1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – «Политика») разработана в соответствии с требованиями Закона Кыргызской Республики от 14 апреля 2008 года № 58 «Об информации персонального характера» (далее – Закон о персональных данных), а также иных нормативных правовых актов Кыргызской Республики, регулирующих вопросы персональных данных. Политика определяет порядок обработки персональных данных и меры по обеспечению их безопасности, предпринимаемые Ханмурзиной Альфией Рашитовной (далее – Оператор или держатель персональных данных).
1.2. Оператор признаёт своей важнейшей целью соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту права на неприкосновенность частной жизни, личную и семейную тайну. При обработке персональных данных Оператор руководствуется Конституцией КР, Законом о персональных данных и другими актами законодательства Кыргызской Республики.
1.3. Настоящая Политика применяется ко всей информации о персональных данных субъектов, которую Оператор может получить от пользователей веб-сайта https://www.mtransformation.pro (далее – «Веб-сайт»), а также в ходе осуществления своей деятельности. Политика действует бессрочно до замены её новой версией. Актуальная версия Политики в свободном доступе размещена в сети Интернет по адресу: https://www.mtransformation.pro/privacy.
1.4. Статус Оператора персональных данных. Оператор является держателем массива персональных данных, т.е. лицом, которое самостоятельно определяет цели и осуществляет (организует) обработку персональных данных. Если Оператор является юридическим лицом, до начала обработки персональных данных он проходит регистрацию в уполномоченном государственном органе по защите персональных данных и вносится в Реестр держателей массивов персональных данных в порядке, установленном законодательством КР.

2. Основные понятия, используемые в Политике
2.1. Персональные данные (информация персонального характера) – любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
2.2. Субъект персональных данных – физическое лицо, к которому относятся соответствующие персональные данные.
2.3. Обработка персональных данных – любое действие (операция) или совокупность действий, выполняемых с персональными данными Оператором (держателем) самостоятельно или по его поручению с использованием средств автоматизации либо без таковых. Обработка включает, в том числе: сбор, запись, систематизацию, группировку, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, распространение, доступ), блокирование, обезличивание, удаление и уничтожение персональных данных.
2.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью вычислительной техники (программных или аппаратных средств).
2.5. Блокирование персональных данных – временное приостановление обработки персональных данных (в том числе прекращение передачи, обновления, использования либо уничтожения данных).
2.6. Обезличивание персональных данных – действия, в результате которых персональные данные становятся обезличенными, то есть невозможно определить принадлежность персональных данных конкретному субъекту без использования дополнительной информации. Обезличенные (анонимные) сведения не позволяют идентифицировать субъекта персональных данных и не относятся к персональным данным.
2.7. Держатель (оператор) персональных данных – организация, орган государственной власти, орган местного самоуправления либо физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав и перечень обрабатываемых персональных данных и действия, совершаемые с персональными данными. В рамках настоящей Политики держателем (Оператором) является лицо, указанное в п.1.1.
2.8. Получатель персональных данных – государственный орган, орган местного самоуправления, юридическое или физическое лицо (включая самого субъекта), которому персональные данные предоставляются Оператором на основании закона или согласия субъекта.
2.9. Общедоступные персональные данные – персональные данные, доступ к которым не ограничен в силу закона и которые предназначены для общего пользования. К общедоступным относятся, например, данные, опубликованные субъектом или третьим лицом в общедоступных источниках (справочниках, адресных книгах, телефонных книгах и т.п.) в установленном порядке.
2.10. Веб-сайт – совокупность графических, текстовых и иных информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по сетевому адресу https://www.mtransformation.pro.
2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
2.12. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц (в том числе передачу персональных данных публике) или на ознакомление неограниченного круга лиц с персональными данными, включая обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным иным способом.
2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства (за пределы юрисдикции Кыргызской Республики) к иностранному государственному органу, иностранному физическому или иностранному юридическому лицу.
2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные безвозвратно уничтожаются, исключая возможность в дальнейшем восстановить содержание персональных данных в информационной системе и (или) уничтожаются материальные носители персональных данных..

