Утверждено
Приказом № 96/26 от «06» февраля 2026 г.
Содержание
1. Общие положения
2. Термины и определения
3. Принципы обработки персональных данных
4. Правовые основания для обработки персональных данных
5. Условия, цели и особенности обработки персональных данных
6. Права субъектов персональных данных
7. Защита персональных данных
8. Принципы защиты персональных данных
9. Передача персональных данных третьим лицам
10. Трансграничная передача персональных данных
11. Хранение и уничтожение персональных данных
12. Уполномоченное подразделение
13. Обязанности и ответственность работников Компании
14. Заключительные положения
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика обработки и защиты персональных данных (далее – Политика) определяет порядок обработки и защиты персональных данных в ООО «Unitel»
(далее – Компания).
1.2. Политика разработана в соответствии с законодательством Республики Узбекистан (далее – РУз) о персональных данных.
1.3. Компания является собственником и оператором баз персональных данных и обеспечивает их обработку в соответствии с требованиями законодательства, а также защиту от несанкционированного доступа и иных незаконных действий, связанных с персональными данными.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. Персональные данные – зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации.
2.2. Обработка персональных данных – это реализация одного или совокупности действий в отношении персональных данных:
- сбор;
- систематизация;
- хранение;
- изменение;
- дополнение;
- использование;
- предоставление;
- распространение;
- передача;
- обезличивание;
- уничтожение.
2.3. Субъект персональных данных – физическое лицо, к которому относятся персональные данные.
2.4. Официальный веб-сайт - интернет-ресурс Компании, предназначенный для размещения официальной информации, взаимодействия с Субъектами персональных данных, а также для публикации обязательной информации в соответствии с законодательством и внутренними нормативными документами Компании, расположенный по адресу – https://beeline.uz.
2.5. Услуги – совокупность услуг и цифровых решений, предоставляемых Компанией и (или) Бизнес-партнёром, включая услуги связи, Цифровые сервисы, а также иные формы взаимодействия с Абонентами, Пользователями цифровых сервисов, Бизнес-партнёрами и иными лицами в рамках основной деятельности Компании.
2.6. Цифровой сервис - совокупность технологических решений, предоставляемых Компанией и (или) Бизнес-партнёром с использованием информационно-коммуникационных технологий (включая мобильные приложения, веб-платформы и иные системы), предназначенных для предоставления услуг пользователям.
2.7. Абонент – физическое лицо, с которым заключён договор на предоставление услуг связи, либо лиц, фактически использующий услуги связи Компании на основании такого договора (в том числе при регистрации на имя третьего лица).
2.8. Пользователь цифровых сервисов – физическое лицо, использующее Цифровые сервисы Компании и (или) Бизнес-партнёров на основании соответствующих пользовательских соглашений /оферт, независимо от наличия договора об оказании услуг связи.
2.9. Исполнитель (физическое лицо) — физическое лицо, с которым Компания взаимодействует на основании гражданско-правового договора (включая, но не ограничиваясь: договоры подряда, оказания услуг, авторские договоры), а также индивидуальный предприниматель, осуществляющий деятельность без образования юридического лица.
2.10. Бизнес-партнёр — юридическое или физическое лицо (включая индивидуальных предпринимателей), участвующее совместно с Компанией в реализации сервисов, продуктов, маркетинговых и бонусных программ, а также иных проектов на договорной основе.
2.11. Уполномоченный представитель – физическое лицо, действующее от имени или в интересах Бизнес-партнёра (юридического лица или индивидуального предпринимателя), включая потенциальных Бизнес-партнёров, на основании закона, устава, доверенности или иного правового основания, а также физические лица, персональные данные которых обрабатываются Компанией в связи с их статусом участника юридического лица (в том числе учредители, руководители, подписанты), независимо от факта заключения договора.
2.12. Третье лицо – любое лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними обстоятельствами или отношениями по обработке персональных данных.
2.13. Трансграничная передача персональных данных – передача персональных данных за пределы территории РУз.
2.14. Обезличенные персональные данные – персональные данные, в отношении которых осуществлены действия, в результате которых определение их принадлежности конкретному субъекту персональных данных становится невозможным.
2.15. Агрегированные данные – обобщённые статистические сведения, сформированные на основе обезличенных персональных данных, не позволяющие идентифицировать конкретного субъекта, и отражающие совокупные характеристики (например, средние значения, количество, процент, распределение).
2.16. Автоматизированная обработка персональных данных - обработка персональных данных с использованием информационных технологий, программных средств, алгоритмов и автоматических систем, при которой действия с персональными данными осуществляются полностью или преимущественно без участия человека.
