ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
г. Бишкек «10» апреля 2025 года
Настоящая Политика конфиденциальности (далее – “Политика”) составлена во исполнение требований части 2 статьи 4 Закона Кыргызской Республики «Об информации персонального характера» и определяет меры по обеспечению безопасности и порядок обработки персональных данных, осуществляемой Обществом с ограниченной ответственностью «Промо Экспресс», регистрационный номер: 161251-3300-ООО, ИНН 00509201610131, юридический адрес: Кыргызская Республика, г. Бишкек, ул. Панфилова 89, 3 этаж, выступающим держателем и обработчиком таких данных в соответствии со статьей 17 указанного Закона (далее по тексту —
“Держатель/Обработчик”).
1.Термины, используемые в Политике1.
Держатель персональных данных (Держатель) - Общество с ограниченной ответственностью «Промо Экспресс», регистрационный номер: 161251-3300-ООО, ИНН 00509201610131, юридический адрес: Кыргызская Республика, г. Бишкек, ул. Панфилова 89, 3 этаж, на которое возложены полномочия определять цели обработки, категории персональных данных, а также контролировать сбор, хранение, обработку и использование персональных данных в соответствии с законодательством Кыргызской Республики.
2.
Блокирование персональных данных— временное прекращение передачи, уточнения, использования и уничтожения персональных данных.
3.
Веб-сайт— совокупность графических и информационных материалов, а также программ для ЭВМ, обрабатываемых ими баз данных, обеспечивающих их доступность в сети интернет по следующим сетевым адресам: https://kruti.kg/.
4.
Мобильное приложение — программное обеспечение, разработанное для установки и использования на мобильных устройствах (смартфонах, планшетах), обеспечивающее доступ к функционалу Веб-сайта и иных технических сервисов Держателя. Является объектом интеллектуальной собственности Держателя.
5.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.
6.
Обезличивание персональных данных — изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.
7.
Обработка персональных данных — любая операция или набор операций, выполняемых независимо от способов держателем (обладателем) персональных данных либо по его поручению, автоматическими средствами или без таковых, в целях сбора, записи, хранения, актуализации, группировки, блокирования, стирания и разрушения персональных данных.
8.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
9.
Неавтоматизированная обработка персональных данных — обработка персональных данных без использования средств вычислительной техники.
10.
Смешанная обработка персональных данных — обработка персональных данных человеком при участии средств вычислительной техники.
11.
Обработчик персональных данных (далее по тексту –
“Обработчик”) —
Общество с ограниченной ответственностью «Промо Экспресс», регистрационный номер: 161251-3300-ООО, ИНН 00509201610131, юридический адрес: Кыргызская Республика, г. Бишкек, ул. Панфилова 89, 3 этаж, осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
12.
Персональные данные (ПД)— зафиксированная информация на материальном носителе о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности..
13.
Субъект персональных данных (
Субъект ПДн) — любой клиент Обработчика; потенциальный клиент Обработчика; посетитель Веб-сайта Обработчика; пользователь Мобильного приложения Обработчика, который пользуется услугами, Веб-сайтом или Мобильным приложением Обработчика, персональные данные которого обрабатываются.
14.
Согласие Субъекта ПДн - выраженное в форме, предусмотренной Законом, свободное, конкретное, безоговорочное и осознанное волеизъявление лица, в соответствии с которым субъект оповещает о своем согласии на осуществление процедур, связанных с обработкой его персональных данных.
15.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
16.
Распространение персональных данных (Передача персональных данных) — любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
17.
Уничтожение персональных данных — любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
18.
Режим конфиденциальности персональных данных — нормативно установленные правила, определяющие ограничения доступа, передачи, предоставления и условия хранения персональных данных..
19.
Защита персональных данных — деятельность, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.
20.
Трансграничная передача персональных данных — передача Держателем персональных данных иным держателям, находящимся под юрисдикцией других государств.
2. Общие положения1. Обработчик ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2. Данная Политика охватывает всю информацию о Субъектах персональных данных, которую Обработчик может получить в рамках использования Веб-сайтов и Мобильных приложений.