3. Права и обязанности Оператора (держателя персональных данных)
3.1. Права Оператора:
– Оператор вправе получать от субъекта персональных данных достоверные сведения и документы, содержащие персональные данные, необходимые для целей обработки.
– В случае отзыва субъектом персональных данных согласия на обработку (либо направления требования прекратить обработку), Оператор вправе продолжить обработку без согласия субъекта, если для этого имеются иные законные основания, предусмотренные законодательством КР (например, наличие иных условий правомерности обработки, указанных в разделе 7 Политики).
– Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения своих обязанностей, предусмотренных законодательством КР о персональных данных и подзаконными актами, включая меры по защите персональных данных (см. раздел 8 Политики), если иное не установлено законами или нормативными требованиями.
3.2. Обязанности Оператора:
– Оператор обязан организовать обработку персональных данных в порядке, установленном действующим законодательством Кыргызской Республики.
– По запросу субъекта персональных данных Оператор предоставляет ему информацию, касающуюся обработки его персональных данных, в объёме и сроки, установленные законодательством (в упрощённой форме и без персональных данных других лиц, не позднее 7 дней со дня обращения субъекта, если иное не предусмотрено законом).
– Оператор отвечает на обращения и запросы субъектов персональных данных и/или их законных представителей в соответствии с требованиями Закона о персональных данных. Внесение изменений в персональные данные по требованию субъекта производится не позднее 7 рабочих дней с момента поступления соответствующего заявления и подтверждения новых данных (ст.28 Закона).
– Оператор в случаях, предусмотренных законодательством, взаимодействует с уполномоченным государственным органом по защите прав субъектов персональных данных. По требованию этого органа Оператор предоставляет необходимую информацию о персональных данных и их обработке.
– Оператор публикует настоящую Политику и обеспечивает неограниченный доступ к ней, разместив актуальную редакцию на своем Веб-сайте.
– Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Меры безопасности выбираются с учетом требований законодательства и рекомендаций уполномоченного органа, и регулярно актуализируются.
– В случаях и порядке, предусмотренных законом, Оператор прекращает передачу (распространение, предоставление, доступ) персональных данных, а также прекращает обработку и уничтожает персональные данные. В частности, Оператор осуществляет уничтожение персональных данных по достижении целей обработки либо при утрате необходимости в их достижении (см. п.8.4 ниже), если иное не предусмотрено законодательством.
– Оператор исполняет иные обязанности, предусмотренные законодательством Кыргызской Республики о персональных данных (в том числе обязанности по регистрации в Реестре держателей, обеспечению защиты данных, соблюдению прав субъектов и др.).

4. Права и обязанности субъекта персональных данных
4.1. Права субъекта персональных данных:
– Право на информацию и доступ. Субъект персональных данных имеет право знать, обрабатывает ли Оператор его персональные данные, и получать информацию, касающуюся обработки его персональных данных. По запросу субъекта Оператор в доступной форме предоставляет информацию о факте обработки и обрабатываемых данных, об источнике их получения, правовых основаниях и целях обработки, способах обработки, наименовании и адресе Оператора, категориях и перечне лиц, имеющих доступ к данным или которым данные могут быть переданы на основании закона или договора с Оператором, сроках обработки (хранения) данных, сведения о произведенной или предполагаемой трансграничной передаче и информацию о том, как субъект может осуществить свои права. Предоставление такой информации осуществляется бесплатно (за исключением случаев, когда требуются материальные носители информации) и не позднее 7 дней со дня обращения субъекта в порядке, установленном ст.10 Закона № 58.
– Право на доступ к своим данным. Субъект имеет право непосредственно знакомиться с своими персональными данными, находящимися у Оператора, путем запроса. При обращении субъекта Оператор обязан предоставить возможность ознакомиться с персональными данными в наглядной форме, четко и ясно, без включения данных о других лицах. Ограничение доступа субъекта к собственным данным допускается только в случаях, предусмотренных законом (например, если обработка ведется в интересах национальной безопасности, – см. ст.15 Закона).
