ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
(ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ)
Общество с ограниченной ответственностью «Тезтап» (ИНН 01309201710355), юридический адрес: Кыргызская Республика, г. Бишкек, Первомайский район, ул. Льва Толстого, 6, 7; фактический адрес: г. Бишкек, ул. Исанова, 94 (далее – «Компания», «Держатель/Обработчик») публикует настоящую Политику в соответствии с:
Законом КР «Об информации персонального характера» (далее – «Закон о ИПХ»),
Законом КР «Об электронном управлении»,
Законом КР «Об электронной подписи»,
Постановлением Правительства КР от 21.11.2017 № 760 «Об утверждении Требований к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных» (далее – «Требования №760»),
Постановлением Правительства КР от 21.11.2017 № 759 «Об утверждении Порядка получения согласия субъекта персональных данных… и формы уведомления субъекта… о передаче их персональных данных третьей стороне» (далее – «Порядок №759»),
и иными применимыми актами.
Настоящая Политика распространяется на персональные данные (далее – «ПД») пользователей мобильного приложения Mydom и связанных веб‑сервисов (далее совместно – «Сервис»).
1. Термины и роли
1.1. Термины используются в значениях Закона о ИПХ. Субъект ПД - пользователь Сервиса. Держатель массива ПД и/или Обработчик ПД - ОсОО «Тезтап». Партнёры (ТСЖ/управляющие организации, поставщики ЖКХ, банки, платёжные организации и сервисы, интернет‑провайдеры, страховые компании и др.) выступают самостоятельными держателями/обработчиками/сборщиками ПД в рамках своих целей и правовых оснований.
2. Правовые основания обработки
2.1. Компания обрабатывает ПД только при наличии хотя бы одного из оснований:
2.1.1. Согласие субъекта ПД (письменное или электронное) - для регистрации в Сервисе, передачи ПД партнёрам, маркетинговых рассылок, хранения учётных записей, профиля объекта, и др.
2.1.2. Необходимость исполнения договора с субъектом (оказание функционала Сервиса, платежи, передача показаний, обеспечение доступа к личному кабинету, поддержка).
2.1.3. Выполнение обязанности, установленной законом (например, финансовый и бухгалтерский учёт, ПОД/ФТ, хранение расчётных документов).
2.1.4. Законные интересы Компании либо партнёров, если такая обработка не нарушает права и свободы субъекта (обеспечение безопасности, предотвращение мошенничества, защита прав по спорам).
3. Принципы обработки
3.1. Законность, справедливость, прозрачность.
3.2. Целевое ограничение и минимизация.
3.3. Точность и актуальность.
3.4. Ограничение сроков хранения;
3.5. Целостность и конфиденциальность.
3.6. Подотчётность Компании.
4. Категории субъектов и состав ПД
4.1. Категории субъектов: пользователи/жильцы/собственники/абоненты, представители ТСЖ/управляющих организаций, представители партнёров (страховые организации, интернет-провайдеры и др.); контрагенты и иные лица, взаимодействующие с Приложением.
4.2. Базовый состав ПД (минимально необходимый для регистрации и работы):
4.2.1. ФИО; дата рождения; пол; номер мобильного телефона; e‑mail; пароль/идентификатор учётной записи; данные устройства и сессий (IP‑адрес, лог‑идентификатор, штамп времени, версия приложения).
4.3. Данные, связанные с объектом недвижимости:
4.3.1. адрес проживания (дом, подъезд, квартира, ТСЖ/ЖК); адрес регистрации (прописки); лицевой счёт, площадь объекта, тарифы и условия обслуживания, сведения о проживающих и контактные данные (если применимо), показания прибора учёта, кадастровый номер (при необходимости); ЕНИ; сведения о начислениях и платежах.
4.4. Документальные и идентификационные данные:
4.4.1. серия и номер паспорта, кем и когда выдан, срок действия; гражданство; ИНН, ПИН, ЕНИ (если применимо); иные реквизиты, требуемые для идентификации личности при использовании MBank ID или при заключении договоров со страховой организацией/партнёрами.
4.5. Финансовые и договорные данные:
4.5.1. история начислений и оплат (суммы, даты, получатели, статус транзакции); данные платёжных инструментов (в обезличенной форме - токены, идентификаторы транзакций); данные о страховых полисах: номер, серия, срок действия, статус застрахованности, объект страхования; сведения о заявках и договорах с интернет-провайдерами (статус заявки, адрес подключения, статус, тариф, номер заявки).
4.6. Технические журналы и метаданные безопасности:
4.6.1. IP-адреса, идентификаторы устройств, логи авторизации, попыток входа, действий в приложении - в целях безопасности, предотвращения мошенничества и технического мониторинга.
