Политика обработки персональных данных Центральной комиссии по выборам и проведению референдумов Кыргызской Республики
1. Общие положения
1. Настоящая Политика обработки персональных данных (далее – Политика) разработана во исполнение требований части 2 статьи 4 Закона Кыргызской Республики «Об информации персонального характера» и определяет правовые и организационные основания обработки персональных данных в Центральной комиссии по выборам и проведению референдумов Кыргызской Республики (далее – Держатель).
2. Настоящая Политика направлена на обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных и распространяется на все операции с персональными данными, совершаемые Держателем, как в автоматизированном режиме, так и без него.
3. Основные права и обязанности субъектов персональных данных:
1) Субъекты персональных данных имеют право:
- на полную информацию об их персональных данных, обрабатываемых Держателем;
- на доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных Законом Кыргызской Республики «Об информации персонального характера»;
- на уточнение их персональных данных, их блокирование или уничтожение в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- на принятие предусмотренных законом мер по защите своих прав, в том числе обращение в уполномоченный государственный орган по персональным данным;
- на осуществление иных прав, предусмотренных законодательством Кыргызской Республики.
2) Субъекты персональных данных обязаны:
- предоставлять Держателю только достоверные данные о себе;
- предоставлять документы, содержащие персональные данные в объеме, необходимом для цели обработки;
- сообщать Держателю об уточнении (обновлении, изменении) своих персональных данных.
4. Основные права и обязанности Держателя.
1) Держатель имеет право:
- получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
- уточнять предоставленные субъектом персональные данные.
2) Держатель обязан:
- обрабатывать персональные данные в порядке, установленном Законом Кыргызской Республики «Об информации персонального характера»;
- рассматривать обращения субъекта персональных данных по вопросам обработки персональных данных и давать ответы в срок, не превышающий 7 дней с момента подачи заявления;
- предоставлять субъекту персональных данных возможность безвозмездного доступа к его персональным данным;
- принимать меры по актуализации персональных данных в связи с обращением субъекта персональных данных;
- организовывать защиту персональных данных в соответствии с требованиями законодательства Кыргызской Республики.
5. Держатель собирает, использует и охраняет персональные данные, которые предоставляет субъект персональных данных, в соответствии с настоящей Политикой и законодательством Кыргызской Республики.
2. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
6. Держатель обрабатывает персональные данные следующих категорий субъектов персональных данных:
- Гражданин (заявитель);
- Избиратель
- Кандидат (либо лицо, изъявившее желание участвовать на выборах)
- Политическая партия
- Наблюдатель, уполномоченный представитель кандидата/политической партии
- Член избирательной комиссии
- Подрядчик/поставщик/контрагент;
- Государственный гражданский служащий;
- Технический обслуживающий персонал;
- Граждане, участвующие в открытом конкурсе для зачисления в резерв кадров;
- Стажер;
- Лицо, непосредственно ответственное за работу с персональными данными иных Держателей (ИС «Реестр держателей (обладателей) массивов персональных данных»).
7. К персональным данным, обрабатываемым Держателем, относятся:
- адрес местожительства;
- год рождения;
- день рождения;
- персональный идентификационный номер;
- доходы;
- место рождения;
- номер телефона;
- образование;
- паспортные данные (серия, номер паспорта, кем и когда выдан);
- воинское звание;
- профессия;
- семейное положение;
- фамилия;
- имя;
- отчество;
- электронная почта;
- должность;
- подпись;
- расчетный счёт;
- зарплата;
- оклад;
- выслуга лет;
- классный чин;
- код заболеваний;
- сумма начисленных страховых взносов;
- номер сертификата о повышении квалификации;
- фото-3x4;
- государственные и ведомственные награды.
7.1. К специальным категориям персональных данных, обрабатываемым Держателем, относятся:
- гражданство;
- сведения о судимости.
- сведения медицинского характера.
8. Держатель обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
9. Обработка специальных категорий персональных данных, раскрывающих расовое или этническое происхождение, национальную принадлежность, политические взгляды, религиозные или философские убеждения, а также касающихся состояния здоровья и интимной жизни, осуществляется Держателем исключительно на основании требований нормативных правовых актов и в строгом соответствии со статьей 8 Закона Кыргызской Республики «Об информации персонального характера».
10. Перечни персональных данных и категории субъектов персональных данных могут быть пересмотрены Держателем с обязательным закреплением изменений в настоящей Политике и уведомлением субъектов персональных данных любым доступным способом (официальный сайт, объявление, пуш-уведомление, направление сообщения на электронную почту и т.д.)