– Право на уточнение, изменение, обновление (актуализацию) данных. В случае если персональные данные являются неполными или неточными, субъекты персональных данных имеют право требовать от Оператора внесения изменений, обновления их персональных данных. Оператор при наличии документального подтверждения новых сведений вносит необходимые изменения в разумный срок (не более 7 дней с момента обращения субъекта с соответствующим требованием).
– Право на блокирование или уничтожение. Субъект вправе требовать от держателя (Оператора) блокирования либо уничтожения своих персональных данных, если обработка осуществляется с нарушением законодательства (например, данные незаконно получены или не соответствуют заявленной цели обработки) либо если отпала необходимость в их обработке. Также субъект вправе отозвать ранее данное согласие на обработку данных, и (или) потребовать прекращения дальнейшей обработки (при отсутствии иных законных оснований для обработки). В предусмотренных законом случаях Оператор обязан удовлетворить эти требования и уведомить субъекта о совершенных действиях с его данными.
– Право на возмещение ущерба. Субъект персональных данных имеет право на возмещение понесенного имущественного ущерба и (или) компенсацию морального вреда, причиненного нарушением законодательства о персональных данных, в судебном порядке.
– Право на обращение и защиту. Субъект персональных данных вправе обратиться с жалобой на неправомерные действия (бездействие) Оператора: он может подать заявление в уполномоченный государственный орган по защите персональных данных или обратиться за защитой своих прав в судебном порядке. Решения уполномоченного органа могут быть обжалованы субъектом в административном либо судебном порядке, согласно законодательству КР.
– Иные права. Субъект персональных данных пользуется другими правами, предоставленными ему законодательством Кыргызской Республики «Об информации персонального характера» и иными актами (в том числе правом потребовать соблюдения режима конфиденциальности, правом на информирование о факте передачи данных третьим лицам, правом на участие с согласия – при использовании данных для журналистских либо научных целей, и др.).
4.2. Обязанности и ответственность субъекта персональных данных:
– Субъект обязан предоставлять Оператору только достоверные персональные данные о себе, своевременно информировать Оператора об их обновлении или изменении.
– Субъект должен проявлять уважение к правам иных лиц при сообщении персональных данных: не передавать Оператору данные третьих лиц без законных оснований или согласия этих лиц.
– Лица, сообщившие Оператору заведомо ложные сведения о себе либо сведення о другом субъекте персональных данных без его согласия, несут ответственность в соответствии с законодательством Кыргызской Республики.

5. Принципы обработки персональных данных
5.1. Законность и справедливость. Обработка персональных данных осуществляется на законной и справедливой основе. Персональные данные должны собираться и обрабатываться строго в соответствии с требованиями законодательства КР.
5.2. Целевое назначение. Персональные данные собираются для конкретных, заранее определенных и законных целей. Недопустима обработка персональных данных, несовместимая с изначально заявленными целями сбора. Использование персональных данных в целях, противоречащих тем, ради которых они собраны, не допускается.
5.3. Точность и актуальность. Обработке подлежат только те персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых данных соответствуют заявленным целям; не допускается избыточность персональных данных по отношению к целям их обработки. При обработке персональных данных Оператор обеспечивает точность персональных данных, их достаточность и актуизацию по мере необходимости. При выявлении неточных или устаревших данных Оператор принимает меры по их удалению или уточнению либо обеспечивает такое удаление/уточнение (например, путем обращения к субъекту за уточненной информацией).
5.4. Ограничение срока хранения. Персональные данные хранятся не дольше, чем этого требуют цели обработки, если иное не предусмотрено законодательством или договором с участием субъекта. Персональные данные подлежат уничтожению по достижении целей обработки или при утрате необходимости в их дальнейшем хранении (подробнее порядок хранения и уничтожения регламентирован в разделе 8 ниже). Для данных, сохраняемых длительно в архивных, исторических или научных целях, устанавливаются специальные гарантии защиты.
5.5. Недопустимость объединения баз данных. Не допускается объединение массивов персональных данных, собранных для несовместимых между собой целей. Оператор не будет совмещать базы данных персональных данных, которые ведутся раздельно в разных целях, если на то нет законных оснований и согласия субъектов.