4.7. Специальные категории ПД не обрабатываются. При возникновении необходимости - только при наличии прямого законного основания и отдельного письменного согласия субъекта.
4.8. Биометрические данные (отпечатки пальцев, изображение лица и т.п.) не собираются и не обрабатываются. В случае появления в дальнейшем функционала биометрической идентификации (например, вход по Face ID), он будет оформлен отдельной политикой и согласием.
5. Цели обработки
5.1. Создание, сопровождение и управление учётной записью Пользователя; аутентификация и верификация личности (в т. ч. через систему MBank ID).
5.2. Идентификация и привязка Пользователя к объекту недвижимости (квартира, дом, ТСЖ/ЖК; лицевой счет); предоставление и отображение связанных ЖКХ-сервисов, начислений, голосований и объявлений по дому.
5.3. Проведение платежей, учёт расчётов и переданных показаний приборов учёта; формирование и отправка квитанций.
5.4. Передача заявок и данных партнёрам (ТСЖ, управляющим организациям, интернет-провайдерам, страховым компаниям, платёжным организациям и др.) - в объёме, необходимом для исполнения конкретной услуги, включая: подачу и обработку заявок на подключение интернета и управление состоянием услуги; оформление, оплату и пролонгацию страховых полисов (в т. ч. обязательного страхования жилья); подтверждение оплаты коммунальных и иных сервисов.
5.5. Обеспечение работы службы технической поддержки, обработка обращений, инцидентов безопасности, противодействие мошенничеству и несанкционированному доступу.
5.6. Рассылка служебных уведомлений, сообщений об оплатах, технических оповещений; маркетинговые уведомления.
5.7. Выполнение требований законодательства Кыргызской Республики (в т. ч. в области бухгалтерского и налогового учёта, ПОД/ФТ, персональных данных).
5.8. Проведение статистического анализа, разработка и улучшение качества сервисов, а также исследование пользовательского опыта - в обезличенной форме.
6. Порядок получения согласия и уведомления о передаче ПД
6.1. Согласие оформляется электронно (чек‑бокс/кнопка «Согласен», подтверждение через MBank ID/ЭП) либо письменно - в случаях, где того требует закон/партнёр.
6.2. Перед каждым сервисом, предполагающим передачу ПД третьей стороне, в интерфейсе выводится краткая карточка согласия с указанием получателя, цели, состава ПД и ссылки на полную Политику.
6.3. Субъект может отозвать согласие в приложении либо направив письменный запрос. Отзыв не влияет на законность обработки до момента отзыва и может ограничить доступ к отдельным сервисам.
7. Источники ПД и способы обработки
7.1. ПД предоставляются субъектом, а также поступают от партнёров при законной интеграции (на основании согласия/договора/закона). Операции: сбор, запись, систематизация, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (предоставление/доступ) - строго для заявленных целей.
8. Передача ПД третьим лицам и трансграничная передача
8.1. Передача допускается:
8.1.1. ТСЖ/управляющим организациям/ЖКХ - для идентификации жильца, расчётов, обращений; платёжным организациям и сервисам/банкам - для проведения транзакций (карточные реквизиты не хранятся; используется токенизация/страницы провайдера); интернет‑провайдерам - для обработки заявки на подключение и оказание связи; страховым компаниям/брокерам - для расчёта и оформления полиса; провайдерам хостинга, SMS‑и e‑mail‑рассылок, аналитики и др. - как обработчикам по договору, с обязательствами конфиденциальности и безопасности; государственным органам - на основании закона/процессуальных документов.
8.2. Трансграничная передача по умолчанию не осуществляется. При необходимости только при соблюдении Закона о ИПХ и при наличии согласия субъекта, либо при иных законных основаниях. Отдельная отметка выводится в карточке согласия.
9. Сроки хранения и уничтожение ПД
9.1. ПД хранятся не дольше, чем нужно для целей обработки: обработка персональных данных прекращается при достижении целей обработки; истечении установленных сроков хранения; отзыве согласия субъектом ПД; удалении учётной записи; прекращении договорных отношений + 3 года после расторжения; требовании уполномоченного органа или субъекта ПД; сроки хранения составляют: данные учётной записи - на период использования Сервиса и до 3 лет после её удаления; платёжные и бухгалтерские данные - 6 лет; технические логи — 1 год; журналы доступа, запросов и инцидентов - 3 года; данные начислений и услуг - срок оказания услуги + 3 года; паспортные и идентификационные данные - до удаления учётной записи с последующим уничтожением в течение 14 дней; уничтожение ПД оформляется Актом и фиксируется в Журнале уничтожения.
