ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ ОБЩЕСТВА

1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящая Политика в отношении данных клиентов Общества (далее – «Политика») разработана в соответствии с Гражданским кодексом Республики Узбекистан, Законами Республики Узбекистан «О персональных данных», «О принципах и гарантиях свободы информации» и «Об информатизации», «Об охране здоровья граждан» и определяет позицию Общества с ограниченной ответственностью «OVI UNICORN» (далее – «Оператор»), являющегося владельцем Веб-сайта - «https://ovi.uz» (далее – «Сайт»), в области обработки и защиты персональных данных (далее – «Данные»), соблюдения прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну.

Настоящая Политика Общества: Разработана в целях реализации требований законодательства Республики Узбекистан в области обработки и защиты персональных данных субъектов персональных данных. Раскрывает способы и принципы обработки в Обществе персональных данных, права и обязанности Общества при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Обществом в целях обеспечения безопасности персональных данных при их обработке. Является общедоступным документом, декларирующим концептуальные основы деятельности Общества при обработке и защите персональных данных.

Пересмотр и обновление настоящей Политики осуществляется на плановой и внеплановой основе в соответствии с установленным в Обществе порядком:

• плановый пересмотр Политики осуществляется не реже одного раза в год;
• внеплановый пересмотр Политики может производиться в связи с изменением законодательства Республики Узбекистан в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам других контрольных мероприятий.

Текущая редакция Политики размещается на сайте Общества, в общем доступе и вступает в силу с момента размещения, если иное не указано в приказе Директора Общества.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

• Персональные данные — зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации;
• Общество/Оператор — ООО «OVI UNICORN» (ИНН: 310551544, юридический адрес: город Ташкент, Шайхантахурский район, улица Тахтапул Дарбоза, дом 328);
• Обработка персональных данных — реализация одного или совокупности действий по сбору, систематизации, хранению, изменению, дополнению, использованию, предоставлению, распространению, передаче, обезличиванию и уничтожению персональных данных;
• Субъект персональных данных — физическое лицо, к которому относятся персональные данные;
• Клиент — физическое лицо, состоящее в гражданско-правовых отношениях с Оператором;
• Оператор Персональных Данных – ООО «OVI UNICORN»;
• Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
• Смешанная обработка персональных данных — обработка персональных данных с помощью средств автоматизации, а также без нее;
• Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в СМИ, размещение в Интернете или предоставление доступа каким-либо иным способом;
• Блокирование персональных данных — временное приостановление обработки персональных данных;
• Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить персональные данные;
• Обезличивание персональных данных — действия, в результате которых определение принадлежности данных конкретному субъекту становится невозможным;
• Трансграничная передача персональных данных — передача данных за пределы территории Республики Узбекистан;
• Врачебная тайна – данные о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе болезни и иные данные, полученные при обследовании и лечении;
• Сайт - веб-сайт ООО «OVI UNICORN», расположенный по адресу https://ovi.uz;
• Мобильное приложение – программа для мобильных устройств, правообладателем которой является Общество;
• ИИ ассистент - виртуальный ассистент с искусственным интеллектом, интегрированный в Мобильное приложение и/или Сайт;
• Партнер Общества - юридическое лицо, обладающее лицензией на осуществление медицинской деятельности, либо физическое лицо, имеющее высшее медицинское образование, зарегистрированное в Мобильном приложении/на Сайте для оказания медицинских услуг.

3. КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ ОБЩЕСТВОМ

Перечень персональных данных, подлежащих защите в Обществе, формируется в соответствии с законом Республики Узбекистан от 2 июля 2019 г. № ЗРУ-547 «О персональных данных» (далее - ЗРУ «О персональных данных») и Уставом Общества.

Сведениями, составляющими персональные данные, в Обществе является любая информация, относящаяся прямо или косвенно к определенному физическому лицу (субъекту персональных данных).