5.6. Конфиденциальность и безопасность. По общему правилу все персональные данные, находящиеся у Оператора, относятся к конфиденциальной информации (ст.6 Закона № 58). Оператор обеспечивает режим конфиденциальности при обработке данных, не допускает раскрытия или распространения персональных данных без законных оснований. Персональные данные хранятся и защищаются Оператором от незаконного доступа, изменения и уничтожения. Для защиты данных применяются необходимые технические и организационные меры, направленные на предотвращение утечки, несанкционированного доступа, в том числе меры шифрования при передаче данных и другие способы защиты, соответствующие рискам и актуальным рекомендациям.
5.7. Прозрачность и открытость политики. Оператор публикует настоящую Политику и придерживается заявленных в ней принципов. Основные принципы обработки персональных данных не являются исчерпывающими и могут дополняться требованиями законодательства Кыргызской Республики, нормативными актами уполномоченного органа, а также условиями соглашений с субъектами, не противоречащими закону.

6. Цели обработки персональных данных
6.1. Цель обработки персональных данных: Оператор обрабатывает персональные данные субъектов для обеспечения функционирования своего Веб-сайта и оказания услуг его пользователям, в том числе для информирования Пользователя посредством отправки электронных сообщений. Конкретно Оператор может использовать персональные данные для связи с пользователями, рассылки информационных и новостных материалов, предоставления консультаций и выполнения иных обязательств перед субъектом.
6.2. Категории персональных данных, обрабатываемых для достижения целей: в рамках указанных целей Оператор обрабатывает следующие персональные данные субъектов: фамилия, имя, отчество; адрес электронной почты; контактные номера телефонов; дата, месяц и год рождения; иные сведения, предоставленные самим Пользователем при заполнении форм на Веб-сайте либо в процессе коммуникации с Оператором (например, место работы, должность – если эти данные необходимы для взаимодействия). Объем собираемых данных минимален и ограничивается сведениями, необходимыми для реализации заявленных целей обработки.
6.3. Правовые основания обработки: обработка указанных персональных данных осуществляется на основании положений законодательства Кыргызской Республики (Закон № 58 «Об информации персонального характера»), а также на основании согласия субъекта персональных данных, выраженного субъектом при предоставлении своих данных Оператору (например, путем отметки согласия с Политикой при заполнении формы на Веб-сайте). В необходимых случаях могут применяться и другие основания, предусмотренные законодательством (см. раздел 7 Политики).
6.4. Способы использования персональных данных: в соответствии с заявленной целью, Оператор производит следующие основные действия с персональными данными субъектов: сбор и фиксирование данных (через веб-формы или по электронной почте), систематизация и хранение их в информационной системе Оператора, обновление при получении новой информации от субъекта, использование для отправки электронных писем и связи с пользователем, а также, при наличии на то законных оснований – передачу данных третьим лицам (например, подрядчикам Оператора) строго для достижения указанной цели. Массовая рассылка электронных писем осуществляется только при наличии предварительного согласия Пользователя (например, подписка на новости).

7. Условия правомерной обработки персональных данных
Оператор осуществляет обработку персональных данных субъектов только при наличии хотя бы одного из следующих условий, предусмотренных статьей 5 Закона КР «Об информации персонального характера»:
7.1. Согласие субъекта. Обработка персональных данных допускается, если субъект персональных данных дал информированное согласие на их обработку для заявленной цели. Согласие может быть выражено в письменной форме, в форме электронного документа (в том числе путем проставления отметки на Веб-сайте), либо иным способом, позволяющим подтвердить факт его получения. Субъект вправе в любой момент отозвать свое согласие (см. п.4.1 выше), после чего дальнейшая обработка данных на основании согласия прекращается.
7.2. Обязанность по закону. Обработка персональных данных необходима для осуществления установленной законом компетенции органов государственной власти или местного самоуправления, либо возложенных на Оператора функций в публичных интересах. (Данное условие применяется, например, если Оператор – госорган или выполняет обязанности по закону, требующие обработки персональных данных определенных лиц.)
