Политика конфиденциальности

ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

Раздел 1. Общие положения

1.1. Настоящая Политика конфиденциальности является неотъемлемой частью Пользовательского соглашения Сервиса https://lalafo.kg/и определяет порядок обработки, хранения, использования и защиты персональных данных пользователей в соответствии с законодательством Кыргызской Республики, Регламентом (ЕС) 2016/679 (GDPR).

1.2. Контролер (держатель массивов персональных данных): Общество с ограниченной ответственностью «ЯЛЛА КЛАССИФАЙДС» (YALLA CLASSIFIEDS OÜ), регистрационный номер 12888798, юридический адрес: Harju maakond, Tallinn, Kesklinna linnaosa, Pärnu mnt 22, 10141, Estonia. Контакт для обращений по вопросам персональных данных: info@lalafo.kg. Ответственное лицо за защиту персональных данных (DPO): [ФИО, e-mail].

1.3. База персональных данных Пользователей находится по адресу Администрации. Держатель и массивы персональных данных зарегистрированы в уполномоченном органе Кыргызской Республики. Номер регистрации: 1-00733, дата регистрации: 20.06.2023.

1.4. Настоящая Политика конфиденциальности устанавливает принципы обработки персональных данных, включая законность, справедливость, прозрачность, ограничение целей, минимизацию данных, точность, ограничение сроков хранения, целостность, конфиденциальность и подотчетность.

1.5. Персональные данные обрабатываются на законных основаниях, определенных ст. 5 Закона КР «Об информации персонального характера» и ст. 6 Регламента (ЕС) 2016/679:

· для выполнения договора с субъектом данных;

· для выполнения юридических обязательств держателя;

· для защиты законных интересов держателя при условии отсутствия нарушения прав и свобод субъекта данных;

· на основании согласия субъекта данных в случаях, когда требуется добровольное и информированное волеизъявление.

1.6. Обработкой персональных данных является любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, возобновление, использование, распространение, передача (включая трансграничную), обезличивание, блокирование и уничтожение персональных данных, включая с использованием автоматизированных систем.

1.7. Администрация обеспечивает реализацию прав субъектов персональных данных, включая:

· право на доступ и получение информации об обработке данных;

· право на исправление, обновление и удаление персональных данных;

· право на ограничение обработки;

· право на переносимость данных;

· право на возражение против обработки, включая профилирование;

· право отозвать согласие на обработку данных;

· право подать жалобу в уполномоченный орган КР или надзорный орган ЕС.

1.8. Запросы субъектов персональных данных рассматриваются в срок не более 7 календарных дней с момента получения запроса — в соответствии со ст. 10 Закона КР «Об информации персонального характера», либо в течение 1 месяца для субъектов, находящихся под действием GDPR.

1.9. Все изменения, уточнения или обновления настоящей Политики вносятся на основании внутреннего решения Администрации с обязательным уведомлением пользователей не позднее чем за 10 календарных дней до вступления изменений в силу. Новая редакция Политики вступает в силу с момента её опубликования на сайте Сервиса.

1.10. Для существенных изменений (изменения целей, правовых оснований, категорий данных, получателей, сроков хранения, порядка трансграничной передачи) Администрация обязуется запросить новое согласие субъектов данных, если это предусмотрено законом.

Раздел 2. Цели и правовые основания обработки персональных данных

2.1. Целями обработки персональных данных являются, в том числе:

2.1.1. Заключение и выполнение договора, а также предоставление и улучшение услуг Сервиса. Сбор определённых данных необходим для выполнения договорных обязательств Администрации согласно Пользовательскому соглашению, обеспечению функционирования Сервиса, предоставления сервисных и вспомогательных услуг, а также улучшения пользовательского опыта.

Например, Сервис использует имена и номера телефонов, которые Пользователи указывают в своих аккаунтах, для идентификации и связи между пользователями. Если Пользователь входит в систему с помощью номера телефона или адреса электронной почты, Сервис использует эти данные для идентификации и предоставления доступа. Если используется вход через Facebook или Google, Сервис использует имя, адрес электронной почты и URL изображения профиля из этих учётных записей.

