Политика

обработки персональных данных субъектов общества с

ограниченной ответственностью

«FUTURE OPEN TECHNOLOGY GROUP»


Содержание:

1. Назначение и область применения.

2. Сокращения, основные понятия и термины.

3. Правовые основания обработки персональных данных.

4. Цели сбора и обработки персональных данных.

5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.

6. Порядок и условия обработки персональных данных.

7. Порядок обработки обращений и запросов субъектов.

8. Порядок действий в случае запросов надзорных органов.

9. Заключительные положения.

Раздел 1. Назначение и область применения.

1.1. Настоящий документ описывает политику обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным.

1.2. Цель разработки настоящей Политики – обеспечение защиты прав и свобод человека и гражданина, при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3. Настоящая Политика обработки персональных данных субъектов общества с ограниченной ответственностью «FUTURE OPEN TECHNOLOGY GROUP» (далее по тексту: Политика) распространяется на данные полученные как «до» введения в действие настоящей Политики, так и «после».

Раздел 2. Сокращения, основные понятия и термины.

Персональные данные (далее по тексту: «ПдН») - зафиксированная на электронном, бумажном и ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации;

Субъект персональных данных – физическое лицо, к которому относятся персональные данные;

Оператор базы персональных данных (оператор) - государственный орган, физическое лицо и (или) юридическое лицо, осуществляющие обработку персональных данных;

Обработка персональных данных – реализация одного или совокупности действий по сбору , систематизации, хранению, изменению, дополнению, использованию, предоставлению, распространению, передаче, обезличиванию и уничтожению персональных данных;

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение во Всемирной информационной сети Интернет или предоставление доступа к персональным данным каким-либо иным способом;

Предоставление персональных данных - действия, направленные на раскрытие персональных данных конкретному лицу или кругу лиц;

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить персональные данные;

Обезличивание персональных данных - действия, в результате совершения которых определение принадлежности персональных данных конкретному субъекту становится невозможным;

База персональных данных - база данных в виде информационной системы, содержащая в своем составе персональные данные;

Трансграничная передача персональных данных - передача персональных данных собственником и (или) оператором за пределы территории Республики Узбекистан, с соблюдением норм и требований действующего законодательства Республики Узбекистан.;

Информация - сведения (сообщения, данные) независимо от формы их представления.

Раздел 3. Правовые основания обработки персональных данных

3.1. Политика разработана в соответствии со следующими нормативно-правовыми актами Республики Узбекистан:
  1. Конституция Республики Узбекистан;
  2. Гражданский кодекс Республики Узбекистан;
  3. Кодекс Республики Узбекистан об Административной ответственности;
  4. Трудовой кодекс Республики Узбекистан;
  5. Уголовный кодекс Республики Узбекистан;
  6. Закон Республики Узбекистан «О персональных данных» от 21 июня 2019 года №547 (далее – ЗРУ № 547);
  7. Указ Президента Республики Узбекистан от 22.06.2020 г. № УП-6012 «Об утверждении национальной стратегии Республики Узбекистан по правам человека»;
  8. Закон Республики Узбекистан, от 11.12.2003 г. № 560-II «Об информатизации»;
  9. Закон Республики Узбекистан, от 11.09.2014 г. № ЗРУ-374 «О коммерческой тайне»;
  10. Постановление Кабинета министров Республики Узбекистан от 08.02.2020 г. № 71 «Об утверждении положения о государственном реестре баз персональных данных».
3.2. АО «FUTURE OPEN TECHNOLOGY GROUP» осуществляет обработку персональных данных на законной и справедливой основе. Правовым основанием обработки персональных данных является совокупность нормативно правовых актов и юридически значимых документов, во исполнение которых и в соответствии с которыми АО «FUTURE OPEN TECHNOLOGY GROUP» осуществляет обработку персональных данных:
  • Трудовой кодекс Республики Узбекистан;
  • Договоры, заключаемые между АО «FUTURE OPEN TECHNOLOGY GROUP» и субъектами персональных данных;
  • Договоры, заключаемые между АО «FUTURE OPEN TECHNOLOGY GROUP» и другими юридическими лицами, в рамках которых предполагается обработка персональных данных;
  • Закон Республики Узбекистан, от 06.01.2012 г. № ЗРУ-319 «О конкуренции»;
  • Согласие на обработку персональных данных и т.д.

Раздел 4. Цели сбора и обработки персональных данных.

