорных и законодательных обязанностей.

6.5. Доступ третьих лиц к Персональным данным предоставляется только при наличии правового основания, в объёме, необходимом для достижения целей Обработки, и при условии соблюдения указанными лицами режима конфиденциальности и требований безопасности, эквивалентных применяемым Компанией.

6.6. Компания периодически пересматривает и актуализирует применяемые меры с учётом изменений в законодательстве Кыргызской Республики, технологиях и моделях угроз, а также результатов внутренних проверок и проверок уполномоченных органов. При выявлении несоответствий меры корректируются безотлагательно.

7. Права Субъекта персональных данных

7.1. Субъект персональных данных вправе получать от Компании подтверждение факта Обработки, доступ к Персональным данным и сведения об Обработке, включая цели, правовые основания, перечень обрабатываемых категорий, источники получения (при наличии), категории получателей, сроки Обработки и хранения, а также порядок реализации прав. Компания предоставляет запрошенную информацию и (или) копию Персональных данных в срок 7 (семь) дней с даты получения запроса либо направляет мотивированный отказ в тот же срок в случаях, предусмотренных законодательством Кыргызской Республики.

7.2. Субъект персональных данных вправе получить копию своих Персональных данных и ознакомиться с документами, содержащими сведения персонального характера о нём, при соблюдении прав и законных интересов иных лиц. Предоставление сведений осуществляется без взимания платы, за исключением случаев предоставления на материальных носителях.

7.3. Субъект персональных данных вправе требовать актуализации и исправления (внесения изменений, уточнения) своих Персональных данных при наличии оснований. Компания вносит изменения в установленном порядке и информирует Субъекта персональных данных о результатах.

7.4. В случае оспаривания достоверности Персональных данных либо правомерности отдельных операций Обработки Субъект персональных данных вправе требовать Блокирования на период проверки. По итогам проверки Блокирование снимается либо спорные операции прекращаются и (или) вносятся соответствующие исправления.

7.5. Субъект персональных данных вправе требовать ограничение Обработки, Уничтожение Персональных данных в случаях, предусмотренных законодательством Кыргызской Республики, включая достижение целей Обработки, утрату необходимости в Обработке либо Обработку с нарушением требований законодательства.

7.6. Субъект персональных данных вправе возражать против Обработки, осуществляемой на основании законного интереса Компании. При получении возражения Компания ограничивает соответствующие операции до завершения проверки правомерности Обработки и уведомляет Субъекта персональных данных о результатах рассмотрения.

7.7. Субъект персональных данных вправе обжаловать действия (бездействие) Компании, связанные с Обработкой, в административном и (или) судебном порядке.

7.8. Порядок подачи и рассмотрения запросов. Запрос Субъекта персональных данных подаётся в форме и способами, указанными в настоящем Положении. Компания регистрирует запрос и направляет ответ в течение 7 (семи) дней с даты его получения. В случае отказа Компания направляет мотивированный ответ в тот же срок с указанием правовых оснований отказа и порядка дальнейшего обжалования.

8. Прочие положения.

8.1. Доступ, изменение, Блокирование персональных данных или Уничтожение персональных данных могут быть ограничены в случаях, предусмотренных законодательством Кыргызской Республики и настоящим Положением. В таком случае Компания направляет мотивированный ответ с указанием правовых оснований и порядка дальнейшего обжалования.

8.2. Информация и копии Персональных данных предоставляются без взимания платы, за исключением случаев предоставления на материальных носителях, когда могут быть возмещены документально подтвержденные расходы на такие носители.

9. Порядок публикации и внесения изменений в Положение

9.1. Положение подлежит постоянной публикации в открытом доступе на Веб-сайте.

9.2. Компания вправе вносить изменения в Положение в пределах действующего законодательства Кыргызской Республики.

9.3. Компания ведёт архив редакций Положения и предоставляет доступ к предыдущим версиям по запросу Субъекта персональных данных.

9.4. Субъект персональных данных выражает свое согласие быть связанным Положением путем любого использования Веб-сайта и (или) Предложения, в том числе, но не ограничиваясь, путем каких-либо действий по регистрации и (или) введению Персональных данных; путем какого-либо использования Предложения, в том числе заключая соответствующие сделки или совершая операции в связи с Предложением, а также путем проставления своего согласия в соответствующих местах функционала Веб-сайта или Предложения, а также путем любого иного взаимодействия с Веб-сайтом и Предложением. В дальнейшем Субъект персональных данных обязуется своевременно и самостоятельно проводить ознакомление с новыми редакциями Положения, выражение согласия на которые в любом случае считается данным Субъектом персональных данных при совершении указанных в настоящем пункте действий.

10. Контакты для реализации прав Субъектов персональных данных:

10.1. Заявления, запросы и возражения по вопросам обработки Персональных данных направляются одним из следующих способов:

10.1.1. почтовым отправлением по адресу: Кыргызская Республика, г. Бишкек, Свердловский район, ул. Шопокова, д. 91 (Торгово-Развлекательный Комплекс «ЦУМ-2»), 7 этаж, №714;

10.1.2. через онлайн-форму обратной связи на Веб-сайте.