В случае проверки персональных данных для предотвращения мошенничества Администрация может запросить данные Пользователя (имя, фамилию, e-mail, адрес проживания, идентификационный номер, данные документа, удостоверяющего личность). Такие проверки проводятся исключительно в целях подтверждения личности и обеспечения безопасности сделок.

Сервис может использовать информацию о пользователях для совершенствования функционала и достижения законных интересов по улучшению качества и безопасности услуг. Например, данные активности могут использоваться для оптимизации поисковых результатов, контента и интерфейса. Местоположение используется для персонализации ленты объявлений. Информация о взаимодействиях на разных устройствах помогает обеспечить единый пользовательский опыт.

Также фотографии, описания и другие данные могут использоваться для моделей машинного обучения, с целью персонализации результатов поиска и совершенствования системы рекомендаций. Анализ сообщений в чатах проводится ограниченным кругом специалистов по ML исключительно для улучшения продукта и только в обезличенной форме. Доступ к содержанию чатов строго регламентирован и сопровождается удалением любых идентификаторов.

2.1.2. Управление учётными записями и оказание поддержки. Сервис использует данные для решения технических проблем, обработки обращений пользователей, анализа сбоев и повышения стабильности работы. Это необходимо для обеспечения безопасного и эффективного предоставления услуг и удовлетворения законных интересов Администрации.

2.1.3. Расширение спектра услуг и информирование пользователей. Сервис может направлять уведомления о новых функциях, акциях, мероприятиях, продуктах или услугах. Такие сообщения направляются только на основании согласия пользователя и могут быть отозваны в любое время. Пользователь вправе отказаться от маркетинговых рассылок без ущерба для использования основного функционала Сервиса.

2.1.4. Предупреждение и пресечение незаконных действий. Сервис использует персональные данные для предотвращения мошенничества, рассылки спама, несанкционированных действий, а также для защиты прав и интересов Администрации и пользователей. В случаях, предусмотренных законом, данные могут быть раскрыты правоохранительным органам и другим уполномоченным структурам.

2.1.5. Аналитика веб-сайта. Для улучшения функциональности и анализа эффективности работы Сервис использует инструменты веб-аналитики (например, Google Analytics. Политика конфиденциальности Google: https://policies.google.com/privacy?hl=en), которые собирают информацию о действиях пользователей. Такие данные обрабатываются в соответствии с политиками конфиденциальности соответствующих провайдеров. Пользователь может отказаться от сбора данных через настройки браузера или плагин для отказа от Google Analytics.

2.1.6. Проведение конкурсов, опросов и UX-тестирований. Участие осуществляется добровольно. Собранные данные используются для анализа удовлетворенности пользователей и улучшения качества услуг. При необходимости Администрация может связываться с пользователями для участия в исследованиях с их согласия.

2.1.7. Выполнение юридических и налоговых обязательств. Если это предусмотрено законодательством, Администрация обрабатывает персональные данные для бухгалтерского и налогового учёта, а также предоставления информации компетентным государственным органам.

Таблица целей и правовых оснований обработки персональных данных

Примечание:Все операции по обработке данных соответствуют принципам минимизации, целевого назначения и хранения «не дольше, чем необходимо» (ст. 4 Закона КР, ст. 5 GDPR). Контроль за реализацией таблицы и актуализацией сведений осуществляет ответственное лицо (DPO).

2.2. Сервис собирает о Пользователях персональную, техническую и поведенческую информацию, необходимую для функционирования Сервиса, в соответствии с принципом минимизации данных.

2.3. Сервис и Администрация не обрабатывают специальные категории персональных данных, включая данные о расовом или этническом происхождении, убеждениях, состоянии здоровья, биометрические или генетические данные.

2.4. Передача данных третьим лицам допускается только в объёме, необходимом для предоставления услуг, на основании договора обработки (ст. 28 GDPR, ст. 20 Закона КР). Третьи лица обязаны обеспечивать конфиденциальность и безопасность данных.

2.5. Трансграничная передача данных осуществляется в страны, обеспечивающие адекватный уровень защиты, либо по Стандартным договорным условиям (SCCs) с оценкой влияния (TIA). Для США применяются положения Data Privacy Framework.