В зависимости от субъекта персональных данных Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:

Персональные данные пользователей предоставляемых услуг в Мобильном приложении/на Сайте Общества, используемых с согласия пользователей, в целях выполнения своих обязательств в рамках договорных отношений с пользователем, идентификации, маркетинговых рассылок, коммуникации, передачи информации в уполномоченный государственный орган, а также для других целей, предусмотренных действующим законодательством Республики Узбекистан и настоящей Политикой.

4. ЦЕЛИ И ОСНОВАНИЯ ДЛЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Общество осуществляет обработку персональных данных в следующих целях:

• Осуществления договорных отношений с Клиентами и иной деятельности, предусмотренной Уставом Общества;
• Исполнения обязательств, предусмотренных действующим законодательством Республики Узбекистан;
• Заключения, исполнения и прекращения договоров с физическими лицами;
• Заполнения и передачи в государственные и иные уполномоченные органы требуемых форм отчетности;
• Осуществления клиентской поддержки, информационного взаимодействия и определения предпочтений субъектов персональных данных;
• Записи клиента на прием к врачу/медицинскую организацию и/или на диагностику;
• Осуществления деятельности по организации получения Клиентом медицинских услуг у Партнеров Общества при использовании Сайта и/или Мобильного приложения, включая установление Партнером медицинского диагноза, оказание медицинских услуг, ведения учета и систематизации оказанных услуг.
• Иные цели, для достижения которых Общество вправе обрабатывать персональные данные субъекта в соответствии с законодательством Республики Узбекистан.

Персональные данные Субъекта обрабатываются для обеспечения: записи Клиента на прием к врачу/медицинскую организацию и/или на диагностику; связи с центром поддержки пользователей (колл-центром); направления информационных сообщений, касающихся использования Сайта и Мобильного приложения; предоставления поддержки при использовании Сайта и Мобильного приложения; улучшения работы Сайта и Мобильного приложения; получения отзывов и пожеланий по качеству услуг.

Обработка персональных данных также производится с помощью виртуального ассистента с искусственным интеллектом (ИИ-ассистента), интегрированного в Мобильное приложение и/или Сайт Общества. ИИ-ассистент используется для предоставления консультаций по медицинским вопросам, выбора наиболее подходящих услуг или специалиста, а также для улучшения качества консультаций и оптимизации работы Общества.

5. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ОБЩЕСТВЕ

Состав персональных данных должен соответствовать принципу достаточности для достижения целей обработки, т.е. персональные данные не должны быть избыточными по отношению к целям обработки.

Перечень персональных данных, обрабатываемых в Обществе, определяется в соответствии с законодательством Республики Узбекистан и локальными актами Общества с учетом целей, указанных в разделе 4.

В состав персональных данных Клиента входят:

• Биографические данные (фамилия, имя, отчество, ПИНФЛ);
• Дата рождения;
• Вид, серия, номер документа, удостоверяющего личность, орган выдачи, дата выдачи;
• Номер телефона, адрес электронной почты и другие контакты;
• Адрес проживания, гражданство;
• Домашний телефон;
• Сведения о состоянии здоровья, анамнез, диагноз;
• Вид, условия, объем, сроки и результаты оказанной медицинской помощи;
• Сведения о медицинском работнике, оказавшем услугу;
• Иные персональные данные, необходимые Оператору для исполнения договора.

Обработка персональных данных Клиента осуществляется путем получения согласия субъекта на их обработку. В согласии указываются: оператор, фамилия, имя, данные документа, цели и сроки обработки, перечень данных, согласие на передачу и распространение.

Обработка специальных категорий персональных данных (раса, национальность, политические взгляды, религиозные убеждения, интимная жизнь) не осуществляется.

6. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных Обществом осуществляется на основе принципов:

• законности целей и способов обработки персональных данных;
• добросовестности Общества, что достигается путем выполнения требований законодательства Республики Узбекистан в отношении обработки персональных данных;
• достижения конкретных, заранее определенных целей обработки персональных данных;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
• соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям обработки персональных данных;
• обеспечения при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Общество принимает необходимые меры и обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях несовместимых между собой;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

Безопасность персональных данных в Обществе обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.

