Политика обработки и защиты персональных данных

1.1. Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с Конституцией Республики Узбекистан, Законом Республики Узбекистан от 02 июля 2019 года №ЗРУ-547 «О персональных данных» (далее — «Закон о ПД»), Законом Республики Узбекистан от 11 декабря 2003 года №ЗРУ-560 «Об информатизации», Гражданским кодексом Республики Узбекистан и иными нормативными правовыми актами в сфере защиты персональных данных.

1.2. Оператором персональных данных в значении статьи 3 Закона о ПД является Общество с ограниченной ответственностью «Alcyone Technologies» (далее — «Оператор»), место нахождения: Республика Узбекистан, город Ташкент. Адрес для обращений по вопросам обработки персональных данных — privacy@eywa.uz.

1.3. Политика определяет порядок обработки персональных данных Субъектов персональных данных при использовании ими сайта eywa.uz, веб-приложения, мобильных клиентов, Telegram-приложения, API и иных сервисов, объединённых общим наименованием «Сервис EYWA» (далее — «Сервис»).

1.4. Настоящая Политика является публичным документом и подлежит обязательному опубликованию на официальном сайте Оператора — eywa.uz. Использование Сервиса означает безоговорочное согласие Субъекта с условиями настоящей Политики.

1.5. В случае несогласия с условиями Политики Субъект обязан воздержаться от использования Сервиса.

Для целей настоящей Политики используются следующие термины в значении, придаваемом им Законом о ПД, если прямо не указано иное.

3.1. Оператор осуществляет обработку персональных данных на следующих правовых основаниях, предусмотренных статьёй 19 Закона о ПД:

1) согласие Субъекта персональных данных;

2) обработка в целях исполнения договора, стороной которого является Субъект, либо по требованию Субъекта для заключения такого договора;

3) обработка в целях исполнения обязанностей, возложенных на Оператора законодательством Республики Узбекистан;

4) обработка в целях защиты жизни, здоровья или иных жизненно важных интересов Субъекта, если получение его согласия невозможно;

5) обработка в целях осуществления прав и законных интересов Оператора или третьих лиц, если при этом не нарушаются права и свободы Субъекта.

3.2. Факт регистрации Субъекта в Сервисе, проставление отметки в форме согласия либо начало использования функциональности Сервиса признаются сторонами выражением согласия Субъекта на обработку персональных данных в объёме и целях, указанных в настоящей Политике.

3.3. Согласие может быть отозвано Субъектом в любое время путём направления письменного уведомления на privacy@eywa.uz. Отзыв согласия не распространяется на случаи, когда обработка предусмотрена законом или необходима для исполнения договора.

4.1. В рамках использования Сервиса Оператор обрабатывает следующие категории персональных данных.

4.7. Оператор не осуществляет сбор специальных категорий персональных данных (раса, национальность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь) за исключением случаев, когда такие данные добровольно сообщены Субъектом в рамках диалога с Сервисом. Специфические правила обработки данных о здоровье описаны в Политике обработки данных о здоровье.

5.1. Оператор обрабатывает персональные данные исключительно для достижения следующих целей:

1) регистрация и идентификация Субъекта, предоставление доступа к Сервису;

2) исполнение договора, заключённого между Оператором и Субъектом путём акцепта Условий использования и Публичной оферты;

3) техническое функционирование Сервиса, включая обработку запросов к языковой модели, сохранение истории диалогов, работу памяти и артефактов;

4) техническая и клиентская поддержка, рассмотрение обращений;

5) информирование о существенных изменениях в работе Сервиса, юридических документах и тарифах;

6) обеспечение информационной безопасности, предотвращение несанкционированного доступа, мошенничества и иных злоупотреблений;

7) ведение статистики, улучшение качества Сервиса на основе обезличенных данных;

8) исполнение обязанностей, возложенных на Оператора законодательством Республики Узбекистан, в том числе в сфере налогообложения и бухгалтерского учёта;

9) защита прав и законных интересов Оператора и третьих лиц в порядке, предусмотренном законом;

10) направление маркетинговых и рекламных сообщений — только при наличии отдельного согласия Субъекта, которое может быть отозвано в любой момент.