3. Обработчик получает и обрабатывает персональные данные Субъекта ПДн в случае взаимодействия Субъекта ПДн с отдельными функциями Веб-сайта или Мобильного приложения.
4. Обработчик обрабатывает обезличенные данные о Субъекте ПДн в случае, если это разрешено в настройках браузера Субъекта ПДн (включено сохранение файлов «cookie» и использование технологии JavaScript).
5. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Обработчика.
6. Ответственность за нарушение требований законодательства Кыргызской Республики и локальных актов Обработчика в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Кыргызской Республики.
7. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Обработчик осуществляет обработку персональных данных, в том числе:
7.1. Конституция Кыргызской Республики
7.2. Гражданский Кодекс Кыргызской Республики;
7.3. Закон Кыргызской Республики от 15.11.1996 № 60 «О хозяйственных товариществах и обществах»;
7.4. Иные законы Кыргызской Республики и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Обработчика;
7.5. Устав Обработчика;
7.6. Договоры, заключаемые между Обработчиком и Субъектами ПДн;
7.7. Согласия Субъекта ПДн на сбор и обработку его персональных данных (далее –
“Согласие Субъекта ПДн”).
8. В случае несогласия Субъекта ПДн с настоящей Политикой или невозможности ее соблюдения, Субъект ПДн вправе не начинать использовать Веб-сайт или Мобильное приложение, и, соответственно, находящиеся на нем сервисы и контент.
9. Политикой не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну Кыргызской Республики.
3. Цели обработки персональных данных1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2. Цели обработки персональных данных Субъекта ПДн (и соответствующие им виды ПДн в соответствии с Разделом 4 настоящей Политики):
2.1. обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также соблюдения Конституции Кыргызской Республики, законов и иных нормативных правовых актов Кыргызской Республики;
2.2. регистрация Субъекта ПДн на Веб-сайте и/или Мобильном приложении и дальнейшее пользование Веб-сайтом и/или Мобильным приложением;
2.3. формирование базы клиентов – физических лиц;
2.4. осуществление клиентской поддержки;
2.5. получение Субъектом ПДн информации о новостях компании;
2.6. выполнение Обработчиком обязательств перед Субъектом ПДн;
2.7. осуществление деятельности в пределах предусмотренных Уставом, и в соответствии с видами экономической деятельности;
2.8. связанных с заключением и исполнением договоров между Субъектом ПДн и Обработчиком;
2.9. направление Субъекту ПДн уведомлений;
2.10. подготовка индивидуальных предложений от Обработчика;
2.11. ведение рекламной деятельности.
3.Принципы обработки персональных данных Субъекта ПДн:
3.1. законности и справедливости;
3.2. обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей;
3.3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
3.4. обработке подлежат только персональные данные, которые отвечают целям их обработки;
3.5. обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
3.6. содержание и объем обрабатываемых персональных данных, предоставляемых неопределенному кругу лиц, определяет Субъект ПДн в Согласии Субъекта ПДн;
3.7. при Обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
3.8. хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Законом Кыргызской Республики «Об информации персонального характера» или соглашением, стороной которого является Субъект ПДн;
3.9. обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, при отзыве Согласия Субъекта ПДн в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Кыргызской Республики.
4. Объем и категории обрабатываемых персональных данных, категории Субъектов персональных данных1. Обработчик может обрабатывать следующие персональные данные Субъектов ПДн:
1.1. Обычные персональные данные:
1.1.1. Фамилия, имя, отчество;
1.1.2. Паспортные данные, включая место рождения, пол, дату рождения, адрес места регистрации, серию и номер паспорта, кем выдан паспорт, дату выдачи, код подразделения, личную подпись;
1.1.3. Номера телефонов;
1.1.4. Адреса электронной почты (e-mail);
1.1.5. Адреса доставок имущества;
1.1.6. Неполные данные банковских карт;
1.1.7. Сведения о месте жительства / учету по месту пребывания иностранных граждан.