2.17. Уполномоченное подразделение – структурное подразделение Компании, создаваемое для обеспечения обработки и защиты персональных данных в соответствии с законодательством РУз о персональных данных.
2.18. Защита персональных данных – совокупность правовых, организационных и технических мер, направленных на обеспечение конфиденциальности, целостности и доступности персональных данных, а также на предотвращение их утраты, неправомерного доступа, изменения, уничтожения, распространения и иных противоправных действий.
2.19. Конфиденциальность персональных данных – состояние персональных данных, при котором обеспечена безопасность от их незаконной обработки.
2.20. Целостность персональных данных – состояние персональных данных, при котором они сохраняются в первоначальном и/или установленном виде, защищены от несанкционированного или случайного изменения, удаления или искажения, могут быть восстановлены в случае сбоя, утраты или повреждения.
2.21. Техническая информация – совокупность сведений, автоматически собираемых и обрабатываемых при использовании Субъектом персональных данных Услуг Компании, включая, но не ограничиваясь: идентификаторами устройств и модулей (IMEI, IMSI, MAC-адрес, серийный номер, модель, тип оборудования); сведениями
о SIM-карте и подключении к базовым станциям (ID БС, регистрация, зона покрытия);
IP-адресом, сетевыми параметрами, типом подключения, скоростью соединения, режимом роуминга; информацией об операционной системе и программном обеспечении (версия, идентификаторы, параметры использования); геоданными (страна, город, координаты, точка входа); системными журналами и логами (ошибки, события, обращения
к API, сессии); cookie-файлами и аналогичными технологиями; сведениями
об обращениях в техническую поддержку (дата, содержание, результат); иными автоматически формируемыми техническими данными, необходимыми для предоставления, поддержки, функционирования, анализа и обеспечения безопасности Услуг.
2.22. Поведенческий профиль – совокупность сведений, формируемых в процессе использования Субъектом персональных данных Услуг Компании, характеризующих его действия, предпочтения и уровень активности, включая действия на веб-сайтах и в мобильных приложениях (клики, переходы, длительность сессий, частота использования); автоматизированно сформированные поведенческие модели и характеристики (например, интересы, предпочтения, склонности, уровень вовлечённости); объёмы потребления, история использования Услуг, сценарии взаимодействия; аналитические выводы, полученные на основании алгоритмов Big Data и машинного обучения; иные сведения, отражающие индивидуальные особенности поведения Субъекта при использовании Услуг.
2.23. Финансовая информация – совокупность Персональных данных, отражающих финансовую активность Субъекта персональных данных при использовании Услуг Компании или взаимодействии с ней, включая, но не ограничиваясь: сведения о балансе, тарифах, начислениях, списаниях и задолженности; история платежей, в том числе дата, сумма, способ и назначение операций; информация о платёжных инструментах, используемых Субъектом (включая тип карты, платёжную систему, маскированный номер, токенизированные данные); сведения о транзакциях, совершённых в Цифровых сервисах Компании (в т.ч. покупках, подписках, бонусах и скидках); банковские и расчётные реквизиты, предоставленные для выплат или возвратов; иные сведения, прямо или косвенно отражающие операции Субъекта, хранящиеся или обрабатываемые в информационных системах Компании.
2.24. Искусственный интеллект (ИИ) – комплекс технологических решений, позволяющий имитировать когнитивные функции человека (в том числе самообучение и поиск решений) и получать при выполнении конкретных задач результаты, сопоставимые с результатами интеллектуальной деятельности человека.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных в Компании осуществляется в строгом соответствии с принципами, установленными законодательством РУз. Указанные принципы являются обязательными для соблюдения всеми работниками и Третьими лицами, участвующими в Обработке персональных данных, и служат основой для оценки законности обработки.
3.2. Нарушение любого из принципов Обработки персональных данных рассматривается как нарушение законодательства РУз и влечёт меры ответственности в соответствии с установленным порядком.
3.3. К основным принципам Обработки персональных данных относятся:
3.3.1 соблюдение конституционных прав и свобод человека и гражданина;
3.3.2. законность целей и способов Обработки персональных данных;
3.3.3. точность и достоверность Персональных данных;
3.3.4. конфиденциальность и защищенность Персональных данных;
3.3.5. равенство прав субъектов, собственников и операторов персональных данных;
3.3.6. безопасность личности, общества и государства;
3.3.7. прозрачность Обработки персональных данных;
3.3.8. минимизация объёма обрабатываемых Персональных данных;
3.3.9. соблюдение сроков хранения Персональных данных.