2.6. Администрация не продаёт и не передаёт данные пользователей в аренду.

2.7. Пользователи имеют право изменять, удалять или ограничивать обработку данных. Для этого можно направить запрос на [[email protected]](mailto:[email protected]). Срок рассмотрения запроса — 7 дней (КР) или 1 месяц (ЕС).

2.8. Все персональные данные хранятся на защищённых серверах в пределах корпоративной сети. Доступ ограничен авторизованным сотрудникам, подписавшим соглашение о конфиденциальности.

2.9. Cookies и аналогичные технологии используются только при получении согласия. Подробности указаны в отдельной Политике cookies.

2.10. Профилирование и автоматизированная обработка не приводят к юридическим последствиям. Пользователь вправе возразить против такого профилирования.

2.11. Сервис не предназначен для лиц младше 16 лет. Для регистрации несовершеннолетних требуется согласие родителей или законных представителей.

2.12. Администрация принимает меры по обеспечению безопасности персональных данных в соответствии со ст. 21 Закона КР и ст. 32 GDPR, включая контроль доступа, шифрование, журналирование и регулярное тестирование защиты.

2.13. Все изменения в Политике конфиденциальности сопровождаются обновлением версии и уведомлением пользователей. Новая редакция вступает в силу с момента публикации на сайте.

Раздел 3. Права субъектов персональных данных и порядок их реализации

3.1. Субъекты персональных данных, чьи данные обрабатываются Администрацией Сервиса, обладают всеми правами, предусмотренными законодательством Кыргызской Республики, Регламентом (ЕС) 2016/679 (GDPR) и Конвенцией 108+.

3.2. Каждый Пользователь имеет право:

- знать, какие его персональные данные обрабатываются Администрацией, и получать информацию о целях, правовых основаниях и способах обработки;

- получать сведения о месте нахождения держателя персональных данных и его уполномоченного представителя, о лицах, имеющих доступ к персональным данным или которым такие данные могут быть раскрыты на основании закона или договора;

- требовать исправления, уточнения или обновления своих персональных данных, если они являются неполными, неточными или устаревшими;

- требовать блокирования или уничтожения своих персональных данных в случаях, предусмотренных законом;

- возражать против обработки персональных данных для целей, не предусмотренных законодательством или не согласованных субъектом;

- получать копию своих персональных данных, обрабатываемых Сервисом, в структурированном, машиночитаемом и общепринятом формате;

- отозвать согласие на обработку своих персональных данных в любое время без ущерба для законности обработки, осуществленной до такого отзыва;

- обжаловать действия или бездействие Администрации, нарушающие его права, в уполномоченный государственный орган по защите персональных данных КР или надзорные органы ЕС в случае, если он подпадает под действие законодательства ЕС;

- требовать возмещения убытков и/или компенсации морального вреда в судебном порядке в случае нарушения прав субъекта персональных данных.

3.3. Для реализации прав субъектов персональных данных Администрация предоставляет следующие каналы обращения:

Кнопка "Помощь" на сайте в правом нижнем углу или раздел "Помощь" в приложении (Личный кабинет -> Настройки (значок шестерёнки) -> Помощь)

Понедельник - Пятница: 08:00 - 23:00

Суббота - Воскресенье: 10:00 - 19:00

Email: [email protected]

Реквизиты:

Филиал ОсОО Ялла Классифайдс в Кыргызской Республике

Адрес: Бишкек, Октябрьский район, ул. Горького, дом 1/2

Рег. номер: 177007-3300-Ф-л

3.4. Срок рассмотрения обращений составляет:

- для субъектов, подпадающих под действие законодательства Кыргызской Республики — не более 7 календарных дней с даты получения запроса;

- для субъектов, подпадающих под действие GDPR — не более 1 месяца с даты получения запроса (с возможностью продления до 2 месяцев в случаях особой сложности запроса).

3.5. В целях обеспечения защиты прав и свобод субъектов персональных данных Администрация обязуется удостоверять личность заявителя перед предоставлением сведений или внесением изменений в персональные данные. Удостоверение личности осуществляется по официальным документам или иным предусмотренным законом способам.