1.2. Биометрические персональные данные:
1.2.1. Фотографии Субъекта ПДн.
1.2.2. Иные персональные данные в соответствии с Согласием Субъекта ПДн.
1.3. Иная информация, не относящаяся к персональным данным, обрабатываемая Обработчиком:
1.3.1. Данные о технических средствах (устройствах): IP-адрес хоста, вид операционной системы, тип браузера, географическое положение, поставщик услуг интернета, данные, полученные в результате доступа к камере, микрофону и т. п. устройств;
1.3.2. Сведения о посещенных страницах Веб-сайта;
1.3.3. Информация, автоматически получаемая при доступе к Веб-сайту с использованием закладок (“cookies”).
2. Обработчиком не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством КР.
3. Обработчиком может быть предусмотрена возможность геолокационного отслеживания имущества, на которое Субъектом ПДн оформлена подписка, при этом никаких данных Субъекта ПДн в этом случае не обрабатывается.
4. Обработчиком не осуществляется обработка персональных данных несовершеннолетних кроме случаев, прямо предусмотренных законодательством КР.
5. Права и обязанности Обработчика и Субъектов персональных данных1. Обработчик имеет право:
1.1. Самостоятельно определять состав и перечень правовых, организационных и технических мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом Кыргызской Республики «Об информации персонального характера» и принятыми на его основе нормативными правовыми актами, за исключением случаев, когда конкретные меры прямо установлены законодательством Кыргызской Республики.
1.2. Поручить обработку персональных данных другому лицу с согласия Субъекта ПДн, если иное не предусмотрено законодательством Кыргызской Республики, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Обработчика, обязано соблюдать принципы, правила и обязанности обработки персональных данных, а также нести ответственность, предусмотренную законодательством Кыргызской Республики.
1.3. В случае отзыва Субъектом ПДн Согласия на обработку персональных данных Обработчик вправе продолжить обработку персональных данных без согласия Субъекта ПДн при наличии оснований, указанных в Законе Кыргызской Республики «Об информации персонального характера».
2. Обработчик обязан:
2.1. Организовывать обработку персональных данных в соответствии с требованиями Закона Кыргызской Республики «Об информации персонального характера».
2.2. Получить Согласие на обработку персональных данных в порядке и на условиях, предусмотренных законодательством Кыргызской Республики.
2.3. Получить Согласие распространение в случае прямой необходимости, в порядке и на условиях, предусмотренных законодательством Кыргызской Республики.
2.4. Отвечать на обращения и запросы Субъектов ПДн и их законных представителей в соответствии с требованиями Закона о персональных данных.
2.5. Обеспечить при обработке персональных данных применение мер по обеспечению их безопасности, предусмотренных законодательством Кыргызской Республики.
2.6. Обеспечить Субъектам ПДн неограниченный доступ к настоящей Политике, в том числе путем ее размещения на Веб-сайте и Мобильном приложении Обработчика, указанном в Разделе «Заключительные положения» Политики.
2.7. Не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта ПДн, если иное не предусмотрено законодательством Кыргызской Республики.
3. Основные права Субъекта ПДн:
3.1. Получать информацию, касающуюся обработки его персональных данных, за Перечень информации и порядок ее получения Законом Кыргызской Республики «Об информации персонального характера».
3.2. Требовать от Обработчика уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.3. Выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг.
3.4. Обжаловать в судебном порядке неправомерные действия или бездействие Обработчика при обработке его персональных данных.
3.5 На отзыв данного им Согласия на обработку персональных данных в любой момент.
6. Порядок и условия обработки персональных данных1. Обработка персональных данных осуществляется Обработчиком в соответствии с требованиями законодательства Кыргызской Республики.
2. Обработка персональных данных осуществляется с Согласия Субъектов ПДн и на условиях такого согласия, а также без такового в случаях, предусмотренных законодательством Кыргызской Республики.
3. Обработчик осуществляет автоматизированную, неавтоматизированную и смешанную обработку персональных данных.
