Юридические документы
Политика конфиденциальности KMS
- Дата вступления в силу
- 22 апреля 2026 г.
- Версия
- 2.0
- Последнее обновление
- 22 апреля 2026 г.
Содержание
- 1. Общие положения
- 2. Оператор персональных данных
- 3. Модель «совместные операторы»
- 4. Категории персональных данных, которые мы обрабатываем
- 5. Цели обработки и правовые основания
- 6. Третьи стороны и трансграничная передача
- 7. Сроки хранения персональных данных
- 8. Права субъекта персональных данных
- 9. Меры безопасности
- 10. Уведомление об утечке персональных данных
- 11. Обработка данных несовершеннолетних (ст. 18)
- 12. Cookies и аналогичные технологии
- 13. Изменения настоящей Политики
- 14. Контакты
1. Общие положения
1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок сбора, обработки, хранения, передачи и защиты персональных данных пользователей сервиса KMS (Kindergarten Management System) — мультитенантной SaaS-платформы управления детскими дошкольными учреждениями.
1.2. Политика разработана в соответствии с:
- Конституцией Кыргызской Республики (ст. 29 — право на неприкосновенность частной жизни);
- Законом Кыргызской Республики № 179 от 31 июля 2025 года «О защите персональных данных» (далее — «Закон № 179»), вступившим в силу 6 февраля 2026 года;
- Цифровым кодексом Кыргызской Республики № 178 от 31 июля 2025 года (в силе с 8 февраля 2026 года);
- Законом КР «Об образовании», Законом КР «Об охране здоровья граждан», Законом КР «О защите прав ребёнка» — в части данных обучающихся и несовершеннолетних;
- Трудовым кодексом КР — в части данных сотрудников;
- Налоговым кодексом КР — в части сроков хранения финансовых документов.
1.3. Используя сервис KMS, вы подтверждаете, что ознакомились с Политикой и принимаете её условия. При несогласии — прекратите использование сервиса.
1.4. Настоящая редакция полностью заменяет все предыдущие версии Политики.
2. Оператор персональных данных
2.1. Оператор сервиса KMS:
- Наименование: Индивидуальный предприниматель Турсунакунова Нуржан Сураповна (ОКПО 33188711, рег. № 004-2024-169-3867 от 20.08.2024)
- ИНН: 10101198505505
- Юридический адрес: Кыргызская Республика, г. Бишкек, Первомайский р-н, Боровской пер., 28
- Телефон: +996 500 519 112
- Email для запросов по ПДн: [email protected]
- Email для общей поддержки: [email protected]
- Сайт: https://kms-system.com
2.2. Ответственное лицо за защиту персональных данных (DPO) в соответствии со ст. 38 Закона № 179: контакт — [email protected].
2.3. Регистрация в госреестре операторов ПДн (ст. 20 Закона № 179): регистрационный номер и сведения о регистрации будут опубликованы после завершения процедуры в Государственном агентстве по защите персональных данных Кыргызской Республики.
3. Модель «совместные операторы»
3.1. В рамках работы сервиса KMS применяется модель совместных операторов персональных данных в значении ст. 19 Закона № 179:
| Сторона | Роль | Зона ответственности |
|---|---|---|
| Индивидуальный предприниматель Турсунакунова Нуржан Сураповна (ОКПО 33188711, рег. № 004-2024-169-3867 от 20.08.2024) (KMS) | Оператор программно-технической платформы | Хранение, защита и обеспечение доступности данных; технические меры безопасности; уведомление об утечках; реализация прав субъектов через интерфейс |
| Детский сад (клиент KMS) | Оператор образовательных и организационных данных | Полнота и достоверность вводимых данных; сбор согласий родителей; соблюдение правил доступа в своём учреждении |
3.2. Распределение ответственности и взаимные обязательства сторон закреплены в разделе DPA (Data Processing Agreement) Пользовательского соглашения / Оферты KMS.