Угрозой для безопасности персональных данных является комплекс условий и факторов, позволяющих уничтожить, изменить, блокировать, копировать, предоставлять без разрешения третьим лицам, несанкционированно распространять персональные данные и осуществлять иные незаконные действия, в том числе в результате случайного доступа в процессе обработки персональных данных.

Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

Защита персональных данных представляет собой регламентированный и технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Общества.

Защита персональных данных субъекта от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном действующим законодательством Республики Узбекистан.

Для обеспечения внутренней защиты персональных данных субъектов в Обществе соблюдается ряд мер:

• ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
• строгое, избирательное и обоснованное распределение документов и информации между работниками;
• рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
• наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
• организация порядка уничтожения информации;
• воспитательная и разъяснительная работа с сотрудниками по предупреждению утраты ценных сведений при работе с конфиденциальными документами.

Не допускается без согласия физического лица или его законного представителя разглашение сведений, составляющих врачебную тайну, лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме случаев, установленных ниже:

• в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;
• при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
• по запросу органов, осуществляющих доследственную проверку, органов дознания, следствия, прокуратуры и суда в связи с проведением досудебного производства или судебного разбирательства;
• в случае оказания помощи несовершеннолетнему в возрасте до четырнадцати лет для информирования его родителей или законных представителей;
• при наличии оснований полагать, что вред здоровью гражданина причинен в результате противоправных действий либо несчастного случая.

7. ОРГАНИЗАЦИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных в Обществе осуществляется следующими способами: как с использованием средств автоматизации, так и без использования средств автоматизации.

Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных, кроме случаев, установленных законодательством Республики Узбекистан.

К случаям, когда обработка может осуществляться без согласия субъекта, относятся:

• необходимость обработки персональных данных для выполнения договора, стороной которого является субъект, или принятия мер по запросу субъекта персональных данных до заключения такого договора;
• необходимость обработки персональных данных для исполнения обязательств собственника и/или оператора, определенных законодательством Республики Узбекистан;
• необходимость обработки персональных данных для защиты законных интересов субъекта или другого лица;
• необходимость обработки персональных данных для осуществления прав и законных интересов собственника и (или) оператора или третьего лица либо для достижения общественно значимых целей, при условии, что при этом не нарушаются права и законные интересы субъектов персональных данных;
• обработка персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
• если персональные данные были получены из общедоступных источников.

Получение согласия субъекта персональных данных на обработку персональных данных осуществляется путем заполнения форм согласий, разработанных в Обществе в соответствии с законодательством Республики Узбекистан.

Согласие на обработку персональных данных может быть отозвано путем подачи в Общество соответствующего письменного заявления субъекта или представителя субъекта по доверенности, позволяющего точно определить подписание данного документа именно субъектом или представителем.

При этом персональные данные субъекта подлежат уничтожению не позднее рабочего дня, следующего за днем поступления заявления (уведомления) о прекращении обработки персональных данных.

Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Узбекистан, на основании заключаемого договора, условием которого является соблюдение конфиденциальности.

Общество вправе передавать персональные данные субъекта лицам, указанным в Согласии субъекта, а также любым иным лицам, если передача обусловлена целями, предусмотренными в п. 4.1 настоящей Политики. Представители органов государственной власти получают доступ к данным в объеме и порядке, установленном законом. Общество также осуществляет трансграничную передачу персональных данных.

8. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъект персональных данных, если его право не ограничено в соответствии с законодательством Республики Узбекистан, вправе в любой момент получить информацию, касающуюся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных Обществом;
• правовые основания и цели обработки персональных данных;
• наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании действующего законодательства Республики Узбекистан;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Республики Узбекистан;
• сроки обработки персональных данных, в том числе сроки их хранения;
• информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные законодательством Республики Узбекистан.

