Политика в отношении обработки персональных данных


1. Термины и определения


1.1. Персональные данные — любые сведения о фактах, событиях и обстоятельствах жизни субъекта персональных данных, позволяющие идентифицировать его личность.

1.2. Пользователь — любой посетитель веб-сайта Оператора (образовательного учреждения SeChenak).

1.3. Сайт — веб-сайт Оператора, включая все его составные части, домены и поддомены.

1.4. Субъект персональных данных — физическое лицо, к которому относятся соответствующие персональные данные, и которое прямо или косвенно идентифицируется этими данными.

1.5. Оператор — государственный орган, физическое или юридическое лицо, осуществляющее на основании законодательства Республики Таджикистан или соглашения с владельцем базы данных обработку и защиту персональных данных. В рамках настоящей Политики Оператором выступает образовательное учреждение SeChenak, самостоятельно организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных.

1.6. Обработка персональных данных (действия с персональными данными) — любое действие или совокупность действий, совершаемых с персональными данными с использованием средств автоматизации или без таковых, включая сбор, запись, систематизацию, накопление, хранение, изменение, дополнение, извлечение, использование, передачу, распространение, предоставление, доступ, обезличивание, блокирование, удаление и уничтожение персональных данных.

1.7. Распространение персональных данных — любые действия, направленные на передачу персональных данных неопределенному кругу лиц (в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях либо предоставление доступа к персональным данным каким-либо иным способом).

1.8. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства (в том числе иностранному государственному органу, иностранному физическому или иностранному юридическому лицу).

1.9. Уничтожение персональных данных — любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления их содержания (на материальных носителях персональных данных и/или в информационных системах).


2. Общие положения


2.1. Настоящая Политика в отношении обработки персональных данных (далее – «Политика») определяет основные принципы, цели, условия и способы обработки персональных данных, перечень субъектов и персональных данных, обрабатываемых Оператором, права и обязанности Оператора при обработке персональных данных, а также права субъектов персональных данных.

2.2. Настоящая Политика разработана в соответствии с Конституцией Республики Таджикистан и требованиями Закона Республики Таджикистан от 3 августа 2018 года №1537 «О защите персональных данных» (далее – Закон о персональных данных), а также иных нормативно-правовых актов Республики Таджикистан в области персональных данных и международных правовых актов, признанных Республикой Таджикистан.

2.3. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор, и распространяется на любые процессы сбора, обработки и защиты персональных данных, осуществляемые Оператором.

2.4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после даты утверждения настоящей Политики.

2.5. Настоящая Политика размещается в открытом доступе на веб-сайте Оператора. Оператор оставляет за собой право вносить изменения в Политику без предварительного уведомления субъектов персональных данных и иных лиц. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено такой новой редакцией Политики.

2.6. Согласие субъекта персональных данных на обработку его персональных данных предоставляется путем проставления отметки (установки «галочки») при регистрации Пользователя на Сайте и/или при оформлении соответствующих заявок на Сайте, и/или иным способом, позволяющим подтвердить факт получения согласия (если для отдельных категорий данных законодательством не установлена обязательная письменная форма согласия, как, например, для биометрических персональных данных). Предоставляя такое согласие, Пользователь подтверждает, что он является совершеннолетним и дееспособным лицом.


3. Перечень действий, производимых Оператором с полученными персональными данными


3.1. Оператор осуществляет следующие действия с полученными персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), дополнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

3.2. Обработка персональных данных осуществляется Оператором следующими способами:

  • неавтоматизированная обработка персональных данных (например, обработка документов в бумажном виде);

  • автоматизированная обработка персональных данных (в том числе с передачей полученной информации по информационно-телекоммуникационным сетям);

  • смешанная (сочетает элементы неавтоматизированной и автоматизированной) обработка персональных данных.

3.3. Передача персональных данных (в том числе посредством автоматизированной обработки с передачей по информационно-телекоммуникационным сетям) может осуществляться Оператором государственным органам Республики Таджикистан или иным третьим лицам, если это предусмотрено законодательством (например, направление данных в уполномоченные органы в сфере образования при выдаче субъекту персональных данных документа об образовании, либо предоставление данных по законному запросу государственных органов).