3.6. Отказ в удовлетворении запроса допускается только в случаях, прямо предусмотренных законом, в частности если:

- обработка персональных данных необходима для выполнения обязанностей Администрации, установленных законом;

- запрос не содержит достаточных данных для идентификации субъекта;

- предоставление информации может нарушить права и свободы других лиц.

3.7. В случае отказа в удовлетворении запроса Администрация направляет письменное уведомление субъекту персональных данных с указанием причин отказа и разъяснением порядка его обжалования.

3.8. Администрация обеспечивает безвозмездность осуществления субъектами персональных данных своих прав. Исключение составляют случаи, когда субъект данных запрашивает копии документов на материальных носителях, и тогда взимается плата в пределах фактических расходов на их изготовление и пересылку.

3.9. Администрация ведёт журнал регистрации обращений субъектов персональных данных и обеспечивает их хранение в течение не менее трёх лет. Информация о каждом обращении фиксируется с указанием даты, сути запроса, даты ответа и мер, принятых по итогам рассмотрения.

3.10. Для субъектов, находящихся в юрисдикции ЕС, дополнительно действуют права, предусмотренные статьями 15–22 GDPR, включая:

- право на ограничение обработки данных;

- право на возражение против обработки данных в целях прямого маркетинга;

- право не быть объектом решений, основанных исключительно на автоматизированной обработке, включая профилирование, если такие решения имеют юридические последствия или иным образом существенно затрагивают субъекта данных.

3.11. Администрация обеспечивает реализацию всех прав субъектов персональных данных в соответствии с принципами добросовестности, пропорциональности и минимизации обработки, а также ведет документацию, подтверждающую выполнение обязанностей по защите прав субъектов.

Раздел 4. Безопасность обработки персональных данных и управление инцидентами

4.1. Администрация обеспечивает защиту персональных данных Пользователей при их обработке в соответствии со статьёй 21 Закона Кыргызской Республики «Об информации персонального характера», статьёй 32 Регламента (ЕС) 2016/679 (GDPR) и принципами Конвенции 108+. Целью этих мер является обеспечение конфиденциальности, целостности, доступности и устойчивости обработки персональных данных.

4.2. Организационные меры

Администрация принимает и реализует комплекс организационно-правовых мер, включающих:

- утверждение внутренней Политики информационной безопасности и процедур обработки персональных данных;

- назначение ответственного лица (DPO/уполномоченного по защите данных);

- ведение реестра массивов персональных данных и процессов обработки;

- ограничение доступа к персональным данным в соответствии с принципом «необходимости знать»;

- обучение сотрудников правилам защиты и обработки персональных данных;

- проведение внутреннего аудита и контроля соблюдения политики безопасности;

- ведение журнала инцидентов безопасности и запросов субъектов данных;

- регистрацию массивов персональных данных в уполномоченном органе Кыргызской Республики.

4.3. Технические меры

Технические меры защиты данных включают:

- контроль доступа к информационным системам и носителям;

- идентификацию и аутентификацию пользователей;

- регистрацию и учёт действий пользователей (журналирование);

- использование средств шифрования и псевдонимизации;

- обеспечение резервного копирования и восстановления данных;

- контроль ввода, передачи, транспортирования и хранения данных;

- защиту сетевых соединений с использованием протоколов TLS 1.2+;

- установку антивирусного программного обеспечения и систем предотвращения вторжений;

- проведение регулярного тестирования, оценки и аудита мер безопасности.

4.4. Управление инцидентами

В случае инцидента, связанного с нарушением безопасности персональных данных, Администрация:

- немедленно фиксирует факт инцидента в журнале безопасности;

- проводит анализ причин и масштаба инцидента;

- в течение 72 часов уведомляет уполномоченный орган Кыргызской Республики;

- информирует субъектов персональных данных, если инцидент создаёт высокий риск для их прав и свобод;

- реализует корректирующие и профилактические меры для предотвращения повторения инцидентов.

4.5. Принципы хранения и уничтожения данных

- Персональные данные хранятся не дольше, чем это необходимо для целей, ради которых они были собраны.

- По истечении срока хранения данные подлежат обезличиванию или уничтожению с составлением акта об уничтожении.

