директором ООО «ETAGI GROUP»
А.Е. Югай
«1» мая 2021 г.
1. Термины и определения
Сайт – совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети Интернет. Под Сайтом в Соглашении понимается Сайт, расположенный в сети Интернет по адресу: www.etagi.com.
Пользователь – любой пользователь сайта www.etagi.com, мобильного приложения «Этажи». Мобильное приложение «Этажи» - программное обеспечение, предназначенное для технического доступа к Сайту со смартфонов, планшетов и других мобильных устройств, с целью покупки/продажи недвижимости, контролирования сделок с недвижимостью через личный кабинет Пользователя, подбора ипотечных программ, поддержания связи со специалистами Оператора, в том числе посредством чатов.
Персональные данные – зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации.
Оператор базы персональных данных (оператор) – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, осуществляющая обработку персональных данных. Оператором является ООО «ETAGI GROUP», ОГРН 983572, ИНН 308 439 823, адрес регистрации: Республика Узбекистан, г.Ташкент, Яшнабадский район, ул. Мирзо-Улугбека, здание №55, 100007.
Субъект персональных данных (субъект) — физическое лицо, к которому относятся персональные данные.
Собственник базы персональных данных (собственник) — государственный орган, физическое и (или) юридическое лицо, обладающее правом владения, пользования и распоряжения базой персональных данных;
Третье лицо — любое лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними обстоятельствами или отношениями по обработке персональных данных.
Обработка персональных данных – реализация одного или совокупности действий по сбору, систематизации, хранению, изменению, дополнению, использованию, предоставлению, распространению, передаче, обезличиванию и уничтожению персональных данных.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение во Всемирной информационной сети Интернет или предоставление доступа к персональным данным каким-либо иным способом.
Трансграничная передача персональных данных – передача персональных данных собственником и (или) оператором за пределы территории Республики Узбекистан.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных конкретному лицу.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить персональные данные.
Обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных конкретному субъекту становится невозможным.
2. Общие положения
2.1. Положение о порядке хранения и защиты персональных данных Пользователей Сайта (далее — Положение) разработано с целью соблюдения требований законодательства РУз, содержащих персональные данные и идентификации Пользователей, находящихся на Сайте.
2.2. Положение разработано в соответствии с Конституцией РУз, Гражданским кодексом РУз, действующим законодательством РУз в области защиты персональных данных и иными нормативными правовыми актами Республики Узбекистан, Уставом Оператора и иными локальными актами Оператора.
2.3. Положение устанавливает порядок обработки персональных данных Пользователей Сайта: действия по сбору, систематизации, хранению, изменению, дополнению, использованию, предоставлению, распространению, передаче, обезличиванию и уничтожению персональных данных.
2.4. Положение устанавливает обязательные для сотрудников Оператора, задействованных в обслуживании Сайта, общие требования и правила по работе со всеми видами носителей информации, содержащими персональные данные Пользователей Сайта.
2.5. В Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну Республики Узбекистан.
2.6. Целями Положения являются:
- обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
- исключение несанкционированных действий сотрудников Оператора и любых третьих лиц по сбору, систематизации, хранению, изменению, дополнению, использованию, предоставлению, распространению, передаче, обезличиванию и уничтожению персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть Оператора, обеспечение правового и нормативного режима конфиденциальности недокументированной информации Пользователей Сайта; защита конституционных прав граждан на личную тайну, конфиденциальность сведений, составляющих персональные данные, и предотвращение возникновения возможной угрозы безопасности Пользователей Сайта.
2.7. Принципы обработки персональных данных:
- обработка персональных данных должна осуществляться на законной и справедливой основе;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
- хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Законом Республики Узбекистан «О персональных данных», договором, стороной которого является Пользователь;
- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом Республики Узбекистан «О персональных данных»
2.8. Условия обработки персональных данных.
2.8.1. Обработка персональных данных Пользователей Сайта осуществляется на основании Конституции РУз, Гражданского кодекса РУз, действующего законодательства РУз в области защиты персональных данных.
2.8.2. Обработка персональных данных, в том числе на Сайте, осуществляется с соблюдением принципов и правил, предусмотренных Положением и законодательством РУз.
Обработка персональных данных допускается в следующих случаях:
- согласия субъекта на обработку этих данных;
- необходимости обработки этих данных для выполнения договора, стороной которого является субъект, или принятия мер по запросу субъекта до заключения такого договора;
- необходимости обработки этих данных для исполнения обязательств собственника и (или) оператора, определенных законодательством;
- необходимости обработки этих данных для защиты законных интересов субъекта или другого лица;
- необходимости обработки этих данных для осуществления прав и законных интересов собственника и (или) оператора или третьего лица либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и законные интересы субъектов персональных данных;
- обработки этих данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
- если эти данные получены из общедоступных источников.
При необходимости обработки персональных данных в целях защиты прав и законных интересов субъекта их обработка допускается без согласия последнего до момента, когда получение согласия станет возможным.
2.9. Сведениями, составляющими персональные данные на Сайте, является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
2.10. Источники получения персональных данных Пользователей.