3.4. На Сайте также происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов cookie) с помощью сервисов интернет-статистики (например, Google Analytics, либо других аналогичных сервисов по выбору Оператора). Такие обезличенные данные собираются и обрабатываются с целью улучшения качества работы Сайта, анализа поведения пользователей и повышения качества предоставляемых услуг.


4. Основные принципы, цели и случаи обработки персональных данных


4.1. Обработка персональных данных Оператором осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

  • обрабатываются только те персональные данные, которые отвечают заранее определенным и законным целям их обработки (соответствуют целям, ради которых они собираются);

  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой​;

  • содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;

  • не допускается избыточность (чрезмерность) обрабатываемых персональных данных по отношению к заявленным целям их обработки;

  • при обработке персональных данных Оператор обеспечивает точность персональных данных, их достаточность, а в необходимых случаях – актуальность по отношению к заявленным целям обработки;

  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен законодательством или договором с участием субъекта персональных данных;

  • обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

4.2. Целями обработки персональных данных являются:

  • регистрация Пользователя на Сайте Оператора;

  • оформление Пользователем заявок (например, запись на курсы обучения) на Сайте;

  • предоставление Пользователю доступа к сервисам, информационным материалам и ресурсам Оператора;

  • оформление покупки услуг или продуктов Оператора, включая осуществление оплаты;

  • заключение и исполнение договоров с участием субъекта персональных данных (в том числе акцепт Пользователем публичной оферты Оператора), включая предоставление возможности пользоваться сервисами и продуктами Оператора, участие в проводимых Оператором конкурсах и акциях (и получение призов, вознаграждений по их итогам) и другие подобные цели, связанные с реализацией договорных отношений;

  • рассмотрение заявлений на возврат уплаченных денежных средств (оформление возврата) при отказе от услуг;

  • обработка заявлений о зачислении на обучение у Оператора;

  • выдача субъекту персональных данных документа об образовании или сертификата по итогам обучения (при наличии соответствующей процедуры у Оператора).

4.2.1. Категории субъектов персональных данных. В рамках достижения вышеуказанных целей Оператор может обрабатывать персональные данные следующих категорий субъектов: Пользователи Сайта и иных онлайн-сервисов Оператора; клиенты и заказчики Оператора (слушатели обучающих курсов, тренингов и т.п.); участники проводимых Оператором конкурсов, акций и мероприятий; физические лица, состоящие с Оператором в договорных отношениях (например, оказывающие услуги или являющиеся получателями услуг); и иные субъекты персональных данных, каким-либо образом взаимодействующие с Оператором для реализации указанных целей.

4.2.2. Категории обрабатываемых персональных данных. В объеме, необходимом для достижения перечисленных целей, Оператор обрабатывает преимущественно общие персональные данные, к которым относятся, в частности: фамилия, имя, отчество; номер контактного телефона; адрес электронной почты; сведения об образовании, данные документов об образовании и квалификации, информация о профессиональной подготовке и повышении квалификации, а также иные аналогичные данные, предоставляемые субъектом персональных данных для целей обучения либо подтверждения квалификации.

4.2.3. Хранение персональных данных осуществляется Оператором до момента отзыва согласия субъектом персональных данных, либо до ликвидации/прекращения деятельности Оператора, либо до достижения целей обработки персональных данных. Срок хранения персональных данных может быть продлен в случае, если это предусмотрено применимым законодательством или договором, стороной которого является субъект персональных данных.

4.2.4. Персональные данные, обработка которых прекращается, уничтожаются путем удаления их с электронных носителей (серверов) Оператора и уничтожения (стирательного удаления) любых иных носителей, содержащих эти персональные данные.

4.3. Обработка персональных данных Оператором допускается в следующих случаях (основания для обработки персональных данных):

  • при наличии согласия субъекта персональных данных на обработку его данных (субъект добровольно предоставляет Оператору свои данные для указанных целей);

  • когда обработка персональных данных необходима для достижения целей, указанных в п.4.2 настоящей Политики (например, оказание услуги по обучению либо исполнение договора с субъектом персональных данных);

  • когда обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение предварительного согласия субъекта персональных данных невозможно;

  • когда обработка необходима для осуществления прав и законных интересов Оператора либо третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

  • в иных случаях, предусмотренных законодательством Республики Таджикистан (например, когда обработка персональных данных обязательна для выполнения требований закона или для исполнения возложенных на Оператора обязанностей).