5.2. Персональные данные обрабатываются в объёме, необходимом и достаточном для достижения указанных целей. Обработка сверх указанного объёма не допускается.

6.1. Обработка персональных данных осуществляется с использованием средств автоматизации и без использования таких средств, с соблюдением требований Закона о ПД и подзаконных актов.

6.2. Персональные данные граждан Республики Узбекистан собираются, систематизируются и хранятся в базе данных, технические средства которой физически расположены на территории Республики Узбекистан, в соответствии с частью 2 статьи 27¹ Закона о ПД.

6.3. Оператор не использует содержимое диалогов и загруженных Субъектом материалов для обучения языковой модели EYWA по умолчанию. Использование таких данных для целей улучшения модели возможно только при наличии отдельного явного согласия Субъекта.

6.4. Запросы к языковой модели обрабатываются на собственной вычислительной инфраструктуре Оператора, расположенной в дата-центре на территории Республики Узбекистан, и не передаются внешним поставщикам искусственного интеллекта (в том числе OpenAI, Anthropic, Google и другим).

7.1. Оператор не продаёт персональные данные и не передаёт их третьим лицам, за исключением случаев, прямо предусмотренных настоящей Политикой и законодательством.

7.2. Персональные данные могут быть переданы следующим категориям получателей в объёме, необходимом для достижения целей обработки:

1) подрядчикам и поставщикам услуг, привлекаемым Оператором для обеспечения функционирования Сервиса (платёжные провайдеры, сервисы транзакционных уведомлений, поставщики облачной инфраструктуры резервного копирования, подрядчики по наблюдаемости и безопасности);

2) аффилированным лицам, входящим в группу компаний Alcyone Technologies, при наличии правовых оснований;

3) государственным органам — по законному требованию, оформленному в соответствии с процессуальным законодательством;

4) правопреемнику в случае реорганизации, слияния или продажи бизнеса — с соблюдением требований Закона о ПД и с уведомлением Субъектов;

5) в рамках корпоративной подписки — уполномоченным представителям организации-заказчика в объёме, необходимом для администрирования корпоративного аккаунта, без раскрытия содержания личных диалогов сотрудников вне корпоративного контура.

7.3. Передача персональных данных каждому получателю осуществляется на основании письменного договора (поручения на обработку), предусматривающего обязанность получателя обеспечивать конфиденциальность и защиту персональных данных на уровне не ниже требований настоящей Политики.

7.4. Трансграничная передача персональных данных осуществляется в соответствии со статьёй 28 Закона о ПД только в государства, обеспечивающие адекватный уровень защиты прав Субъектов, либо при наличии письменного согласия Субъекта. Перечень государств и получателей трансграничной передачи по запросу предоставляется на privacy@eywa.uz.

8.1. Персональные данные хранятся в течение срока, необходимого для достижения целей обработки, а также в течение сроков, установленных законодательством.

8.2. Установленные Оператором сроки хранения:

1) данные активной учётной записи — в течение всего срока действия договора и использования Сервиса Субъектом;

2) содержимое диалогов, файлы, артефакты, элементы памяти — до момента их удаления Субъектом либо до удаления учётной записи;

3) технические журналы — не более 12 (двенадцати) месяцев с момента их создания;

4) данные о платежах и связанные с ними документы — не менее 5 (пяти) лет с момента совершения платежа, в соответствии с требованиями бухгалтерского учёта и налогового законодательства Республики Узбекистан;

5) материалы обращений в поддержку — не более 3 (трёх) лет с момента закрытия обращения.

8.3. По истечении сроков хранения либо по требованию Субъекта в установленных законом случаях персональные данные подлежат уничтожению или обезличиванию. Уничтожение производится способом, исключающим возможность последующего восстановления, в срок не позднее 7 (семи) рабочих дней с момента наступления оснований для уничтожения.

8.4. Из резервных копий персональные данные удаляются в порядке ротации — как правило, в срок не позднее 30 (тридцати) календарных дней.

8.5. Субъект имеет право в любой момент запросить удаление своих персональных данных в порядке, предусмотренном разделом 10 настоящей Политики.