7.3. Законный интерес Оператора. Обработка необходима для достижения законных интересов Оператора либо третьих лиц, при условии что при этом не нарушаются права и свободы субъекта персональных данных. Оператор предварительно оценивает возможное воздействие на права субъекта и убедится, что его интересы при обработке данных обоснованны (например, обработка контактных данных клиентов в коммерческих целях, обработка данных сотрудников для обеспечения деятельности и т.п.) и что субъект ожидал такую обработку. В каждом случае баланс интересов Оператора и прав субъектов соблюдается.
7.4. Жизненно важные интересы субъекта. Обработка персональных данных необходима для защиты интересов субъекта персональных данных. К таким ситуациям относится, например, необходимость обработки без согласия для спасения жизни, здоровья или имущества субъекта либо предотвращения серьезного вреда его правам при обстоятельствах, когда получение согласия субъекта затруднено.
7.5. Журналистика, наука, культура: Если обработка персональных данных осуществляется исключительно в журналистских, художественных или научных целях, при условии соблюдения права на личную тайну и свободу слова и получения согласия субъекта на такое использование, она допускается без отдельного согласия на каждую операцию. Данное условие применяется в узких случаях (не относится к основной деятельности Оператора, но предусмотрено законом КР как исключение).
7.6. Общедоступные данные. Обработка персональных данных допускается в случаях, когда персональные данные являются общедоступными. Если сведения о субъекте ранее были им самим сделаны общедоступными либо включены в общедоступные источники на законных основаниях, Оператор вправе обрабатывать их без получения согласия, в пределах тех целей, для которых данные стали общедоступными. При этом Оператор обязан при обработке таких данных соблюдать возможные ограничения, установленные субъектом или законом (например, субъект может отозвать свои данные из публичного доступа, и тогда Оператор должен прекратить соответствующую обработку).
7.7. Иные основания. В иных случаях, прямо предусмотренных законами Кыргызской Республики, обработка персональных данных может осуществляться без согласия субъекта. Например, когда персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с требованиями закона (исполнение судебного акта, предоставление информации по запросу уполномоченных органов в установленных законом случаях и др.). Оператор строго соблюдает требования законодательства при обработке данных без согласия по указанным основаниям.
Примечание: В каждом случае наличия одного из перечисленных условий Оператор соблюдает также принципы обработки (раздел 5) и обеспечивает конфиденциальность данных (раздел 11). Если основание обработки отпадает (например, достигнута цель или отозвано согласие, и отсутствуют иные законные основания), Оператор прекращает обработку персональных данных

8. Порядок сбора, хранения, передачи и иных действий с персональными данными
8.1. Сбор персональных данных: Сбор персональных данных осуществляется Оператором непосредственно у субъектов персональных данных путем заполнения субъектом соответствующих форм на Веб-сайте либо путем направления субъектом Оператору информации по электронной почте, телефону или другим средствам связи. При сборе данных Оператор информирует субъекта (через настоящее Политики или отдельное уведомление) о целях сбора, предполагаемых пользователях данных, мерах защиты и правах субъекта. Получение персональных данных от третьих лиц без участия самого субъекта возможно только в случаях, предусмотренных законодательством (например, получение из общедоступных источников или от уполномоченных органов).
8.2. Хранение и охрана персональных данных: Персональные данные субъектов обрабатываются и хранятся на электронных носителях и/или на бумажных носителях у Оператора и/или его уполномоченных лиц в пределах территории Кыргызской Республики. Безопасность персональных данных обеспечивается реализацией комплекса правовых, организационных и технических мер, необходимых в соответствии с законодательством КР для защиты персональных данных от неправомерного доступа, изменения, раскрытия или уничтожения. В частности, Оператор ограничивает круг лиц, имеющих доступ к персональным данным, использует защищенные серверы и средства шифрования для хранения и передачи информации, применяет антивирусные средства и средства резервного копирования данных. Все сотрудники и иные лица, получившие доступ к персональным данным, обязаны соблюдать режим конфиденциальности.