- Архивирование допускается исключительно в целях выполнения законодательных требований.

4.6. Администрация обеспечивает регулярную оценку соответствия требованиям законодательства КР и GDPR. При необходимости проводится оценка воздействия на защиту данных (DPIA) в случаях, когда предполагается высокая вероятность риска для прав и свобод субъектов.

Раздел 5. Права субъектов персональных данных и порядок их реализации

5.1. Субъект персональных данных (далее – Субъект) обладает всеми правами, предусмотренными законодательством Кыргызской Республики, в частности Законом КР «Об информации персонального характера», а также, при применимости, Общим регламентом ЕС по защите данных (GDPR) и Конвенцией 108+ Совета Европы.

5.2. К основным правам Субъекта относятся:

- право на получение информации об обработке его персональных данных;

- право на доступ к своим персональным данным;

- право на исправление (уточнение, обновление) персональных данных, если они являются неполными, устаревшими или неточными;

- право на блокирование или ограничение обработки персональных данных;

- право на уничтожение (удаление) своих персональных данных, если их обработка осуществляется незаконно или цели обработки утратили актуальность;

- право на переносимость данных (в случаях, когда обработка осуществляется на основании согласия или договора);

- право на отзыв согласия на обработку персональных данных;

- право на возражение против обработки персональных данных, включая обработку в целях прямого маркетинга, профилирования и автоматизированного принятия решений;

- право не быть подвергнутым решению, основанному исключительно на автоматизированной обработке данных, включая профилирование, которое порождает для Субъекта юридические последствия или иным образом существенно влияет на него;

- право на подачу жалобы в уполномоченный государственный орган по защите персональных данных Кыргызской Республики, а также (для лиц, находящихся в юрисдикции ЕС) – в соответствующий надзорный орган государства – члена Европейского Союза.

5.3. Субъект имеет право в любой момент запросить у Администрации следующую информацию:

- факт обработки его персональных данных;

- правовые основания и цели обработки;

- источники получения персональных данных;

- состав и содержание обрабатываемых персональных данных;

- сведения о сроках обработки и хранения персональных данных;

- сведения о третьих лицах, которым были переданы персональные данные, а также основания таких передач;

- сведения о применяемых мерах по защите персональных данных.

5.4. Запросы от Субъектов могут направляться по электронной почте на адрес DPO/ответственного лица по защите данных: [email protected], либо посредством заполнения специальной онлайн-формы на сайте Сервиса или в мобильном приложении.

5.5. При обращении Субъекта Администрация обязуется:

- подтвердить получение запроса в течение 3 (трёх) рабочих дней;

- предоставить ответ по существу запроса в срок не позднее 7 (семи) календарных дней с момента получения запроса (в соответствии с Законом КР «Об информации персонального характера»);

- в случаях, предусмотренных GDPR, срок предоставления ответа может быть продлён до одного месяца, о чём Субъект уведомляется заранее.

5.6. Для обеспечения защиты прав всех Субъектов Администрация имеет право запросить подтверждение личности лица, направившего запрос, в целях предотвращения несанкционированного доступа к персональным данным.

5.7. Ответ предоставляется бесплатно. В случае, если запросы Субъекта являются явно необоснованными или чрезмерными, в частности из-за их повторяющегося характера, Администрация оставляет за собой право взимать разумную плату, учитывающую административные расходы на предоставление информации, или отказать в выполнении запроса, предоставив обоснованный ответ.

5.8. Субъект уведомляется о результатах рассмотрения его запроса по выбранному им способу связи: электронной почте, через личный кабинет или почтовым отправлением.

5.9. В случае несогласия с ответом Администрации Субъект имеет право обратиться в уполномоченный государственный орган Кыргызской Республики по защите персональных данных или в судебные органы.

5.10. Администрация ведёт журнал учёта обращений и запросов субъектов персональных данных, а также действий, предпринятых для их исполнения. В журнале фиксируются дата поступления запроса, содержание, дата и форма предоставленного ответа, а также сведения об исполнителе.

5.11. Для обеспечения прозрачности и подотчётности Администрация обязуется публиковать на сайте обобщённую статистику по обращениям субъектов персональных данных, не содержащую индивидуализированных данных.