9.1. Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий, в объёме, предусмотренном статьёй 28 Закона о ПД.

9.4. Оператор проводит внутренние аудиты безопасности не реже одного раза в год и реализует программу ответственного разглашения уязвимостей, доступную на странице /legal/responsible-disclosure.

9.5. В случае обнаружения инцидента, создающего риск для прав и законных интересов Субъектов, Оператор принимает меры по его локализации и уведомляет Субъектов и уполномоченные органы в сроки и в порядке, установленные законодательством.

10.1. В соответствии со статьями 22–26 Закона о ПД Субъект имеет право:

1) получать от Оператора подтверждение факта обработки его персональных данных;

2) знакомиться с условиями обработки, категориями обрабатываемых данных, целями, сроками и правовым основанием обработки;

3) требовать уточнения, блокирования или уничтожения персональных данных в случае их неполноты, устаревания, неточности, незаконности получения или несоответствия заявленным целям;

4) отзывать согласие на обработку персональных данных;

5) получать экспортируемую копию своих персональных данных в машиночитаемом формате;

6) возражать против обработки персональных данных в целях прямого маркетинга;

7) обжаловать действия или бездействие Оператора в Государственной инспекции по контролю в сфере информатизации и телекоммуникаций Республики Узбекистан, а также в судебном порядке.

10.2. Запросы по реализации прав направляются на privacy@eywa.uz с описанием существа требования. Для идентификации Субъекта Оператор вправе запросить дополнительные сведения, позволяющие подтвердить, что обращение исходит от Субъекта или его уполномоченного представителя.

10.3. Оператор рассматривает обращения Субъектов в срок не более 15 (пятнадцати) рабочих дней с момента получения полного комплекта необходимых сведений.

10.4. В случае отказа в удовлетворении обращения Оператор направляет Субъекту мотивированный ответ с указанием причин отказа и порядка обжалования.

11.1. Сервис использует технические (строго необходимые) cookie для обеспечения работы авторизации, сохранения сессии, обеспечения безопасности и корректного отображения интерфейса. Отключение технических cookie приведёт к невозможности использования Сервиса.

11.2. Аналитические cookie используются для сбора обезличенной статистики работы Сервиса без привязки к содержанию пользовательских диалогов. Использование аналитических cookie может быть отключено Субъектом в настройках аккаунта в любой момент.

11.3. Оператор не использует рекламные cookie третьих лиц и не участвует в системах кросс-сайтового таргетирования.

12.1. Сервис не предназначен для использования лицами, не достигшими 18-летнего возраста. Регистрация таких лиц в Сервисе не допускается.

12.2. В случае обнаружения факта получения Оператором персональных данных несовершеннолетнего без согласия его законного представителя такие данные подлежат удалению в срок не позднее 7 (семи) рабочих дней с момента получения соответствующего уведомления.

12.3. Уведомление о факте регистрации несовершеннолетнего направляется на privacy@eywa.uz.

13.1. Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция публикуется на сайте eywa.uz.

13.2. О существенных изменениях, затрагивающих права Субъектов, Оператор уведомляет через интерфейс Сервиса и (или) по адресу электронной почты, указанному Субъектом, не позднее чем за 15 (пятнадцать) календарных дней до вступления изменений в силу.

13.3. Продолжение использования Сервиса после вступления изменений в силу означает согласие Субъекта с новой редакцией Политики. При несогласии Субъект вправе прекратить использование Сервиса и запросить удаление учётной записи.

Полное наименование: Общество с ограниченной ответственностью «Alcyone Technologies».

Краткое наименование: ООО «Alcyone Technologies».

Юрисдикция: Республика Узбекистан.

Место нахождения: город Ташкент, Республика Узбекистан.

Сайт: https://eywa.uz.

Адрес для обращений по вопросам обработки персональных данных: privacy@eywa.uz.

Адрес для общих вопросов: hello@eywa.uz.

Адрес для сообщений об инцидентах безопасности: security@eywa.uz.

Надзорный орган: Государственная инспекция по контролю в сфере информатизации и телекоммуникаций Республики Узбекистан (в части контроля обработки персональных данных в рамках компетенции, установленной законодательством).