1. Агульныя палажэнні
1.1. Сапраўдная палітыка праводзіцца арганізацыяй «OOO LATMEDIA GROUP» (далей — » арганізацыя") у дачыненні да апрацоўкі і забеспячэння абароны персанальных дадзеных фізічных асоб (суб'ектаў персанальных дадзеных) на падставе Артыкул 12. № ЗРУ-547 Рэспублікі Узбекістан.
1.2. Палітыка ўжываецца ў дачыненні да ўсіх персанальных дадзеных (суб'ектаў), якія могуць быць атрыманы арганізацыяй у працэсе дзейнасці, у тым ліку кліентаў арганізацыі.
1.3. Мэта палітыкі заключаецца ў давядзенні да асоб, якія прадстаўляюць свае персанальныя дадзеныя, неабходнай інфармацыі, якая дазваляе ацаніць, якія персанальныя дадзеныя і з якімі мэтамі апрацоўваюцца арганізацыяй, якія метады забеспячэння іх бяспекі рэалізуюцца.
1.4. Палітыка забяспечвае абарону правоў і свабод суб'ектаў пры апрацоўцы іх персанальных дадзеных з выкарыстаннем сродкаў аўтаматызацыі або без выкарыстання такіх сродкаў, а таксама ўстанаўлівае адказнасць асоб, якія маюць доступ да персанальных дадзеных, за невыкананне патрабаванняў, якія рэгулююць апрацоўку і абарону персанальных дадзеных.
1.5. Кліенты, выкарыстоўваючы сэрвісы і паслугі арганізацыі, паведаміўшы арганізацыі свае персанальныя дадзеныя, у тым ліку пры пасярэдніцтве трэціх асоб, прызнаюць сваю згоду на апрацоўку персанальных дадзеных у адпаведнасці з сапраўднай Палітыкай.
1.6. Згоду на апрацоўку персанальных дадзеных можа быць адклікана суб'ектам персанальных дадзеных. У выпадку адклікання суб'ектам персанальных дадзеных згоды на апрацоўку персанальных дадзеных аператар мае права працягнуць апрацоўку персанальных дадзеных без згоды суб'екта персанальных дадзеных пры наяўнасці падстаў, названых дзеючым заканадаўствам або, у адваротным выпадку, адмовіць у аказанні паслугі, у выпадку, калі персанальныя дадзеныя неабходныя для аказання такой паслугі.
1.7. Сапраўдная палітыка можа быць зменена арганізацыяй.
2. Паняцце і склад персанальных дадзеных
2.1. У мэтах сапраўднай Палітыкі пад персанальнымі дадзенымі разумеецца любая інфармацыя, якая адносіцца да прама ці ўскосна вызначанага фізічнай асобе (суб'екту персанальных дадзеных).
2.2. У залежнасці ад суб'екта персанальных дадзеных, Арганізацыя для ажыццяўлення сваёй дзейнасці і для выканання сваіх абавязацельстваў можа апрацоўваць персанальныя дадзеныя наступных катэгорый суб'ектаў:
персанальныя дадзеныя-зафіксаваная на электронным, папяровым і (або) іншым матэрыяльным носьбіце Інфармацыя, якая адносіцца да вызначанага фізічнай асобе або якая дае магчымасць яго ідэнтыфікацыі;
суб'ект персанальных дадзеных (суб'ект) — фізічная асоба, да якога адносяцца персанальныя дадзеныя;
база персанальных дадзеных-база дадзеных у выглядзе інфармацыйнай сістэмы, якая змяшчае ў сваім складзе персанальныя дадзеныя;
апрацоўка персанальных дадзеных — рэалізацыя аднаго або сукупнасці дзеянняў па зборы, сістэматызацыі, захоўвання, змяненню, дапаўненню, выкарыстання, прадастаўлення, распаўсюджвання, перадачы, обезличиванию і знішчэння персанальных дадзеных;
аператар базы персанальных дадзеных (аператар) — дзяржаўны орган, фізічнае і (або) юрыдычная асоба, якая ажыццяўляе апрацоўку персанальных дадзеных;
уласнік базы персанальных дадзеных (уласнік) — дзяржаўны орган, фізічнае і (або) юрыдычная асоба, якое валодае правам валодання, карыстання і распараджэння базай персанальных дадзеных;
трэцяя асоба-любая асоба, якая не з'яўляецца суб'ектам, уласнікам і (або) аператарам, але звязанае з імі абставінамі або адносінамі па апрацоўцы персанальных дадзеных.
3. Падставы і мэты апрацоўкі персанальных дадзеных
3.1. Арганізацыя апрацоўвае персанальныя дадзеныя для ажыццяўлення сваёй дзейнасці, у тым ліку аказання кліентам паслуг. Арганізацыя мае права:
Апрацоўка персанальных даных ажыццяўляецца ў наступных выпадках:
- згоды суб'екта на апрацоўку гэтых дадзеных;
- неабходнасці апрацоўкі гэтых дадзеных для выканання дагавора, бокам якога з'яўляецца суб'ект, або прыняцця мер па запыце суб'екта да заключэння такога дагавора;
- неабходнасці апрацоўкі гэтых дадзеных для выканання абавязацельстваў ўласніка і (або) аператара, вызначаных заканадаўствам;
- неабходнасці апрацоўкі гэтых дадзеных для абароны законных інтарэсаў суб'екта або іншай асобы;
- неабходнасці апрацоўкі гэтых дадзеных для ажыццяўлення правоў і законных інтарэсаў ўласніка і (або) аператара або трэцяй асобы або для дасягнення грамадска значных мэтаў пры ўмове, што пры гэтым не парушаюцца правы і законныя інтарэсы суб'ектаў персанальных дадзеных;
- апрацоўкі гэтых дадзеных у статыстычных ці іншых даследчых мэтах пры ўмове абавязковага обезличивания персанальных дадзеных;
- калі гэтыя дадзеныя атрыманы з агульнадаступных крыніц.