8.3. Передача и предоставление персональных данных: Персональные данные Пользователя не раскрываются и не предоставляются третьим лицам без соответствующего законного основания. Оператор никогда и ни при каких условиях не передает персональные данные третьим лицам без согласия субъекта, кроме случаев, когда такая передача необходима в связи с выполнением требований законодательства или исполнением обязательных для Оператора актов государственных органов. По общему правилу передача данных третьей стороне возможна лишь: а) при наличии прямого согласия субъекта на передачу; либо б) если того требует сам субъект (например, запрос субъекта о переводе его данных другому поставщику услуг); либо в) в случаях, предусмотренных законом (например, предоставление данных в ответ на официальный запрос правоохранительного органа, на основании судебного решения и т.п.). В частности, передача персональных данных третьему лицу для исполнения гражданско-правового договора, стороной которого является субъект, допускается только с согласия субъекта либо на основании самого факта заключения такого договора, если это вытекает из условий соглашения с субъектом.
8.4. Срок обработки и хранения персональных данных: Персональные данные обрабатываются (и хранятся) Оператором до достижения целей обработки, определенных в разделе 6 настоящей Политики. Обработка может осуществляться на протяжении всего периода, пока актуальна цель, для которой данные были собраны, если иной срок хранения не установлен договором с субъектом либо законодательством. По достижении цели обработки или в случае утраты необходимости в ее достижении Оператор прекращает обработку соответствующих персональных данных и организует их уничтожение либо обезличивание. Срок уничтожения: Законодательство КР предусматривает, что персональные данные должны быть уничтожены не позднее двух недель с момента, когда отпала необходимость в их сохранении для заявленной цели, если только сохранение не требуется в интересах самого субъекта либо не предусмотрено иными актами (ст.27 Закона). Уничтожение персональных данных производится способом, исключающим дальнейшее восстановление данных, что фиксируется актом об уничтожении. В случаях, когда персональные данные должны храниться дольше в интересах самого субъекта или по требованиям закона (например, для целей архивирования, статистики или научных исследований), Оператор переводит такие данные в режим обезличенных (анонимных) и обеспечивает их хранение с соблюдением мер защиты. При продлении сроков хранения персональных данных по законным основаниям Оператор уведомляет об этом субъекта данных (если это прямо предусмотрено законом или условиями согласия).
8.5. Актуализация и корректировка данных: В случае выявления неточных или устаревших персональных данных Оператор по собственной инициативе или по обращению субъекта производит актуализацию (обновление) таких данных. Пользователь (субъект) имеет право самостоятельно обращаться к Оператору для обновления своих персональных данных – для этого субъект может направить Оператору соответствующее уведомление на электронный адрес, указанный в разделе 12 Политики, с пометкой «Актуализация персональных данных» и приложением подтверждающих документов при необходимости. Оператор вносит необходимые изменения не позднее 7 дней с даты получения такого обращения (при условии, что предоставлены достаточные данные, подтверждающие корректировки).
8.6. Использование сторонних сервисов: Если в процессе взаимодействия с Пользователем сбор или обработка каких-либо данных осуществляется через сторонние сервисы (например, платёжные системы, средства связи или иные сервисы, интегрированные на Веб-сайте), хранение и обработка этих данных выполняется соответствующими третьими лицами (администрациями таких сервисов) в соответствии с их собственными пользовательскими соглашениями и политиками конфиденциальности. Персональные данные, переданные Пользователем непосредственно таким сторонним сервисам, не поступают под контроль Оператора, и он не несет ответственности за действия указанных третьих лиц по обращению с персональными данными. Оператор, со своей стороны, обязуется минимизировать передачу данных сторонним поставщикам и передавать только необходимый объем сведений в рамках использования таких сервисов.
8.7. Конфиденциальность обработки: Оператор при обработке персональных данных обеспечивает соблюдение режима конфиденциальности. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать и не распространять персональные данные третьим лицам без согласия субъекта, если иное не предусмотрено законодательством. Настоящее правило применяется также после прекращения отношений с субъектом – персональные данные остаются конфиденциальными, пока не истечёт срок их хранения и они не будут уничтожены или обезличены в установленном порядке.