3.3. Субъект персональных данных вправе обратиться с запросом к любой из сторон — запрос будет отработан совместно в установленные законом сроки.
4. Категории персональных данных, которые мы обрабатываем
4.1. Данные детей (несовершеннолетних субъектов — ст. 18 Закона № 179):
| Категория | Перечень |
|---|---|
| Идентификационные | ФИО, дата рождения, пол, адрес проживания |
| Документальные | Номер свидетельства о рождении, сканы документов |
| Биометрические (спецкатегория, ст. 8) | Фотография ребёнка |
| Медицинские (спецкатегория, ст. 8) | Группа здоровья, аллергии, хронические заболевания, вакцинация, заключения врачей, медкарта, инциденты и травмы, физические измерения (рост, вес, зрение, слух, давление) |
| Педагогические | Группа, посещаемость, результаты оценок развития, ежедневные дневниковые записи |
| Контекстуальные | Контакты экстренной связи, особые указания |
4.2. Данные родителей / законных представителей:
| Категория | Перечень |
|---|---|
| Идентификационные | ФИО |
| Контактные | Телефон, email |
| Учётные | Связь с ребёнком (тип родства, статус основного представителя) |
| Финансовые | История платежей за услуги садика, суммы и даты транзакций |
| Коммуникационные | Сообщения с сотрудниками садика, уведомления |
| Технические | IP-адрес, User-Agent, время входов (журнал аудита) |
4.3. Данные сотрудников детского сада:
| Категория | Перечень |
|---|---|
| Идентификационные | ФИО, дата рождения, пол, адрес |
| Документальные (спецкатегория частично) | Паспортные данные, сканы паспорта, ИНН, дипломы, свидетельства, кадровые документы, трудовой договор |
| Биометрические (спецкатегория, ст. 8) | Фотография сотрудника |
| Медицинские (спецкатегория, ст. 8) | Данные медицинской книжки |
| Профессиональные | Должность, квалификация, образование, стаж, сертификаты |
| Трудовые | Отпуска, больничные, графики работы, заработная плата, удержания, бонусы |
| Учётные | Логин, роль, статус активности |
| Технические | IP-адрес, User-Agent, журнал действий |
4.4. Данные посетителей учреждения (журнал посещений): ФИО посетителя, цель визита, связанный ребёнок, время входа/выхода, данные документа.
4.5. Данные кандидатов (лист ожидания): ФИО будущего ребёнка, дата рождения, ФИО родителя, контакты родителя.
5. Цели обработки и правовые основания
5.1. Обработка персональных данных осуществляется исключительно для целей, перечисленных ниже, на одном из правовых оснований, установленных ст. 5 Закона № 179:
| Цель | Категории данных | Правовое основание |
|---|---|---|
| Идентификация и аутентификация пользователя | Учётные, контактные | Исполнение договора (ст. 5 п. 2) |
| Предоставление услуг сервиса KMS | Все категории по назначению | Исполнение договора (ст. 5 п. 2) |
| Зачисление и учёт ребёнка в садике | Данные детей, родителей | Согласие законного представителя (ст. 9 + 18) |
| Оказание образовательных услуг | Педагогические, посещаемость | Закон КР «Об образовании» (ст. 5 п. 4) |
| Обеспечение безопасности здоровья ребёнка | Медицинские, аллергии | Согласие + жизненные интересы ребёнка (ст. 5 п. 6, ст. 8) |
| Оплата услуг | Финансовые | Исполнение договора + требование Налогового кодекса |
| Кадровый учёт сотрудников | Данные сотрудников | Трудовой кодекс КР (ст. 5 п. 4) |
| Налоговый и бухгалтерский учёт | Финансовые, платёжные | Налоговый кодекс КР (ст. 5 п. 4) |
| Обеспечение безопасности системы | Технические (IP, User-Agent, журналы) | Законные интересы оператора (ст. 5 п. 5) |
| Коммуникация с родителями и сотрудниками | Коммуникационные | Исполнение договора |
5.2. Для обработки специальных категорий (медицинские, биометрические данные, данные несовершеннолетних) — ст. 8 и ст. 18 Закона № 179 — получается явное и отдельное согласие родителя / законного представителя через форму согласия в интерфейсе KMS. Без согласия спецкатегории не обрабатываются.