5. Меры по обеспечению безопасности персональных данных


5.1. Оператор принимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных и защиты их от неправомерного или случайного доступа, уничтожения, изменения, блокирования, распространения, копирования, утраты и иных несанкционированных действий. В частности, в целях обеспечения конфиденциальности и целостности персональных данных Оператор осуществляет следующие меры:

  • определяет актуальные угрозы безопасности персональных данных при их обработке и принимает меры по их предотвращению;

  • принимает локальные нормативные акты (политики, положения) и иные внутренние документы, регулирующие порядок обработки и защиты персональных данных, и доводит их до сведения работников;

  • назначает должностных лиц, ответственных за обеспечение безопасности персональных данных и за соблюдение установленного порядка обработки персональных данных;

  • создает необходимые условия для работы с персональными данными (оборудует рабочие места, защищенные архивы и базы данных, использует лицензионное программное обеспечение и средства защиты информации);

  • организует учет и хранение материальных носителей, содержащих персональные данные (включая бумаги и электронные носители) с учетом требований к обеспечению конфиденциальности;

  • обеспечивает функционирование информационных систем, в которых обрабатываются персональные данные, в соответствии с требованиями безопасности (включая применение средств защиты информации, резервное копирование данных и контроль доступа);

  • хранит персональные данные таким образом и в таких условиях, которые обеспечивают их сохранность и исключают несанкционированный доступ к ним (например, хранение в зашифрованном виде или в защищенных помещениях);

  • организует регулярное обучение и повышение квалификации работников Оператора, непосредственно осуществляющих обработку персональных данных, по вопросам законодательства и практики защиты персональных данных;

  • осуществляет иные необходимые мероприятия в целях обеспечения конфиденциальности и безопасности персональных данных в соответствии с требованиями законодательства Республики Таджикистан.


6. Права субъекта персональных данных


6.1. Субъект персональных данных (физическое лицо, чьи данные обрабатываются Оператором) имеет право:

  • на обеспечение защиты его персональных данных Оператором от неправомерного или случайного доступа, утечки, распространения и иных неправомерных действий;

  • на получение полной информации о своих персональных данных, обрабатываемых Оператором (сведения о факте и целях обработки, составе собираемых данных, источнике их получения, сроке хранения, трансграничной передаче и др.);

  • на доступ к своим персональным данным, включая право получать копии любых записей, содержащих его персональные данные, за исключением случаев, предусмотренных законодательством;

  • на изменение, актуализацию (уточнение) своих персональных данных, а также на их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, были незаконно получены или не являются необходимыми для заявленной цели обработки;

  • отозвать ранее данное согласие на обработку своих персональных данных (если обработка осуществляется на основании согласия), посредством направления Оператору соответствующего уведомления в письменной или электронной форме;

  • на принятие предусмотренных законом мер по защите своих прав, включая обращение с жалобой в уполномоченный государственный орган по защите персональных данных или в суд, если считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства;

  • на обжалование действий или бездействия Оператора, нарушающих нормы законодательства о персональных данных, в судебном порядке;

  • пользоваться иными правами в отношении своих персональных данных, предусмотренными законодательством Республики Таджикистан о персональных данных.


7. Трансграничная передача персональных данных


7.1. До начала осуществления трансграничной передачи персональных данных (передачи персональных данных на территорию иностранного государства) Оператор обязан убедиться в том, что в соответствующем иностранном государстве обеспечивается адекватная защита прав субъектов персональных данных. Оценка адекватности принимается с учетом законодательных норм страны получателя и действующих в ней механизмов защиты персональных данных.

7.2. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих указанной адекватной защиты прав субъектов персональных данных, может осуществляться только при наличии согласия субъекта персональных данных на такую передачу, либо в случаях, предусмотренных международным договором, признанным Республикой Таджикистан, либо если такая передача необходима в целях защиты прав и свобод граждан, охраны здоровья или моральности населения, либо обеспечения правопорядка. Во всех случаях осуществления трансграничной передачи Оператор обеспечивает соблюдение требований законодательства Республики Таджикистан о персональных данных.