4.1. Целями обработки персональных данных являются:
  • Исполнение функциональных обязанностей юридического лица как работодателя;
  • Исполнение функциональных обязанностей юридического лица как участника рынка ценных бумаг;
  • Обеспечения финансово-хозяйственной деятельности АО «FUTURE OPEN TECHNOLOGY GROUP»;
  • Заключение договоров с юридическими лицами и индивидуальными предпринимателями для оказания услуг и (или) выполнения работ;
  • Участие АО «FUTURE OPEN TECHNOLOGY GROUP», в качестве владельца программного обеспечения , при заключении между финансовыми институтами, партнерами и потребителями услуг и товаров B2B и В2С сделок;
  • Осуществление мероприятий в сфере привлечения новых покупателей/потребителей.

Раздел 5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.

5.1. Содержание и объем обрабатываемых персональных данных полностью соответствуют заявленным целям обработки.

5.2. АО «FUTURE OPEN TECHNOLOGY GROUP» осуществляет сбор и дальнейшую обработку следующих категорий субъектов персональных данных:
  • соискатели на вакантные должности, работники, состоящие в трудовых отношениях и ранее работавшие работники и прекратившие трудовой договор, а также их близкие родственники;
  • сотрудники аффилированных компаний;
  • члены совета директоров;
  • акционеры;
  • потребители/покупатели, изъявившие желание участвовать в Программе лояльности клиентов;
  • работники сторонних субъектов предпринимательской деятельности;
  • лица, пользующиеся платформой, маркетплейсом, и программы по рассрочке оплаты платежа при покупке товаров и тп. в качестве в качестве, партнеров (поставщиков) и потребителей услуг и товаров в рамках B2B и В2С сделок;
  • Юридические и физические лица, использующие услуги продукта Open banking
  • Сотрудники юридических лиц, являющихся клиентами продукта Open banking

Раздел 6. Порядок и условия обработки персональных данных.

6.1. Все персональные данные субъектов АО «FUTURE OPEN TECHNOLOGY GROUP» получает от них самих, либо от их законных представителей, а также от финансовых институтов (банков), партнеров, которые уполномочены предоставлять такие данные. Получение персональных данных от субъектов осуществляется на бумажных, электронных носителях, также получение персональных данных может быт ь о с уще ст влено с помощ ью веб-сайта: https://openbiznes.uz, элек тронной почты:openbiznes@opentech.uz, программных платформ, маркетплейсов, обеспечивающих возможность заключения B2B и B2C сделок с товарами и услугами на условиях рассрочки платежа.

6.2. Обработка персональных данных осуществляется в соответствии с действующим законодательством Республики Узбекистан на основании согласия субъекта персональных данных, кроме случаев, предусмотренных ЗРУ № 547. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).

6.3. Под обработкой персональных данных понимаются действия (операции) с персональными данными, включающие:
  • сбор, хранение, уточнение (обновление, изменение);
  • систематизацию, накопление;
  • использование, распространение, передачу;
  • обезличивание, блокирование, уничтожение

6.4. Субъект ПДн принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.

6.5. ПДн субъектов АО «FUTURE OPEN TECHNOLOGY GROUP» обрабатываются в структурных подразделениях в соответствии с исполняемыми функциями.

6.6. Доступ к ПДн, обрабатываемым в информационных системах персональных данных (далее - ИСПДн), осуществляется в соответствии со списком, утверждённым в порядке, определяемом в АО «FUTURE OPEN TECHNOLOGY GROUP».

6.7. Уполномоченные лица, допущенные к ПДн субъектов АО «FUTURE OPEN TECHNOLOGY GROUP», имеют право получать только те ПДн субъекта, которые необходимы для выполнения конкретных функций, в соответствии с должностной инструкцией уполномоченных лиц.

6.8. Персональные данные при такой их обработке, обособляются от иной информации, в частности, путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).

6.8. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.

6.9. ПДн подлежат уничтожению либо обезличиванию в следующих случаях:
  • достигнуты цели обработки или утрачена необходимость в их достижении;
  • получен отзыв согласия субъекта ПДн на обработку ПДн;
  • представление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • выявление неправомерной обработки ПДн при обращении субъекта ПДн или его законного представителя и невозможности обеспечить правомерную обработку Пдн;
  • при вступлении в законную силу решения суда.
6.10. Хранение:
  • 6.10.1. материальных носителей ПДн осуществляется в специально оборудованных шкафах и сейфах. Места хранения определяются приказом об утверждении мест хранения материальных носителей ПДн АО «FUTURE OPEN TECHNOLOGY GROUP»;
  • 6.10.2. цифровых носителей путем шифрования трафика между клиентскими (субъект) приложениями и сервером базы данных. При этом используются протоколы шифрования, такие как SSL/TLS, для защиты данных в процессе передачи. Данные, хранящиеся в базе данных, будут зашифрованы с использованием различных методов шифрования, таких как AES (Advanced Encryption Standard) SHA. В целях отслеживания активности в базе данных, обнаруживания подозрительных действий и реагировать в отношение них требуется аутентификация и авторизация для контроля доступа к данным в базе данных (БД), а также мониторинг и аудит.