10. Регистрация в Реестре держателей массивов ПД
10.1. Компания ОсОО «Тезтап», являющаяся владельцем и оператором мобильного приложения «Мой Дом», зарегистрирована в Государственном реестре держателей (обладателей) массивов персональных данных Кыргызской Республики, что подтверждает её право на обработку персональных данных в соответствии с требованиями законодательства.
10.2. Регистрация осуществлена в Государственном агентстве по защите персональных данных при Кабинете Министров Кыргызской Республики, запись доступна в официальном реестре держателей массивов ПД по ссылке: https://registry.dpa.gov.kg/Landing/show?id=39a1d689-fe9d-4208-bf86-f21dd71ca5fe.
10.3. Наличие регистрации подтверждает, что Компания: официально уведомила уполномоченный орган о целях, категориях субъектов и составе обрабатываемых персональных данных; соблюдает установленные меры по защите ПД, включая организационные и технические требования; осуществляет обработку данных исключительно в пределах заявленных целей, в соответствии с Законом Кыргызской Республики о ИПХ.
11. Организационные и технические меры безопасности
11.1. Компания реализует меры в соответствии с Требованиями №760, включая:
11.1.1. Классификацию ИСПДн и определение требуемых уровней защищённости.
11.1.2. Разграничение прав доступа; управление учётными записями; аутентификация; двухфакторная авторизация для админ‑доступа.
11.1.3. Шифрование каналов связи (TLS), криптографическую защиту, хеширование паролей; резервное копирование и восстановление.
11.1.4. Журналирование доступа и критичных операций с фиксацией идентификатора субъекта/оператора, времени, результата.
11.1.5. Межсетевую защиту, мониторинг событий ИБ, антивирусную защиту, управление уязвимостями.
11.1.6. Перечень угроз и модель нарушителя, ежегодный пересмотр и по факту изменений.
11.1.7. Оценку соответствия/внутренние аудиты; обучение персонала; соглашения о неразглашении.
11.1.8. Физическую безопасность серверной/носителей; учёт машинных носителей.
11.2. В случае инцидента нарушения безопасности ПД Компания уведомляет уполномоченный орган и субъектов ПД в сроки, установленные законом, и принимает меры по минимизации ущерба.
12. Права субъекта ПД и порядок их реализации
12.1. Субъект имеет право: получать сведения об обработке ПД; доступ к ПД (копию записи), за исключением случаев, установленных законом; требовать уточнения/блокирования/уничтожения ПД; отзывать согласие; обжаловать действия Компании в уполномоченный орган или суд.
12.2. Запрос подаётся через Сервис или контактные данные Компании или соответствующих специалистов. Ответ предоставляется в срок до 7 рабочих дней с даты получения. При споре о достоверности/законности обработки, соответствующие ПД блокируются на период проверки.
13. Маркетинговые сообщения и профилирование
13.1. Маркетинговые рассылки (e‑mail/SMS/push) осуществляются только при согласии, с возможностью отказа в любой момент. Автоматизированное принятие решений, порождающее правовые последствия для субъекта, не осуществляется.
14. Cookies и аналогичные технологии
14.1. В веб‑интерфейсах Сервиса могут использоваться файлы cookie/SDK‑идентификаторы для аутентификации, аналитики и обеспечения безопасности. Настройки доступны в интерфейсе. Использование маркетинговых cookie осуществляется при наличии согласия.
15. Прекращение обработки и удаление учётной записи
15.1. Субъект вправе удалить учётную запись через интерфейс или направив запрос. По верификации запроса ПД удаляются/обезличиваются в сроки, установленные настоящей Политикой, за исключением случаев, когда иное требуется законом (финансовые документы, споры, предотвращение мошенничества и пр.).
16. Контактные данные
По всем вопросам, связанным с настоящей Политикой, использованием Приложения, а также направлению претензий, обращений и запросов, Пользователь может связаться с Компанией по следующим координатам:
Компания: ОсОО «Тезтап»
Адрес (юридический): ИНН 01309201710355, зарегистрированное по адресу: Кыргызская Республика, г. Бишкек, Первомайский район, Льва Толстого 6,7.
Адрес (фактический): Кыргызская Республика, г. Бишкек, Исанова 94.
ИНН: 01309201710355
Электронная почта службы поддержки: [email protected]
Телефон службы поддержки: +996 (775) 488 388.
Компания рассматривает поступающие обращения в сроки, установленные законодательством и настоящей Политикой, и предоставляет ответы в рабочие дни. Пользователь также может найти дополнительную информацию и обновления на официальном веб-сайте Приложения: www.mydom.kg.