8. Ответы на запросы субъектов на доступ к персональным данным


8.1. Подтверждение факта обработки персональных данных Оператором, сведения о правовых основаниях и целях обработки, о применяемых способах обработки персональных данных, о составах персональных данных, обрабатываемых Оператором, а также иные сведения, предусмотренные законодательством, предоставляются Оператором субъекту персональных данных или его законному представителю по запросу. Для получения указанной информации субъект персональных данных должен направить Оператору официальный запрос (обращение), который должен содержать:

  • данные основного документа, удостоверяющего личность субъекта персональных данных или его представителя (серия и номер документа, дата выдачи, наименование выдавшего органа);

  • сведения, подтверждающие факт взаимодействия субъекта персональных данных с Оператором (например, номер договора с Оператором, дата заключения договора либо иные сведения, подтверждающие, что Оператор уже осуществляет обработку данных этого субъекта);

  • подпись субъекта персональных данных или его представителя.

8.2. Запрос может быть направлен Оператору в форме электронного документа, подписанного электронной цифровой подписью субъекта персональных данных или его представителя, в соответствии с законодательством Республики Таджикистан. В случае, если в запросе субъекта персональных данных не указаны все необходимые сведения либо субъект не имеет права доступа к запрашиваемой информации, Оператор направляет ему мотивированный отказ в предоставлении информации. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Республики Таджикистан, в том числе если такой доступ нарушает права и законные интересы третьих лиц.


9. Порядок уничтожения и блокирования персональных данных

9.1. В случае выявления неправомерной (несанкционированной или не соответствующей закону) обработки персональных данных, осуществляемой Оператором, по обращению субъекта персональных данных либо при получении требования от уполномоченного органа, Оператор незамедлительно осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту, с момента такого обращения (требования). Блокирование персональных данных означает временное прекращение любой обработки персональных данных (кроме необходимых для уточнения персональных данных).

9.2. В случае выявления неточных персональных данных по обращению (запросу) субъекта персональных данных, Оператор с момента обращения блокирует обработку персональных данных, относящихся к этому субъекту, если блокирование не нарушает права и законные интересы самого субъекта персональных данных либо третьих лиц.

9.3. В случае подтверждения факта неточности персональных данных на основании сведений, представленных самим субъектом персональных данных, либо иных документально подтвержденных сведений, Оператор уточняет (актуализирует) персональные данные в срок не более 7 (семи) рабочих дней со дня предоставления таких сведений.

9.4. В случае обнаружения неправомерной обработки персональных данных, осуществляемой Оператором (например, при нарушении условий согласия или при отсутствии законного основания на обработку), Оператор в срок, не превышающий 3 (трех) рабочих дней с даты обнаружения нарушения, обязан прекратить неправомерную обработку персональных данных.

9.5. Если обеспечить правомерность обработки персональных данных невозможно (например, цели обработки не могут быть достигнуты на законных основаниях или данные получены незаконно), Оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки, уничтожает такие персональные данные. Уничтожение персональных данных фиксируется актом об уничтожении.

9.6. О выполнении действий по блокированию, уточнению или уничтожению персональных данных, а также об устранении допущенных нарушений при обработке персональных данных, Оператор уведомляет субъекта персональных данных.

9.7. В случае достижения цели обработки персональных данных (либо при отзыве субъектом персональных данных своего согласия, либо при истечении установленного срока хранения персональных данных), Оператор прекращает обработку персональных данных и уничтожает соответствующие персональные данные, если иное не предусмотрено законодательством Республики Таджикистан. Допускается вместо уничтожения провести обезличивание (анонимизацию) персональных данных, сделав невозможным идентификацию субъекта.


10. Заключительные положения


10.1. Пользователь (субъект персональных данных) может получить любые разъяснения по вопросам, касающимся обработки его персональных данных, обратившись к Оператору посредством электронной почты: sechenak.tj@gmail.com. Оператор рассматривает такие обращения и направляет ответ в разумный срок со дня поступления запроса.

10.2. Все изменения и дополнения, которые могут быть внесены в настоящую Политику, будут отражены в тексте данного документа. Политика действует бессрочно, до замены её новой версией. Новая редакция Политики конфиденциальности вступает в силу со дня её опубликования на Сайте, если иное не предусмотрено такой редакцией.

10.3. Актуальная версия Политики конфиденциальности находится в свободном доступе в сети Интернет на официальном веб-сайте Оператора.