Субъект вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Запросы субъектов о предоставлении сведений об обрабатываемых Обществом персональных данных, а также запросы о блокировке, изменении, уточнении или удалении персональных данных субъекта принимаются к рассмотрению Обществом только в случае направления в адрес Общества соответствующего письменного заявления субъекта или представителя субъекта по надлежаще заверенной доверенности, позволяющего точно определить подписание данного документа именно субъектом или представителем субъекта по доверенности.

Общество рассматривает запросы субъектов и направляет ответы на них в течение 30 (тридцати) дней с момента поступления обращения. Запросы субъектов об изменении неполных, неточных или неактуальных персональных данных, а также запросы об удалении данных, которые были незаконно получены Обществом или не соответствуют заявленным целям обработки, подлежат рассмотрению в течение 7 (семи) рабочих дней.

Ответ Общества на запрос субъекта выдается на руки субъекту или его представителю по доверенности в форме, подписанной уполномоченным лицом Общества, при условии предъявления документа, удостоверяющего личность (для представителя также доверенности), либо направляется заказным письмом по адресу, указанному субъектом в заявке. Допускается также направление ответа в электронном виде по контактному адресу электронной почты субъекта.

Субъект персональных данных имеет также иные права, установленные законодательством Республики Узбекистан.

9. ОБЯЗАННОСТИ ОБЩЕСТВА

9.1. В случаях, установленных законодательством Республики Узбекистан в области персональных данных, Общество обязано предоставить субъекту или его представителю при обращении либо при получении запроса от субъекта персональных данных или его представителя информацию, предусмотренную пунктом 8.1 настоящей Политики.

9.2. Общество при сборе персональных данных обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Республики Узбекистан с использованием баз данных, находящихся на территории Республики Узбекистан, за исключением случаев, предусмотренных законодательством Республики Узбекистан.

9.3. Общество несет иные обязанности, установленные законодательством Республики Узбекистан.

10. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Срок хранения и обработки персональных данных определяется датой достижения целей их сбора и обработки.

11. МЕРЫ, НАПРАВЛЕННЫЕ НА ОБЕСПЕЧЕНИЕ ВЫПОЛНЕНИЯ ОБЯЗАННОСТИ ОБЩЕСТВА ПО ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Меры, необходимые и достаточные для обеспечения выполнения Обществом обязанностей оператора, предусмотренных законодательством Республики Узбекистан в области персональных данных, включают:

• Назначение лица, ответственного за организацию обработки персональных данных в Обществе;
• Назначение структурного подразделения, ответственного за защиту персональных данных в Обществе;
• Обеспечение режима безопасности помещений, где размещена информационная система обработки персональных данных, препятствующего неконтролируемому проникновению третьих лиц;
• Принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
• Доведение до сведения работников Общества положений законодательства Республики Узбекистан о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
• Ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Узбекистан о персональных данных, документами, определяющими политику Общества, локальными актами, и/или обучение указанных работников;
• Получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Узбекистан;
• Обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях;
• Хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
• Установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны Общества и сети Интернет без применения мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или) обезличенных данных);
• Осуществление внутреннего контроля соответствия обработки персональных данных законодательству Республики Узбекистан, требованиям к защите персональных данных, настоящей Политике и локальным актам Общества;
• Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства, и соотношение указанного вреда с принимаемыми мерами по обеспечению безопасности;
• Определение угроз безопасности персональных данных при их обработке в информационных системах;
• Обнаружение фактов несанкционированного доступа к персональным данным;
• Установление правил доступа к персональным данным, а также обеспечение учета всех действий, совершаемых с персональными данными;
• Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем;
• Применение антивирусной защиты информационных систем обработки данных;
• Применение правовых, организационных, технических и иных мер по обеспечению безопасности персональных данных, предусмотренных законодательством Республики Узбекистан.

12. ОТВЕТСТВЕННОСТЬ

Лица, виновные в нарушении норм, регулирующих получение, обработку, хранение и защиту обрабатываемых в Обществе персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законами Республики Узбекистан.

Должностные лица, в обязанность которых входит ведение персональных данных сотрудников, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законодательством Республики Узбекистан.