8.8. Приостановление и прекращение обработки: Основанием для прекращения обработки персональных данных служит достижение целей их обработки либо наступление иных условий, требующих прекращения (отзыв согласия субъектом при отсутствии иных оснований, обнаружение неправомерности обработки, ликвидация (реорганизация) юридического лица Оператора и т.д.). В случае получения от субъекта требования о прекращении обработки (например, при отзыве согласия) Оператор оперативно оценивает наличие иных законных оснований для продолжения обработки. Если таковых нет, обработка прекращается, а персональные данные уничтожаются в порядке, указанном в п.8.4. Если же другие основания имеются (например, необходимость хранения в интересах самого субъекта либо по закону), Оператор может продолжить обработку, уведомив субъекта о правовом основании такого продолжения.
8.9. Документирование операций: Оператор ведет учет операций с персональными данными в соответствии с требованиями законодательства. Внутренними документами Оператора могут устанавливаться более детальные правила сбора, обработки и хранения персональных данных, порядка доступа к ним работников, процедур реагирования на инциденты, иные положения, не противоречащие настоящей Политике и законодательству.

9. Перечень действий с персональными данными, осуществляемых Оператором
9.1. Оператор осуществляет следующие действия (операции) с персональными данными: сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), группировку, использование, передачу (предоставление, распространение, доступ) персональных данных (при наличии оснований – см. раздел 7), блокирование, обезличивание, удаление и уничтожение персональных данных.
9.2. Обработка персональных данных может быть как автоматизированной, так и с использованием неавтоматизированных средств. Оператор может использовать компьютерные системы, интернет-технологии и программное обеспечение для обработки персональных данных, а также обрабатывать их неавтоматизированным способом (на бумажных носителях), соблюдая при этом единые меры защиты и контроля. Полученная в результате автоматизированной обработки информация может передаваться по информационно-телекоммуникационным сетям (например, через сеть Интернет) с соблюдением требований безопасности, либо может быть получена без такой передачи – в зависимости от конкретного процесса обработки.

10. Трансграничная передача персональных данных
10.1. Общие условия трансграничной передачи: При планировании трансграничной передачи персональных данных (передачи данных на территорию иностранного государства) Оператор руководствуется требованиями статьи 25 Закона КР «Об информации персонального характера». Оператор (держатель массива данных), находящийся под юрисдикцией Кыргызской Республики, до передачи данных в другую страну убеждается, что передача будет осуществляться при наличии международного договора либо иных правовых механизмов, обязывающих принимающую сторону обеспечить адекватный уровень защиты прав и свобод субъектов персональных данных, установленный в Кыргызской Республике. Иными словами, Оператор оценивает, обеспечивает ли государство или иностранный получатель тот уровень защиты персональных данных, который не ниже требований законодательства КР.
10.2. Передача в страны с недостаточной защитой: Если предполагается передача персональных данных в иностранное государство, не обеспечивающее адекватной защиты прав субъектов (например, страна не является участником соответствующих международных конвенций, отсутствуют соглашения с КР и нет признаков достаточного уровня защиты), то такая трансграничная передача персональных данных может осуществляться только при выполнении одного из условий:
– субъект персональных данных явно дал согласие на такую передачу;
– передача необходима для защиты жизни, здоровья, имущественных или иных важных интересов самого субъекта персональных данных;
– передаваемые персональные данные входят в общедоступный массив персональных данных (то есть ранее стали общедоступными на законных основаниях).
В случае наличия одного из указанных оснований, Оператор вправе осуществить передачу данных даже при отсутствии гарантий адекватной защиты со стороны иностранного получателя.
10.3. Меры безопасности при трансграничной передаче: При передаче персональных данных посредством глобальной информационной сети (в том числе через Интернет) Оператор обязан обеспечить конфиденциальность передаваемой информации и защитить данные необходимыми средствами. В частности, Оператор применяет криптографические (шифровальные) средства либо защищенные каналы связи при пересылке персональных данных за рубеж, если того требуют риски, и заключает при необходимости соглашения о неразглашении с принимающей стороной. Все трансграничные передачи фиксируются Оператором (с указанием даты, получателя, объема переданных данных) и отражаются во внутренних документах. Субъект персональных данных по запросу может получить информацию о том, передавались ли его данные за границу, куда и на каком основании.