4. К обработке персональных данных допускаются работники Обработчика, в должностные обязанности которых входит обработка персональных данных; третьи лица, которым Обработчик передает персональные данные в рамках исполнения договоров (при условии получения соответствующего согласия Субъекта ПДн).
5. Сбор персональных данных осуществляется путем:
5.1. получения персональных данных вследствие регистрации Субъекта ПДн на Веб-сайте или в Мобильном приложении;
5.2. получения персональных данных в устной и письменной форме непосредственно от Субъектов ПДн;
5.3. получения персональных данных из общедоступных источников.
6. Обработчик осуществляет хранение персональных данных в форме, позволяющей определить Субъекта ПДн, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен.
7. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Обработчик обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Кыргызской Республики с использованием баз данных, находящихся на территории Кыргызской Республики, за исключением случаев, указанных в Законе Кыргызской Республики «Об информации персонального характера».
7. Порядок и условия Распространения персональных данных.1. Обработчик должен запросить Согласие Субъекта ПДн при намерении осуществлять Передачу персональных данных третьим лицам, кроме случаев, описанных настоящей Политикой и установленных в законодательстве КР. Соответствующее согласие оформляется в электронном виде.
2. Передача персональных данных в уполномоченные органы государственной власти и организации осуществляется в случаях и в порядке, предусмотренных законодательством Кыргызской Республики. При этом объем передаваемых персональных данных должен соответствовать целям запроса, а получатели обязаны обеспечивать Режим конфиденциальности переданных данных.
3. В случае если из предоставленного Согласия Субъекта ПДн не следует, что Субъект ПДн согласился с Распространением персональных данных, такие персональные данные обрабатываются Обработчиком без права распространения.
4. Передача персональных данных Субъекта ПДн должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) Субъекта ПДн, а также перечень персональных данных, обработка которых подлежит прекращению.
5. Действие Согласия Субъекта ПДн прекращается с момента поступления Обработчику требования или достижения заранее определенных целей.
8. Безопасность персональных данных1. При обработке персональных данных Обработчик принимает необходимые правовые, организационные и технические меры для Защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Обработчик принимает следующие меры:
1.1. обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц;
1.2. определяет угрозы безопасности персональных данных при их обработке в Информационных системах персональных данных;
1.3. оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию Информационной системы персональных данных;
1.4. ведет учет машинных носителей персональных данных;
1.5. обнаруживает факты несанкционированного доступа к персональным данным и принимает меры;
2. персональные данные Субъекта ПДн Обработчик может передавать своим сотрудникам для выполнения целей обработки персональных данных. При наличии соответствующего согласия Субъекта ПДн Обработчик также может передавать персональные данные Субъекта ПДн своим аффилированным лицам, в том числе другим компаниям из группы лиц, к которой принадлежит Обработчик, а также лицам, с которыми заключаются гражданско-правовые договоры с обязательным включением в такие договоры обязательства о неразглашении персональных данных, а также мер ответственности за их разглашение.
3. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы Защиты персональных данных, входят:
3.1. идентификация и аутентификация Субъектов доступа и объектов доступа;
3.2. управление доступом Субъектов доступа к объектам доступа;
3.3. защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
3.4. регистрация событий безопасности;
3.5. антивирусная защита;
3.6. обнаружение (предотвращение) вторжений;
3.7. контроль (анализ) защищенности персональных данных;
3.8. обеспечение целостности Информационной системы персональных данных;
3.9. обеспечение доступности персональных данных;
3.10. защита среды виртуализации;
3.11. защита технических средств;
3.12. защита информационной системы, ее средств, систем связи и передачи данных;
3.13. выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них.
4. Обработчик обеспечивает безопасность и Режим конфиденциальности персональных данных при их обработке в соответствии с требованиями законодательства КР.
5. Обработчик не раскрывает третьим лицам и не распространяет персональные данные без согласия на это Субъекта ПДн, если иное не предусмотрено Законом Кыргызской Республики «Об информации персонального характера».
6. В соответствии с перечнем персональных данных, обрабатываемых на Веб-сайте, персональные данные Субъектов ПДн Веб-сайта и Мобильного приложения являются конфиденциальной информацией.