4. ПРАВОВЫЕ ОСНОВАНИЯ ДЛЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Компания осуществляет Обработку персональных данных при наличии одного из следующих правовых оснований, предусмотренных законодательством РУз:
4.1.1. на основании явного и добровольного согласия субъекта, которое предоставляется для конкретных целей обработки данных;
4.1.2. когда обработка необходима для выполнения договора, стороной которого является Субъект персональных данных, или для принятия мер по запросу субъекта данных до заключения такого договора;
4.1.3. если обработка требуется для исполнения обязательств, возложенных на Компанию, определенных законодательством;
4.1.4. если обработка необходима для защиты законных интересов Субъекта персональных данных или другого лица;
4.1.5. если обработка необходима для осуществления прав и законных интересов Компании или Третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и законные интересы Субъектов персональных данных;
4.1.6. в статистических или иных исследовательских целях при условии обязательного Обезличивания персональных данных;
4.1.7. если эти данные были получены из общедоступных источников, и их обработка не нарушает права и свободы Субъектов персональных данных.
5. УСЛОВИЯ, ЦЕЛИ И ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В целях соблюдения требований законодательства РУз о Персональных данных в Приложении к настоящей Политике определены категории Субъектов персональных данных, цели Обработки персональных данных, а также перечень обрабатываемых Персональных данных для каждой категории.
5.2. Компания осуществляет как Автоматизированную, так и неавтоматизированную Обработку персональных данных в объёме, необходимом для достижения целей, предусмотренных в настоящей Политике.
5.2.1. В целях заключения и исполнения договора (включая оказание услуг и реализацию товаров), а также принятия мер по запросу Субъекта до его заключения, в том числе для оценки благонадежности и платежеспособности, предотвращения мошенничества (фрода), принятия решений о возможности продажи товаров (в том числе на условиях рассрочки), предоставления Услуг с отсрочкой платежа или установления Кредитных лимитов, Компания вправе осуществлять Автоматизированную обработку персональных данных (включая Финансовую информацию, Поведенческий профиль и Техническую информацию) с применением алгоритмов скоринга.
Результаты такой обработки, основанные на имеющихся у Компании сведениях и (или) данных, полученных от третьих лиц (включая кредитные бюро), признаются Сторонами достаточным и исключительным основанием для принятия Компанией соответствующих решений (включая отказ в заключении договора, предоставлении услуг или товаров) без необходимости дополнительного ручного пересмотра или вмешательства персонала.
5.2.2. В случаях, когда в отношении Субъекта принимается решение, порождающее для него юридические последствия или иным образом существенно затрагивающее его права и законные интересы, основанное исключительно на Автоматизированной обработке персональных данных, Компания при получении соответствующего письменного обращения Субъекта (поданного в порядке, позволяющем достоверно идентифицировать личность обратившегося) обязана:
- разъяснить порядок принятия такого решения;
- предоставить возможность заявить мотивированное возражение против такого решения;
- разъяснить порядок защиты Субъектом своих прав;
- рассмотреть возражение и уведомить Субъекта о результатах в письменной форме в срок, установленный законодательством.
5.3. Компания вправе обрабатывать данные о действиях, предпочтениях и взаимодействии Субъектов персональных данных с Услугами (включая Поведенческий профиль, Технические и Финансовые данные) в целях предоставления, оптимизации и развития Услуг, при соблюдении принципов минимизации и недопустимости нарушения прав субъектов.
Обработка осуществляется автоматизированными средствами и не предусматривает индивидуализированной Обработки персональных данных со стороны работников Компании.
Результаты такой обработки формируются в агрегированном либо обезличенном виде, исключающем возможность идентификации конкретных субъектов.
Передача таких данных Партнёрам допускается исключительно в агрегированном и (или) обезличенном виде.
5.4. Согласие Субъекта персональных данных на Обработку персональных данных может предоставляться в следующих формах:
5.4.1. путём акцепта оферты (публичного договора), в которой прямо указаны цели Обработки персональных данных, в этом случае согласие считается предоставленным с момента принятия оферты;
5.4.2. путём подтверждения согласия с условиями предоставления услуг в Цифровых сервисах Компании;
5.4.3. путём заключения договора;
5.4.4. в виде отдельного документа, оформленного в письменной или электронной форме;
5.4.5. путём совершения конклюдентных действий, включая фактическое пользование услугами Компании;
5.4.6. иными способами, не противоречащими законодательству РУз.