10.4. Международное сотрудничество: Оператор при необходимости сотрудничает с уполномоченным органом по персональным данным КР по вопросам трансграничной передачи. В частности, если Правительством КР будет установлен перечень стран, обеспечивающих адекватную защиту, либо порядок уведомления о передаче данных, Оператор соблюдает такие требования. В отсутствии ясного регулирования Оператор действует добросовестно в интересах защиты данных субъектов и информирует уполномоченный орган, если это будет рекомендовано или обязательно в будущем.

11. Конфиденциальность персональных данных
11.1. Режим конфиденциальности: Персональные данные, обрабатываемые Оператором, находятся под защитой Закона и относятся к информации с ограниченным доступом (конфиденциальной), за исключением случаев, прямо предусмотренных законодательством. Оператор и любые иные лица, получившие в распоряжение персональные данные от Оператора или от имени Оператора, обязаны не раскрывать их третьим лицам и не допускать их распространения без согласия субъекта персональных данных, если только раскрытие не требуется по закону. Соблюдение режима конфиденциальности обеспечивается Оператором на всех этапах обработки.
11.2. Исключения из конфиденциальности: Конфиденциальность персональных данных может быть снята только в случаях, установленных законодательством Кыргызской Республики. К таким случаям относятся: обезличивание персональных данных (после чего данные перестают относиться к личности субъекта) или волеизъявление самого субъекта персональных данных сделать свои данные общедоступными (например, субъект сам публично разместил свои персональные данные и/или явно выразил желание их дальнейшего свободного распространения). Также конфиденциальность не распространяется на обезличенные статистические или иные сведения, не позволяющие идентифицировать конкретное лицо.
11.3. Ответственность за разглашение: Лица, виновные в нарушении режима конфиденциальности персональных данных (утечке, незаконной передаче, опубликовании без оснований), несут ответственность в соответствии с законодательством КР. Оператор принимает меры, чтобы предотвратить несанкционированное разглашение: все сотрудники, работающие с данными, подписывают обязательства о неразглашении, доступ к сведениям ограничен, технически предотвращается возможность выноса информации. В случае выявления факта утечки или нарушения конфиденциальности Оператор проводит расследование и уведомляет субъекта персональных данных и уполномоченные органы (если того требуют правовые нормы).

12. Заключительные положения
12.1. Разъяснения и обращения: Пользователь (субъект персональных данных) вправе получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных и реализации настоящей Политики. Для этого следует обратиться к Оператору, направив запрос на электронный адрес info@mtransformation.pro с пометкой «Вопрос по персональным данным» либо воспользовавшись контактной формой на Веб-сайте. Оператор рассмотрит обращение и предоставит разъяснения в срок, не превышающий предусмотренный законодательством для ответа (если запрос относится к правам субъекта – в течение 7 дней, либо в как можно короткий разумный срок для общих пояснений).
12.2. Изменение политики: Оператор оставляет за собой право вносить изменения в настоящую Политику. Любые изменения Политики отражаются в этом документе с указанием даты новой редакции. Политика действует бессрочно до замены её новой версией. В случае внесения существенных изменений, затрагивающих права субъектов персональных данных, Оператор при возможности уведомляет об этом субъектов (например, через уведомление на Веб-сайте или по электронной почте). Рекомендуется субъектам периодически знакомиться с актуальной версией Политики.
12.3. Доступность политики: Актуальная версия настоящей Политики в свободном доступе размещена на Веб-сайте Оператора по адресу: https://www.mtransformation.pro/privacy. Кроме того, Политика доступна для ознакомления в офисе Оператора (при наличии офиса) и может быть предоставлена по требованию субъекта в электронной или печатной форме.
12.4. Соотношение с законом: Настоящая Политика разработана в развитие требований законодательства Кыргызской Республики о персональных данных и не заменяет собой нормы закона. В случае если какие-либо положения Политики будут противоречить действующему законодательству КР, применяются нормы законодательства. Отсутствие в тексте Политики каких-либо положений, прямо предусмотренных законом, не освобождает Оператора от соблюдения требований закона. Субъекты персональных данных в любом случае обладают правами, гарантированными им законом, вне зависимости от того, упомянуты ли эти права в Политике.