6. Трансграничная передача персональных данных и взаимодействие с третьими лицами

6.1. Трансграничная передача персональных данных осуществляется Администрацией исключительно при наличии законных оснований, соответствующих требованиям законодательства Кыргызской Республики, Конвенции 108+, а также Регламента (ЕС) 2016/679 (GDPR), если обработка затрагивает граждан или резидентов Европейского Союза.

6.2. Передача персональных данных третьим лицам, находящимся за пределами Кыргызской Республики, допускается при соблюдении одного из следующих условий:

- государство, на территорию которого осуществляется передача, обеспечивает надлежащий уровень защиты персональных данных в соответствии с решением уполномоченного органа Кыргызской Республики или Европейской Комиссии (в отношении ЕС);

- субъект персональных данных дал явное согласие на такую передачу после получения информации о возможных рисках;

- передача необходима для исполнения договора между субъектом и Администрацией либо для выполнения преддоговорных мер по запросу субъекта;

- передача необходима для заключения или исполнения договора, заключенного в интересах субъекта между Администрацией и третьим лицом;

- передача требуется по закону, для установления, осуществления или защиты правовых требований, либо в целях общественного интереса.

6.3. В случаях, когда третьи страны не обеспечивают адекватного уровня защиты персональных данных, Администрация применяет Стандартные договорные положения (Standard Contractual Clauses — SCCs), утверждённые Европейской Комиссией, а также проводит оценку воздействия на передачу данных (Transfer Impact Assessment — TIA) и внедряет дополнительные организационные и технические меры защиты, включая шифрование, псевдонимизацию и минимизацию передаваемых данных.

6.4. Перечень стран и третьих лиц, в адрес которых осуществляется трансграничная передача персональных данных, а также применяемые правовые механизмы (адекватность, SCCs, Binding Corporate Rules, DPF и др.) указываются в Приложении №1 к настоящей Политике конфиденциальности. Перечень обновляется не реже одного раза в год.

6.5. В случаях, когда Администрация привлекает обработчиков (процессоров) для выполнения отдельных функций обработки персональных данных, с такими лицами заключается письменный договор (или иная форма юридически обязывающего соглашения), содержащий обязательства по соблюдению конфиденциальности, применению надлежащих мер безопасности и обработке данных исключительно по документированным инструкциям Администрации.

6.6. Обработчики персональных данных не вправе использовать предоставленные им данные для собственных целей, а обязаны обеспечить их защиту на уровне, не ниже уровня защиты, установленного настоящей Политикой, Законом КР и GDPR.

6.7. Администрация ведет внутренний реестр всех трансграничных передач персональных данных, отражающий следующие сведения: категорию данных, цель передачи, дату, страну назначения, получателя, правовую основу и применённые меры безопасности. Доступ к реестру имеет только уполномоченное лицо (DPO/ответственный по защите данных).

6.8. В Кыргызской Республике сведения о массивах персональных данных, включая информацию о трансграничных передачах, подлежат регистрации в Реестре уполномоченного органа по защите персональных данных. В Политике указывается регистрационный номер и дата внесения Администрации и её массивов данных в данный Реестр.

6.9. При взаимодействии с иностранными партнёрами, платформами и поставщиками услуг Администрация проверяет наличие у них сертифицированных механизмов защиты персональных данных (например, EU-U.S. Data Privacy Framework, ISO/IEC 27001, SOC 2 Type II) и учитывает результаты оценки их политики конфиденциальности и безопасности.

6.10. В случае утраты данных, инцидентов безопасности или нарушений при трансграничной передаче, Администрация уведомляет уполномоченный орган КР и, если применимо, надзорный орган ЕС, а также субъектов персональных данных, чьи права могут быть затронуты, в сроки, установленные законодательством (не позднее 72 часов после выявления инцидента).

7. Сроки хранения персональных данных и порядок их уничтожения

7.1. Персональные данные Пользователей обрабатываются и хранятся Администрацией не дольше, чем это необходимо для достижения целей обработки, определённых в настоящей Политике конфиденциальности, Пользовательском соглашении или в соответствии с требованиями законодательства Кыргызской Республики, Европейского Союза и международных обязательств.