2.10.1. Источником информации обо всех персональных данных Пользователя является непосредственно сам Пользователь и/или его представитель/законный представитель.
2.10.2. Персональные данные Пользователей относятся к конфиденциальной информации ограниченного доступа.
2.10.3. Обеспечения конфиденциальности персональных данных не требуется в случае их обезличивания, а также в отношении общедоступных персональных данных.
2.10.4. Оператор не имеет права собирать и обрабатывать персональные данные Пользователя о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости, за исключением случаев, предусмотренных действующим законодательством.
2.11. Способы обработки персональных данных.
2.11.1. Оператор обрабатывает персональные данные Пользователей сайтом только автоматизированным способом.
2.12. Права субъектов (Пользователей) персональных данных.
2.12.1. Пользователь имеет право знать о наличии у собственника и (или) Оператора, а также третьего лица своих персональных данных и их состав; получать по запросу информацию об обработке персональных данных от собственника и (или) Оператора;
получать информацию об условиях предоставления доступа к своим персональным данным от собственника и (или) Оператора.
2.12.2. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Закона Республики Узбекистан «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обращаться по вопросам защиты прав и законных интересов в отношении своих персональных данных в уполномоченный государственный орган или суд.
2.12.3. Субъект персональных данных имеет право требовать от собственника и (или) Оператора временного приостановления обработки своих персональных данных, в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для целей обработки.
2.13. Права и обязанности Оператора.
Собственник и (или) Оператор обязаны:
- соблюдать законодательство о персональных данных;
- предоставлять по обращению субъекта информацию касательно обработки его персональных данных;
- утверждать состав персональных данных, необходимый и достаточный для выполнения ими задач;
- принимать меры по уничтожению персональных данных в случае достижения цели их обработки, а также в иных случаях, установленных настоящим Законом;
- представлять доказательство получения согласия субъекта на обработку его персональных данных в случаях, предусмотренных законодательством;
- изменить и (или) дополнить персональные данные при условии документального подтверждения достоверности новых данных или уничтожить их при невозможности внесения таких изменений и (или) дополнений;
- временно приостанавливать обработку или уничтожать персональные данные в случае наличия информации о нарушении условий их обработки;
- обеспечить возможность подачи субъектом документов в электронном виде на временное приостановление обработки и (или) уничтожение его персональных данных;
- уведомить в письменной форме субъекта, а также других участников обработки персональных данных в случаях изменения, уничтожения персональных данных и ограничения доступа к ним;
- уведомить в письменной форме субъекта в случае передачи персональных данных третьему лицу;
- зарегистрировать находящиеся в собственности и (или) обрабатываемые базы персональных данных;
- принимать необходимые правовые, организационные и технические меры по защите персональных данных.
2.13.2. Собственник и (или) оператор вправе поручить обработку персональных данных третьему лицу в случаях:
- наличия согласия субъекта в письменной форме, в том числе в виде электронного документа;
- если решение принимается во исполнение договора между собственником и субъектом или выполнения условий ранее заключенного договора;
- предусмотренных законодательством.
2.14. Режим конфиденциальности персональных данных.
2.14.1. Оператор обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства РУз.
2.14.2. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено Законом Республики Узбекистан «О персональных данных».
2.14.3. В соответствии с перечнем персональных данных, обрабатываемых на сайте, персональные данные Пользователей Сайта являются конфиденциальной информацией.
2.14.4. Лица, осуществляющие обработку персональных данных, обязаны соблюдать требования регламентирующих документов
Оператора в части обеспечения конфиденциальности и безопасности персональных данных.
3. Обработка персональных данных
3.1. Перечень обрабатываемых персональных данных Пользователей:
- фамилия;
- имя;
- отчество;
- год (в т.ч. дата, месяц) рождения;
- место рождения;
- паспортные данные;
- адрес;
- образование;
- профессия;
- мобильный телефон;
- электронная почта;
- иные персональные данные, сообщаемые субъектом.
3.2. Лица, имеющие право доступа к персональным данным.
3.2.2. Перечень лиц, имеющих доступ к персональным данным регламентируется внутренними документами.
3.3.1. Оператор осуществляет только хранение персональных данных Пользователей на Сайте.
3.3.2. Сроки хранения персональных данных Пользователей на Сайте определены условиями Пользовательского соглашения, вводятся в действие с момента принятия (акцепта) Пользователем данного соглашения на Сайте и действуют до тех пор, пока Пользователь не заявит о своем желании удалить свои персональные данные с Сайта.
3.3.3. По истечении вышеуказанного срока хранения персональных данных Пользователя персональные данные Пользователя удаляются автоматически заданным алгоритмом, который задает Оператор.
3.3.4. Оператором не ведется обработка персональных данных Пользователей на бумажных носителях информации.
3.4. Временное приостановление обработки персональных данных.
3.4.1. Субъект персональных данных имеет право требовать от собственника и (или) оператора временного приостановления обработки своих персональных данных, в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для целей обработки.
3.4.2. Персональные данные Пользователей обрабатывают только сотрудники Оператора (администраторы баз данных и т. д.), допущенные установленным порядком к обработке персональных данных Пользователей.