6.11. В срок, не превышающий 10 дней со дня предоставления субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, АО «FUTURE OPEN TECHNOLOGY GROUP» вносит в них необходимые изменения, а также уведомляет субъекта о внесенных изменениях, а в том случае, если необходимо внести изменение и дополнение персональных данных, не соответствующих действительности - безотлагательно с момента установления такого несоответствия.

6.12. Уничтожение ПДн осуществляется в срок, не превышающий 30 рабочих дней с момента достижения цели обработки ПДн, если иное не предусмотрено законодательством РУз.

6.13. Уничтожение ПДн осуществляется в срок, не превышающий 30 рабочих дней с момента отзыва согласия субъекта ПДн на обработку ПДн.

6.14. Уничтожение ПДн осуществляется в срок, не превышающий 7 рабочих дней с момента представления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

6.15. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его законного представителя и невозможности обеспечить правомерную обработку ПДн уничтожение ПДн осуществляется в срок, не превышающий 10 рабочих дней с момента выявления неправомерной обработки ПДн. Решение о неправомерности обработки ПДн и необходимости уничтожения персональных данных принимает ответственный за организацию обработки ПДн, который доводит соответствующую информацию до руководства. АО «FUTURE OPEN TECHNOLOGY GROUP» уведомляет субъекта ПДн или его законного представителя об уничтожении персональных данных.

6.16. Уничтожение ПДн осуществляет комиссия в составе сотрудников структурного подразделения, обрабатывавшего ПДн субъекта и установившего необходимость уничтожения ПДн под контролем руководителя этого структурного подразделения.

6.17. Способ уничтожения материальных носителей ПДн определяется комиссией. Допускается применение следующих способов:
  • сжигание;
  • шредирование (измельчение);
  • передача на специализированные полигоны (свалки);
  • химическая обработка;
  • удаление персональных данных с автоматизированных носителей, обеспечивая невозможность восстановления ПДн.

6.18. При этом составляется акт, подписываемый председателем комиссии, проводившей уничтожение материальных носителей персональных данных.

6.19. При необходимости уничтожения большого количества материальных носителей или применения специальных способов уничтожения допускается привлечение специализированных организаций. В этом случае члены комиссии по уничтожению ПДн должны присутствовать при уничтожении материальных носителей ПДн. При этом к акту уничтожения необходимо приложить накладную на передачу материальных носителей ПДн подлежащих уничтожению, в специализированную организацию.

6.20. Уничтожение полей баз данных АО «FUTURE OPEN TECHNOLOGY GROUP», содержащих ПДн субъекта, выполняется в следующих случаях:
  • достигнуты цели обработки или утрачена необходимость в их достижении;
  • получен отзыв согласия субъекта ПДн на обработку ПДн;
  • представление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • выявление неправомерной обработки ПДн при обращении субъекта ПДн или его законного представителя и невозможности обеспечить правомерную обработку ПДн;
  • при вступлении в законную силу решения суда.

6.21. Уничтожение осуществляет комиссия, в состав которой входят лица, ответственные за техническое обслуживание автоматизированных систем, которым принадлежат базы данных.

6.22. Уничтожение достигается путем затирания информации на носителях информации (в том числе и резервных копиях). При этом составляется акт, утверждаемый лицом, ответственным за техническое обслуживание автоматизированных систем, которому принадлежат базы данных.

6.23. Уничтожение архивов электронных документов и протоколов электронного взаимодействия может не проводиться, если ведение и сохранность их в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами.

6.24. При отсутствии технической возможности осуществить уничтожение ПДн, содержащихся в базах данных, допускается проведение обезличивания путем перезаписи полей баз данных. Перезапись должна быть осуществлена таким образом, чтобы дальнейшая идентификация субъекта ПДн была не возможна.

6.25. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.

6.26. АО «FUTURE OPEN TECHNOLOGY GROUP» не осуществляет обработку биометрических персональных данных.

6.27. Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн.

6.28. Защиту ПДн субъектов от неправомерного их использования или утраты АО «FUTURE OPEN TECHNOLOGY GROUP» обеспечивает за счет собственных средств в порядке, установленном законодательством РУз.

6.29. При обработке ПДн принимаются необходимые организационные и технические меры по обеспечению их конфиденциальности.

6.30. Технические меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с:
  • ЗРУ № 547;
  • Внутренними документами АО «FUTURE OPEN TECHNOLOGY GROUP», действующими в сфере обеспечения информационной безопасности.