77.2. Сроки хранения персональных данных определяются исходя из принципов законности, целесообразности и минимизации. Для каждой категории данных и цели обработки устанавливается соответствующий срок хранения в соответствии с Таблицей целей и правовых оснований обработки персональных данных, указанной в Разделе 1 настоящей Политики.

7.3. Основные категории сроков хранения:

данные, необходимые для исполнения договора (аккаунты, идентификаторы, контактные данные) — хранятся в течение срока действия договора и 3 (трех) лет после его прекращения, если иное не требуется законом;

финансовые и бухгалтерские документы — в течение сроков, установленных налоговым и бухгалтерским законодательством (не менее 5 лет);

данные, связанные с претензионной и судебной работой — до истечения сроков исковой давности, установленных законодательством КР (в общем случае 3 года);

маркетинговые и рекламные данные, обработанные на основании согласия — до момента отзыва согласия, но не более 12 месяцев с даты последнего взаимодействия с Пользователем;

журналы событий и технические записи безопасности — не более 24 месяцев, если иное не предусмотрено законодательством.

7.4. По истечении установленных сроков хранения персональные данные подлежат уничтожению или обезличиванию в порядке, определённом внутренней процедурой Администрации, утверждённой ответственным лицом по защите данных (DPO). Уничтожение осуществляется с применением средств, исключающих возможность восстановления информации.

7.5. Уничтожение персональных данных на материальных носителях (бумажных документах) производится путём физического разрушения (уничтожения, измельчения, сжигания), а электронных данных — посредством безопасного стирания с серверов и резервных копий, в том числе с использованием сертифицированных инструментов удаления информации.

7.6. Обезличивание персональных данных осуществляется методами, исключающими возможность последующего восстановления их связи с субъектом данных. Такие данные могут использоваться в аналитических, статистических и исследовательских целях без ограничения срока.

7.7. Администрация ведёт «Реестр сроков хранения персональных данных», включающий:

- категории данных и цели их обработки;

- сроки хранения по каждой категории;

- основание для продления или прекращения хранения;

- дату фактического удаления или обезличивания.

7.8. Ответственное лицо по защите персональных данных (DPO) осуществляет ежегодную проверку соблюдения сроков хранения и корректности уничтожения персональных данных, а также ведёт журнал актов уничтожения и обезличивания.

7.9. В случае если законодательством предусмотрено обязательное архивное хранение отдельных категорий данных, такие данные подлежат передаче в архив Администрации на срок, определённый нормативными правовыми актами Кыргызской Республики.

7.10. При отзыве согласия на обработку персональных данных Пользователя, а также при достижении цели обработки Администрация обязуется прекратить обработку данных и уничтожить их в течение 10 (десяти) рабочих дней, если иное не предусмотрено законом.

7.11. Информация о факте удаления или обезличивания данных предоставляется субъекту персональных данных по его запросу в письменной или электронной форме.

8. Возрастные ограничения и особенности обработки данных детей

8.1. Администрация осознает важность защиты персональных данных детей и принимает особые меры для обеспечения соблюдения их прав и интересов в соответствии с Законом Кыргызской Республики «Об информации персонального характера», Цифровым кодексом Кыргызской Республики, Конвенцией о правах ребенка, а также положениями Регламента (ЕС) 2016/679 (GDPR), в частности статьи 8.

8.2. Использование Сервиса допускается для лиц, достигших возраста 16 лет. В случае, если субъект персональных данных не достиг указанного возраста, обработка его персональных данных возможна только при наличии согласия родителя или иного законного представителя.

8.3. Администрация не осуществляет преднамеренный сбор персональных данных детей, не достигших возраста 16 лет, без подтверждённого согласия родителей или законных представителей. При выявлении факта обработки данных лица, не достигшего установленного возраста, без такого согласия — Администрация незамедлительно прекращает обработку и удаляет такие данные.

8.4. Согласие родителя или законного представителя на обработку персональных данных ребёнка должно быть выражено в явной форме, позволяющей подтвердить факт его получения. Администрация вправе запросить дополнительные подтверждающие документы, удостоверяющие личность и полномочия законного представителя.