5.5. В случаях, когда Обработка персональных данных осуществляется без согласия субъекта (например, для исполнения договора, на основании требований законодательства или для защиты прав и законных интересов Компании), Компания действует строго в рамках, установленных законодательством РУз.
5.6. В целях обеспечения безопасности, защиты имущества и предотвращения инцидентов на территории и объектах Компании осуществляется видеонаблюдение.
Данные, полученные с помощью видеонаблюдения, не обрабатываются Компанией с целью идентификации конкретных Субъектов персональных данных.
При этом передача записей видеонаблюдения может осуществляться в случаях, предусмотренных законодательством Республики Узбекистан, в том числе по запросу правоохранительных органов, судов или иных уполномоченных государственных органов.
5.7. В целях обеспечения пропускного режима и контроля доступа на территорию и объекты Компании, допускается обработка биометрических персональных данных работников, стажёров, практикантов, Исполнителей (физических лиц) и Уполномоченных представителей. Такая обработка осуществляется на основании согласия субъекта в соответствии с целями, определёнными в настоящей Политике, с соблюдением требований законодательства РУз о Персональных данных.
5.8. Компания вправе использовать технологии искусственного интеллекта, машинного обучения и алгоритмического анализа в качестве инструмента автоматизированной обработки персональных данных в объеме, необходимом для достижения целей, предусмотренных в настоящей Политике.
5.8.1. При использовании технологий искусственного интеллекта Компания принимает необходимые меры, направленные на обеспечение соблюдения прав и свобод человека и гражданина. Применение данных технологий осуществляется с учетом минимизации рисков причинения вреда, при этом Компания не несет ответственности за субъективную оценку этичности работы алгоритмов, если они функционируют в рамках законодательства.
6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъекты персональных данных обладают правами, предусмотренными законодательством РУз, включая право на доступ, исправление, ограничение, уничтожение Персональных данных, а также иные права, направленные на защиту их законных интересов.
6.2. Запросы, связанные с реализацией прав Субъектов персональных данных, могут направляться следующими способами:
- по электронной почте на адреса, указанные на официальных ресурсах Компании;
- почтовым отправлением на юридический адрес Компании;
- лично при посещении офиса Компании.
6.3. Отзыв согласия на Обработку персональных данных, требование об уничтожении или приостановке Обработки персональных данных, необходимых для предоставления Услуг Компании, влечет за собой невозможность дальнейшего предоставления таких Услуг Компанией.
7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Компания обеспечивает Защиту персональных данных в процессе их обработки в соответствии с требованиями законодательства РУз.
7.2. Защита персональных данных осуществляется посредством комплекса правовых, организационных, технических и иных мер, направленных на предотвращение несанкционированного доступа, утраты, изменения, раскрытия или уничтожения Персональных данных.
8. ПРИНЦИПЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Защита персональных данных в Компании осуществляется в строгом соответствии с принципами, установленными настоящей Политикой. Указанные принципы являются обязательными для соблюдения всеми работниками, участвующими в Обработке персональных данных, и служат основой для оценки защищенности.
8.2. Нарушение любого из принципов Обработки персональных данных рассматривается как нарушение Политики и влечёт меры ответственности в соответствии с установленным порядком.
8.3. Компания обеспечивает Защиту персональных данных, руководствуясь следующими принципами, вытекающими из требований законодательства РУз и международной практики информационной безопасности:
8.3.1. соблюдение установленного законодательством режима, исключающего несанкционированное раскрытие или распространение Персональных данных, без согласия субъекта либо при отсутствии иного правового основания;
8.3.2. целостность и сохранность – соблюдение требований и принятие мер для предотвращения утраты, искажения или несанкционированного изменения Персональных данных; Персональные данные должны сохраняться в актуальном, непротиворечивом и защищённом состоянии;
8.3.3. ограничение доступа – доступ к Персональным данным предоставляется строго ограниченному кругу лиц в пределах их должностных обязанностей, на основе принципов ролевого доступа и минимально необходимого объёма;
8.3.4. прозрачность и подотчётность – механизмы Защиты персональных данных подлежат документированию, а действия, связанные с обработкой и защитой данных, могут быть проверены и подтверждены;
8.3.5. закрепление ответственности – обеспечение закрепления обязанностей и ответственности за Защиту персональных данных в должностных инструкциях, соглашениях о конфиденциальности и иных внутренних нормативных документах, регулирующих деятельность работников и иных лиц, допущенных к Обработке персональных данных.
9. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
9.1. Передача Персональных данных Бизнес-партнёрам или Третьим лицам, включая трансграничную, допускается исключительно в рамках целей их обработки и при наличии правовых оснований, предусмотренных пунктами 4.1. и 10.2 настоящей Политики.
9.2. Должны быть соблюдены следующие меры безопасности:
- заключение договора с Бизнес-партнёром или Третьим лицом, содержащего обязательства по Защите персональных данных;
- оценка правомерности передачи и ведение реестра таких операций.
9.3. В случае, если взаимоотношения с Бизнес-партнёром или Третьим лицом предусматривают доступ к персональным данным, их обработку или передачу, в обязательном порядке должны быть зафиксированы положения о защите персональных данных. Эти положения могут быть оформлены непосредственно в тексте договора либо в виде отдельного соглашения о конфиденциальности (NDA) или иного дополнительного соглашения к договору.
10. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Трансграничная передача персональных данных осуществляется только в том случае, если страна-получатель обеспечивает адекватную защиту прав Субъектов персональных данных.
10.2 Трансграничная передача персональных данных в страну, не обеспечивающую адекватную защиту прав Субъектов персональных данных, может осуществляться в следующих случаях:
- наличие согласия Субъекта персональных данных на Трансграничную передачу персональных данных;
- необходимость защиты конституционного строя РУз, охраны общественного порядка, прав и свобод граждан, здоровья и нравственности населения;
- предусмотренных международными договорами РУз.
11. ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Персональные данные хранятся в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки и установленные сроки хранения.
11.2. Если иное не предусмотрено законодательством РУз, Персональные данные хранятся в течение срока, необходимого для достижения целей обработки, но не более чем в течение общего срока исковой давности, установленного законодательством РУз, с момента прекращения договорных или иных правоотношений с Субъектом персональных данных.
11.3. По истечении сроков хранения Персональные данные подлежат уничтожению или обезличиванию, если иное не предусмотрено законодательством.
12. УПОЛНОМОЧЕННОЕ ПОДРАЗДЕЛЕНИЕ
12.1. В Компании создается Уполномоченное подразделение, в задачи которого входит организация Обработки и Защиты персональных данных.
12.2. Организация деятельности, задачи, права и обязанности Уполномоченного подразделения устанавливаются законодательством РУз, положением об Уполномоченном подразделении и иными внутренними нормативными документами Компании.
13. ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ РАБОТНИКОВ КОМПАНИИ
13.1. Работники обязаны соблюдать нормы законодательства РУз и внутренних нормативных документов Компании о Персональных данных.
13.2. Работники обязаны оказывать содействие Уполномоченному подразделению в осуществлении контроля за соблюдением законодательства РУз и внутренних нормативных документов Компании о Персональных данных.
13.3. При приеме на работу работник должен подписать обязательство неразглашении конфиденциальной информации и Персональных данных и ознакомиться с настоящей Политикой.
13.4. Работники Компании несут персональную ответственность за нарушение норм законодательства РУз, настоящей Политики и иных внутренних нормативных документов Компании о Персональных данных.
13.5. Работники Компании, непосредственно осуществлявшие работу с Персональными данными, в случае перевода на другую должность, смены позиции внутри Компании либо увольнения обязаны в установленном порядке передать все материальные носители информации (включая бумажные документы и иные носители, содержащие Персональные данные). Технические средства, предоставленные Компанией (в том числе ноутбуки, стационарные компьютеры и иные устройства), подлежат возврату и, при служебной необходимости, могут быть проверены на предмет выявления неправомерных действий.
14. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
14.1. Настоящая Политика является внутренним нормативным документом Компании и обязательна для исполнения всеми работниками, а также иными лицами, вовлечёнными в процессы Обработки персональных данных.
14.2. Политика размещается в открытом доступе на Официальном веб-сайте и в Цифровых сервисах Компании в разделе, доступном для всех пользователей.
14.3. Политика вступает в силу с момента её размещения в указанных источниках, если иное не предусмотрено самой Политикой или отдельным решением Компании.
14.4. Компания вправе вносить изменения в Политику без специального уведомления Субъектов персональных данных. Новая редакция считается действующей с момента её размещения на Официальном веб-сайте и в Цифровых сервисах Компании, если иное не предусмотрено в новой редакции.
Приложение
КАТЕГОРИИ
СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ЦЕЛИ ОБРАБОТКИ И ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Настоящим Приложением определяются категории Субъектов персональных данных, цели обработки и перечень обрабатываемых персональных данных в Компании. Оно применяется в отношении всех процессов Обработки персональных данных, осуществляемых Компанией, включая Автоматизированную и неавтоматизированную обработку.