3.4.3. Временное приостановление обработки персональных данных на Сайте осуществляется на основании письменного заявления от субъекта персональных данных.
3.5. Уничтожение персональных данных.
3.5.1. Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить персональные данные.
3.5.2. Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом:
- при достижении цели обработки персональных данных;
- при наличии отзыва согласия субъекта на обработку персональных данных;
- по истечении срока обработки персональных данных, определенного согласием субъекта;
- при вступлении в законную силу решения суда.
3.5.3. В случае отсутствия возможности уничтожения персональных данных Оператор временно приостанавливает обработку таких персональных данных.
3.5.4. Уничтожение персональных данных осуществляется путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением).
4. Система защиты персональных данных
4.1. Меры по обеспечению безопасности персональных данных при их обработке.
4.1.1. Собственник и (или) оператор, а также третье лицо принимают правовые, организационные и технические меры по
- защите персональных данных, обеспечивающие:
- реализацию права субъекта на защиту от вмешательства в его частную жизнь;
- целостность и сохранность персональных данных;
- соблюдение конфиденциальности персональных данных;
- предотвращение незаконной обработки персональных данных.
4.1.2. Обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
4.1.3. Для целей Положения под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационной системе персональных данных.
4.2. Защищаемые сведения о субъекте персональных данных.
К защищаемым сведениям о субъекте персональных данных на Сайте относятся данные, позволяющие идентифицировать субъект персональных данных и/или получить о нем дополнительные сведения, предусмотренные законодательством и Положением.
4.3. Защищаемые объекты персональных данных.
4.3.1. К защищаемым объектам персональных данных на Сайте относятся:
- объекты информатизации и технические средства автоматизированной обработки информации, содержащей персональные данные;
- информационные ресурсы (базы данных, файлы и др.), содержащие информацию об информационно-телекоммуникационных системах, в которых циркулируют персональные данные, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;
- каналы связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;
- отчуждаемые носители информации на магнитной, магнитно-оптической и иной основе, применяемые для обработки персональных данных.
4.3.2. Технологическая информация об информационных системах и элементах системы защиты персональных данных, подлежащая защите, включает:
- сведения о системе управления доступом на объекты информатизации, на которых осуществляется обработка персональных данных;
- управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);
- технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);
- характеристики каналов связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;
- информация о средствах защиты персональных данных, их составе и структуре, принципах и технических решениях защиты;
- служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки персональных данных.
4.4. Требования к системе защиты персональных данных. Система защиты персональных данных должна соответствовать требованиям Закона Республики Узбекистан «О персональных данных» от 2 июля 2019 года №ЗРУ-547.
4.4.1. Система защиты персональных данных должна обеспечивать:- своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных.
4.4.2. Средства защиты информации, применяемые в информационных системах, должны в установленном порядке проходить процедуру оценки соответствия.
4.6. Меры защиты информации, составляющей персональные данные.
4.6.1. Меры по охране баз данных, содержащих персональные данные, принимаемые Оператором, включают в себя:
- перечень информации, составляющей персональные данные;
- ограничение доступа к информации, содержащей персональные данные, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка.
4.6.2. Меры по охране конфиденциальности информации признаются разумно достаточными, если:
- исключается доступ к персональным данным любых третьих лиц без согласия Оператора;
- обеспечивается возможность использования информации, содержащей персональные данные, без нарушения законодательства о персональных данных;
- при работе с Пользователем устанавливается такой порядок действий Оператора, при котором обеспечивается сохранность сведений, содержащих персональные данные Пользователя.
4.6.3. Персональные данные не могут быть использованы в целях, противоречащих требованиям Закона Республики Узбекистан «О персональных данных», защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
4.7. Ответственность.
4.7.1. Все сотрудники Оператора, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с Положением, требованиями законодательства РУз.
4.7.2. Лица, виновные в нарушении требований Положения, несут предусмотренную законодательством РУз ответственность.
4.7.3. Ответственность за соблюдение режима персональных данных по отношению к персональным данным, находящимся в базах данных Сайта, несут ответственные за обработку персональных данных.
5. Заключительные положения
5.1. В случае изменения действующего законодательства РУз, внесения изменений в нормативные документы по защите персональных данных настоящее Положение действует в части, не противоречащей действующему законодательству до приведения его в соответствие с такими.
5.2. Условия настоящего Положения устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления Пользователя. С момента размещения на Сайте новой редакции Положения предыдущая редакция считается утратившей свою силу. В случае существенного изменения условий настоящего Соглашения Оператор извещает об этом Пользователей путем размещения на Сайте соответствующего сообщения.
5.3. Если Пользователь не согласен с условиями настоящего Положения, то он должен немедленно удалить свой профиль с Сайта, в противном случае продолжение использования Пользователем Сайта означает, что Пользователь согласен с условиями настоящего Положения.
Форма Заявления о получении доступа субъекта персональных данных к своим данным
Форма Заявления об уничтожении персональных данных на Сайте
Форма Заявления о временном приостановлении персональных данных