6.31. Защита персональных данных предусматривает ограничение к ним доступа.

6.32. Утверждены распоряжением директора АО «FUTURE OPEN TECHNOLOGY GROUP» и приняты к исполнению локальные нормативные акты, в том числе:
  • документы, определяющие порядок обработки персональных данных;
  • приказы об установлении перечня лиц, осуществляющих обработку персональных данных либо имеющих доступ к ним;
  • формы согласия субъекта на обработку его персональных данных (чек лист на сайте и или в мобильном приложении);
  • документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РУз, устранение последствий таких нарушений;
  • документы, регламентирующие порядок осуществления внутреннего контроля;
  • документы, направленные на оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства в области персональных данных;
  • порядок доступа лиц в помещения, где ведется обработка персональных данных;
  • типовое обязательство о неразглашении персональных данных;
  • типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
  • перечень информационных систем персональных данных.

6.33. АО «FUTURE OPEN TECHNOLOGY GROUP» оставляет за собой право проверить полноту и точность предоставленных персональных данных при наличии согласия субъекта персональных данных. В случае выявления ошибочных или неполных персональных данных, АО «FUTURE OPEN TECHNOLOGY GROUP» имеет право прекратить все отношения с субъектом персональных данных.

6.34. АО «FUTURE OPEN TECHNOLOGY GROUP» в целях соблюдения законодательства Республики Узбекистан, принимает необходимые правовые и технические меры для защиты ПДн от неправомерного и/или несанкционированного доступа к ПДн, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн, в частности: назначение лица, ответственного за организацию обработки ПДн и ответственного за обеспечение безопасности ПДн.

Раздел 7. Порядок обработки обращений и запросов субъектов.

7.1. При обращении либо письменном запросе субъекта персональных данных или его законного представителя, на доступ к своим персональным данным ОО «FUTURE OPEN TECHNOLOGY GROUP» руководствуется требованиями статей 18, 19, 21, 22 и 23 ЗРУ №547.

7.2. Доступ субъекта персональных данных или его законного представителя к своим персональным данным АО «FUTURE OPEN TECHNOLOGY GROUP» предоставляет только под контролем ответственного за организацию обработки ПДн АО «FUTURE OPEN TECHNOLOGY GROUP».

7.3. Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.

7.4. Письменный запрос субъекта персональных данных или его законного представителя фиксируются в журнале регистрации письменных запросов граждан на доступ к своим персональным данным.

7.5. Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекта к персональным данным.

7.6. В случае, если данных предоставленных субъектом недостаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы других лиц, ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение ч. 4 ст. 22 ЗРУ № 547 или иного нормативно правового акта, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.

7.7. Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает сотрудника (сотрудников) структурного подразделения, обрабатывающего персональные данные субъекта по согласованию с руководителем этого структурного подразделения.

7.8. Сведения о наличии персональных данных АО «FUTURE OPEN TECHNOLOGY GROUP» предоставляет субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.

7.9. Сведения о наличии персональных данных должны быть предоставлены субъекту при ответе на запрос в течение пятнадцати дней от даты получения запроса субъекта персональных данных или его законного представителя.

Раздел 8. Порядок действий в случае запросов надзорных органов.

8.1. В соответствии с ч. 4 ст. 20 ЗРУ № 547 АО «FUTURE OPEN TECHNOLOGY GROUP» сообщает в уполномоченный орган по защите прав субъектов ПДн о каждом изменении данных, необходимых для регистрации соответствующей базы персональных данных, не позднее десяти календарных дней со дня наступления такого изменения.

8.2. Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки ПДн при необходимости с привлечением сотрудников АО «FUTURE OPEN TECHNOLOGY GROUP».

8.3. В течение установленного законодательством срока ответственный за организацию обработки ПДн подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.

Раздел 9. Заключительные положения.

9.1. Настоящая Политика является локальным нормативным актом АО «FUTURE OPEN TECHNOLOGY GROUP».

9.2. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается публикацией на Сайте АО «FUTURE OPEN TECHNOLOGY GROUP».

9.3. Настоящая Политика может быть пересмотрена в любом из следующих случаев:
  • при изменении законодательства Республики Узбекистан в области обработки и защиты персональных данных;
  • в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики;
  • по решению руководства АО «FUTURE OPEN TECHNOLOGY GROUP»;
  • при изменении целей и сроков обработки ПДн;
  • при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);
  • при применении новых технологий обработки и защиты ПДн (в т. ч. передачи, хранения);
  • при появлении необходимости в изменении процесса обработки ПДн, связанной с деятельностью АО «FUTURE OPEN TECHNOLOGY GROUP».