- Пры неабходнасці апрацоўкі персанальных дадзеных у мэтах абароны правоў і законных інтарэсаў суб'екта іх апрацоўка дапускаецца без згоды апошняга да моманту, калі атрыманне згоды стане магчымым.
3.2. Арганізацыя можа выкарыстоўваць персанальныя дадзеныя кліента ў наступных мэтах:
- аказанне паслуг кліенту;
- ідэнтыфікацыя кліента ў рамках дагавораў;
- сувязь з кліентам у выпадку неабходнасці, у тым ліку кірунак прапаноў, апавяшчэнняў, інфармацыі і запытаў, як звязаных, так і не звязаных з аказаннем паслуг, а таксама апрацоўка заяў, запытаў і заявак кліента;
- паляпшэнне якасці паслуг, якія аказваюцца арганізацыяй;
- таргетаванне рэкламных матэрыялаў;
- правядзенне статыстычных і іншых даследаванняў на аснове абязлічаных дадзеных;
4. Тэрміны апрацоўкі персанальных дадзеных
4.1. Тэрміны апрацоўкі персанальных дадзеных вызначаюцца зыходзячы з мэтаў апрацоўкі ў інфармацыйных сістэмах арганізацыі, у адпаведнасці з тэрмінам дзеяння дагавора, пагаднення з суб'ектам персанальных дадзеных.
5. Кола асоб, дапушчаных да апрацоўцы персанальных дадзеных
5.1. Для дасягнення мэтаў артыкула 3 сапраўднай Палітыкі да апрацоўкі персанальных дадзеных дапушчаныя толькі тыя супрацоўнікі арганізацыі, на якіх ускладзены такі абавязак у адпаведнасці з іх службовымі (працоўнымі) абавязкамі. Доступ іншых супрацоўнікаў можа быць прадастаўлены толькі ў прадугледжаных законам выпадках. Арганізацыя патрабуе ад сваіх супрацоўнікаў захавання прыватнасці і бяспекі персанальных дадзеных пры іх апрацоўцы.
5.2. Арганізацыя мае права перадаць персанальныя дадзеныя трэцім асобам у наступных выпадках:
- Суб'ект персанальных дадзеных відавочна выказаў сваю згоду на такія дзеянні, у тым ліку: пры аказанні паслуг кліентам-прыняў умовы публічнай дамовы-аферты;
- Передача предусмотрена узбекским или иным применимым законодательством в рамках установленной законодательством процедуры;
- Пры гэтым да пакупніка пераходзяць усе абавязацельствы па выкананні умоў забеспячэння бяспекі персанальных дадзеных у адпаведнасці з дзеючым заканадаўствам Рэспублікі Узбекістан і міжнародных пагадненняў у дачыненні да атрыманых ім дадзеных.
6. Метады апрацоўкі персанальных дадзеных
6.1. У працэсе прадастаўлення паслуг, пры ажыццяўленні ўнутрыгаспадарчага дзейнасці арганізацыя выкарыстоўвае аўтаматызаваную і неавтоматизированную апрацоўку персанальных дадзеных.
7. Рэалізацыя абароны персанальных дадзеных
7.1. Дзейнасць арганізацыі па апрацоўцы персанальных дадзеных у інфармацыйных сістэмах непарыўна звязана з абаронай арганізацыяй прыватнасці атрыманай інфармацыі. Усе работнікі арганізацыі абавязаны забяспечваць канфідэнцыяльнасць персанальных дадзеных, а таксама іншых канфідэнцыйных звестак, устаноўленых арганізацыяй, калі гэта не супярэчыць дзеючаму заканадаўству Рэспублікі Узбекістан.
7.2. Бяспеку персанальных дадзеных пры іх апрацоўцы ў інфармацыйных сістэмах арганізацыі забяспечваецца з дапамогай сістэмы абароны інфармацыі.
7.3. Абмен персанальнымі дадзенымі пры іх апрацоўцы ў інфармацыйнай сістэме персанальных дадзеных ажыццяўляецца па абароненым каналах сувязі.
7.4. Пры апрацоўцы персанальных дадзеных у інфармацыйнай сістэме персанальных дадзеных арганізацыі забяспечваюцца:
- правядзенне мерапрыемстваў, накіраваных на прадухіленне несанкцыянаванага доступу да персанальных дадзеных і (або) перадача іх асобам, якія не маюць права доступу да такой інфармацыі;
- прымяненне міжсеткавага экранавання;
- фізічная абарона памяшканняў і тэхнічных сродкаў, якія дазваляюць ажыццяўляць апрацоўку персанальных дадзеных;
- своечасовае выяўленне фактаў несанкцыянаванага доступу да персанальных дадзеных;
- недапушчэнне фізічнага ўздзеяння на тэхнічныя сродкі аўтаматызаваных працоўных месцаў, у выніку якога можа быць парушана іх функцыянаванне;
- магчымасць неадкладнага аднаўлення персанальных дадзеных, мадыфікаваных і знішчаных з прычыны несанкцыянаванага доступу да іх;
- пастаянны антывірусны кантроль;
- пастаянны аналіз абароненасці персанальных дадзеных;
- выкарыстанне атрыбутаў бяспекі;
- кантроль цэласнасці праграмнай асяроддзя апрацоўкі персанальных дадзеных;
- іншыя сродкі і меры ў адпаведнасці з дзеючым заканадаўствам.