8.5. В случае, если ребёнок достиг возраста 16 лет и самостоятельно даёт согласие на обработку своих персональных данных, он вправе в дальнейшем отозвать это согласие в порядке, предусмотренном настоящей Политикой.

8.6. Если использование отдельных функций Сервиса (в том числе публикация объявлений, участие в конкурсах или онлайн-опросах) предполагает обязательное предоставление персональных данных, Администрация предпринимает меры для проверки возраста Пользователя и получения подтверждения родительского согласия, если это необходимо.

8.7. Администрация реализует технические и организационные меры по предотвращению регистрации детей младше 16 лет без подтверждения со стороны родителей или законных представителей. Для этого могут использоваться специальные механизмы верификации (например, запрос подтверждения через электронную почту родителя, SMS-код, либо электронную подпись законного представителя).

8.8. Все обращения, связанные с обработкой персональных данных детей, рассматриваются Администрацией в приоритетном порядке. Законные представители вправе обратиться с запросом об удалении или ограничении обработки персональных данных ребёнка через электронный адрес DPO или контактную форму на сайте.

8.9. В целях повышения осведомлённости родителей и законных представителей о защите персональных данных детей, Администрация размещает на Сервисе специальные информационные материалы и рекомендации по безопасному использованию онлайн-платформ детьми.

8.10. В случае изменения законодательства, устанавливающего иной возрастной порог для самостоятельного предоставления согласия, Администрация обязуется привести настоящую Политику в соответствие с новыми требованиями в срок, не превышающий одного месяца со дня вступления изменений в силу.

9. Внесение изменений в Политику конфиденциальности и порядок уведомления субъектов

9.1. Настоящая Политика конфиденциальности подлежит регулярному пересмотру и обновлению для обеспечения её соответствия изменениям законодательства Кыргызской Республики, Европейского Союза, международных договоров, а также внутренним процессам обработки данных Администрации.

9.2. Любые существенные изменения в Политике конфиденциальности (включая изменения целей обработки, категорий персональных данных, правовых оснований, получателей, сроков хранения или способов обработки) вступают в силу только после предварительного уведомления субъектов персональных данных.

9.3. Администрация обязуется уведомлять субъектов персональных данных о внесении существенных изменений в Политику не позднее чем за 10 (десять) календарных дней до даты вступления изменений в силу. Уведомление осуществляется следующими способами:

- публикацией обновлённой версии Политики на официальном сайте Сервиса https://lalafo.kg/;

- отправкой уведомлений зарегистрированным Пользователям по электронной почте или через систему уведомлений в личном кабинете.

9.4. Каждая версия Политики конфиденциальности имеет уникальный номер, дату утверждения и дату вступления в силу. Предыдущие версии хранятся в архиве Администрации не менее трёх лет и доступны для ознакомления по запросу субъекта персональных данных.

9.5. При внесении изменений, касающихся обработки персональных данных на основании согласия, Администрация обязана повторно запросить согласие субъектов на новые условия обработки. В таких случаях согласие, данное ранее, считается действительным только в отношении данных, обработанных до вступления изменений в силу.

9.6. В случае несогласия субъекта персональных данных с новой редакцией Политики, он имеет право прекратить использование Сервиса и потребовать удаления своих персональных данных в порядке, предусмотренном настоящей Политикой.

9.7. Если субъект продолжает использование Сервиса после вступления в силу изменений, это рассматривается как подтверждение согласия с обновлённой Политикой, за исключением тех случаев, когда законодательством или условиями Политики прямо предусмотрено иное.

9.8. Администрация ведет журнал версий Политики конфиденциальности, включающий:

- номер и дату утверждения каждой версии;

- перечень внесённых изменений;

- дату уведомления субъектов данных;

- дату вступления изменений в силу.

9.9. Настоящая Политика вступает в силу с момента её опубликования на официальном сайте Сервиса и действует до принятия новой редакции.

9.10. В случае если обработка персональных данных подпадает под юрисдикцию Европейского Союза, контролёр назначает своего «представителя в ЕС» (EU Representative) в соответствии со статьёй 27 GDPR.

Контактная информация представителя публикуется на сайте Сервиса.