3. Цели сбора персональных данных
11. Персональные данные обрабатываются Держателем в следующих заранее определенных и законных целях:
- информирования, предусмотренного законодательствам о выборах и референдумах;
- информирование Пользователя посредством отправки электронных писем;
- подготовки ответов в рамках реализации Закона Кыргызской Республики «О порядке рассмотрения обращений граждан»;
- ведения делопроизводства в соответствии с нормативными правовыми актами;
- ведение кадрового делопроизводства и учета работников и стажеров Держателя в порядке, установленным нормативными правовыми актами;
- оплаты труда работников Держателя;
- компенсация расходов, связанных с временной нетрудоспособностью работников Держателя;
- осуществление исполнения договорных прав и обязанностей в рамках гражданско-правовых сделок и произведение оплаты за оказанные услуги, работы и поставленные товары;
- учета посетителей Держателя, а также субъектов, получающих консультации Держателя в рамках законодательства Кыргызской Республики об информации персонального характера в устном порядке;
4. Правовые основания обработки персональных данных
12. Правовыми основаниями обработки персональных данных Держателем являются:
- Конституция Кыргызской Республики;
- Конституционный Закон Кыргызской Республики «О выборах Президента Кыргызской Республики и депутатов Жогорку Кенеша Кыргызской Республики»;
- Конституционный Закон Кыргызской Республики «О референдуме Кыргызской Республики»;
- Конституционный Закон Кыргызской Республики «О Центральной комиссии по выборам и проведению референдумов Кыргызской Республики»;
- Трудовой кодекс Кыргызской Республики;
- Гражданский кодекс Кыргызской Республики;
- Бюджетный кодекс Кыргызской Республики;
- Налоговый кодекс Кыргызской Республики;
- Закон Кыргызской Республики «Об избирательных комиссиях по проведению выборов и референдумов Кыргызской Республики»;
- Закон Кыргызской Республики «О государственных закупках»;
- Закон Кыргызской Республики «Об информации персонального характера»;
- Закон Кыргызской Республики «О порядке рассмотрения обращений граждан»;
- Закон Кыргызской Республики «О государственной гражданской службе и муниципальной службе»;
- подзаконные акты Центральной комиссии по выборам и проведению референдумов Кыргызской Республики;
- согласие субъектов персональных данных на обработку персональных данных (в соответствии с Постановлением Правительства Кыргызской Республики № 759 от 21 ноября 2017 года);
- приказ Министерства финансов Кыргызской Республики «Об утверждении Положения по ведению бухгалтерского учета и финансовой отчетности в секторе государственного управления» от 25 декабря 2018 года № 137-П.
5. Порядок и условия обработки персональных данных
13. Обработка персональных данных Держателем осуществляется следующими способами:
- автоматизированная;
- без использования средств автоматизации.
14. Обработка персональных данных, совершаемая Держателем, включает в себя любые операции или набор операций, выполняемых независимо от способов, автоматическими средствами или без таковых, в целях сбора, записи, хранения, актуализации, группировки, блокирования, стирания и разрушения персональных данных.
15. Обработка персональных данных осуществляется Держателем при условии получения согласия субъекта персональных данных (далее – Согласие), за исключением установленных законодательством случаев, когда обработка персональных данных может осуществляться без такого Согласия.
16. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает его в письменной форме на бумажном носителе, либо в форме электронного документа, подписанного в соответствии с законодательством Кыргызской Республики электронной подписью.
17. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, актуализация персональных данных, а также выявление неправомерной обработки персональных данных, выявленных на основании обращения субъекта персональных данных или судебного акта.
18. Держатель для достижения целей обработки при наличии согласия субъекта персональных данных вправе передавать персональные данные третьим лицам при условии, что на получателя данных возлагается обязанность соблюдения режима конфиденциальности этих данных.
19. Держатель при обработке персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
20. Персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено законодательством Кыргызской Республики.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных на доступ к персональным данным
21. В случае подтверждения факта недостоверности персональных данных или неправомерности их обработки персональные данные подлежат актуализации, блокированию либо уничтожению в зависимости от законности их сбора, хранения и обработки таких персональных данных Держателем, или их обработка должна быть прекращена соответственно.
22. По фактам недостоверности персональных данных или неправомерности их обработки субъект персональных данных имеет право обратиться непосредственно в адрес м Держателя, либо в Уполномоченный государственный орган по персональным данным.
23. По письменному запросу субъекта персональных данных Держатель обязан сообщить информацию об осуществляемой им обработке персональных данных с отражением следующей информации:
- подтверждение факта обработки персональных данных держателем (обладателем) массива персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые держателем (обладателем) массива персональных данных способы обработки персональных данных;
- наименование и место нахождения держателя (обладателя) массива персональных данных, сведения о лицах (за исключением работников держателя (обладателя), которые имеют доступ к персональным данным или которым могут быть переданы персональные данные на основании договора с держателем (обладателем) массива персональных данных или на основании закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных своих прав, предусмотренных настоящим Законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- иные сведения, предусмотренные настоящим Законом и (или) иными нормативными правовыми актами.
24. Если субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
25. По истечении срока хранения и достижении целей сбора персональных данных они подлежат уничтожению в течение двух недель. Уничтожение подтверждается актом, копия которого может быть вручена субъекту персональных данных по его письменному запросу.
7. Заключительные положения
26. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям Закона Кыргызской Республики «Об информации персонального характера».
27. Держатель имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения в свободном доступе для возможности ознакомления с условием обязательного предварительного объявления о планируемых изменениях не менее чем за 14 рабочих дней до даты опубликования новой редакции Политики.