7. Лица, осуществляющие обработку персональных данных, обязаны соблюдать требования регламентирующих документов Обработчика в части обеспечения безопасности и Конфиденциальности персональных данных.
9. Порядок обработки отзывов/запросов1. Настоящая Политика распространяет свое действие в отношении Субъекта ПДн до момента отзыва Согласия Субъекта ПДн либо до момента достижения целей обработки персональных данных.
2. Отзыв Согласия на обработку персональных данных или Согласия Субъекта ПДн может быть осуществлен в любое время путем направления соответствующего распоряжения в форме электронного документа на адрес электронной почты: info.kr@kruti.kg или в письменной форме по юридическому адресу Обработчика: Кыргызская Республика, г. Бишкек, ул. Панфилова 89, 3 этаж.
3. Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных. Запрос на получения информации направляется в форме электронного документа по адресу электронной почты: info.kr@kruti.kg или в письменной форме по юридическому адресу Обработчика: Кыргызская Республика, г. Бишкек, ул. Панфилова 89, 3 этаж.
10. Согласие Субъекта персональных данных1. Субъект ПДн предоставляет свои персональные данные добровольно путем взаимодействия с отдельными функциями Веб-сайта и/или Мобильного приложения.
2. В случае если Субъект ПДн не желает предоставлять свои персональные данные Обработчику, он вправе не осуществлять регистрацию и не взаимодействовать с функционалом Веб-сайта и/или в Мобильного приложения, предусматривающими Передачу персональных данных.
3. Регистрируясь на Веб-сайте и/или в Мобильном приложении и используя их функционал, Субъект ПДн подтверждает, что является совершеннолетним и полностью дееспособным лицом, и выражает свое согласие с положениями и условиями настоящей Политики.
4. Регистрируясь на Веб-сайте и используя его, а также заключая с Обработчиком договоры (оформляя подписки), Субъект ПДн предоставляет Обработчику право собирать, обрабатывать, хранить, использовать, передавать и раскрывать персональные данные Субъекта ПДн в соответствии с условиями настоящей Политики.
5. В случае представления неверных или необновления ранее предоставленных персональных данных Обработчик не несет ответственность за их неполноту и несоответствие.
11. Заключительные положения1. Настоящая Политика вступает в силу с даты ее утверждения.
2. При необходимости приведения настоящей Политики в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании Приказа Генерального Директора Обработчика.
3. Настоящая Политика распространяется на всех Субъектов ПДн, а также на работников Обработчика, имеющих доступ и осуществляющих перечень действий с персональными данными Субъектов ПДн.
4. Настоящая Политика размещается на официальном Веб-сайте и/или Мобильном приложении Обработчика.
5. В случае выявления неточностей в персональных данных, Субъект ПДн может актуализировать их самостоятельно, путем направления Обработчику уведомление на адрес электронной почты Обработчика info.kr@kruti.kg с пометкой «Актуализация персональных данных».
6. Субъект ПДн может получить любые разъяснения по интересующим вопросам, касающимся обработки персональных данных, обратившись к Обработчику с помощью электронной почты info.kr@kruti.kg.
7. Субъект ПДн в целях заключения и исполнения договоров с Обработчиком дает свое согласие на получение информационной рассылки, в том числе, по сети подвижной радиотелефонной связи. Субъект ПДн всегда может отказаться от получения такой рассылки, направив Обработчику письмо на адрес электронной почты info.kr@kruti.kg с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях»
8. В данном документе будут отражены любые изменения Политики обработки персональных данных Обработчика. Политика действует бессрочно либо замены ее новой версией.
9. Актуальная версия Политики, подлежащая раскрытию в соответствии с частью 2 статьи 4 Закона Кыргызской Республики «Об информации персонального характера», расположена в Мобильном приложении и/или сети Интернет по адресу https://kruti.kg/privacy-policy.
10. База данных, содержащая персональные данные Субъектов ПДн, находится на территории Кыргызской Республики.