5.3. Мы не используем персональные данные для прямого маркетинга, профилирования или передачи третьим лицам в рекламных целях.
6. Третьи стороны и трансграничная передача
6.1. Хранение данных: все данные хранятся на собственной серверной инфраструктуре оператора, физически размещённой на территории Кыргызской Республики. Пересылка данных за пределы КР не осуществляется, за исключением случаев, указанных в п. 6.2.
6.2. Неизбежная трансграничная передача (ст. 32 Закона № 179):
| Получатель | Страна | Какие данные | Цель | Основание |
|---|---|---|---|---|
| Google LLC (Google OAuth) | США | Email и имя профиля Google (только в момент входа) | Аутентификация пользователя | Согласие, выражаемое нажатием на «Войти через Google» |
| Cloudflare, Inc. (Cloudflare Tunnel) | Глобальная CDN/прокси-инфраструктура | IP-адрес посетителя, User-Agent, метаданные HTTP-запроса (транзитно, без хранения) | Доставка HTTPS-трафика и защита от DDoS | Законные интересы оператора (защита сервиса) |
6.3. Оператор не передаёт персональные данные третьим сторонам для коммерческих или рекламных целей. Передача государственным органам осуществляется только в случаях, прямо предусмотренных законом.
6.4. Мы не используем Supabase, Vercel, Amazon Web Services, Google Cloud или иные зарубежные облачные хранилища для обработки персональных данных пользователей.
7. Сроки хранения персональных данных
7.1. В соответствии со ст. 34 Закона № 179 персональные данные не хранятся дольше, чем это необходимо для достижения целей их обработки.
| Категория | Срок хранения | Основание |
|---|---|---|
| Данные активных пользователей | На период действия договора | Исполнение договора |
| Данные после удаления аккаунта | 30 дней грейс-период, затем уничтожение | Техническое восстановление + ст. 34 |
| Финансовые документы (платежи, счета, расчёты) | 5 лет с года платежа | Налоговый кодекс КР |
| Кадровые документы сотрудников | 75 лет (архивное хранение) | Трудовой кодекс КР, архивное законодательство |
| Журналы аудита (audit_logs) | 3 года | Законные интересы оператора, безопасность |
| Резервные копии (backup) | 90 дней | Восстановление данных |
| Согласия на обработку ПДн | На срок действия согласия + 3 года после отзыва | Подтверждение законности обработки |
7.2. По истечении срока хранения данные уничтожаются в течение двух недель с оформлением внутреннего акта уничтожения.
7.3. Уничтожение применяется ко всем копиям данных: основная БД, резервные копии (после достижения их срока), локальные кэши.
8. Права субъекта персональных данных
8.1. В соответствии со ст. 10–13, 23 Закона № 179 субъект ПДн имеет право:
- Получить информацию о своих персональных данных и их обработке — ответ предоставляется в срок не более 14 дней (ст. 10);
- Требовать исправления неверных или неполных данных — изменение вносится в течение 7 дней после подтверждения (ст. 13, 35);
- Требовать удаления своих данных («право на забвение») при отсутствии иных правовых оснований для обработки — удаление в течение 7 дней (ст. 23);
- Отозвать согласие на обработку в любой момент через интерфейс KMS или email [email protected];
- Возражать против обработки для прямого маркетинга или передачи третьим лицам (ст. 12);
- Подать жалобу в Государственное агентство по защите персональных данных Кыргызской Республики (https://dpa.gov.kg).
8.2. Для реализации прав отправьте запрос на [email protected] с подтверждением своей личности (для предотвращения неправомерного доступа к чужим данным).
8.3. В случае отзыва согласия на обработку ПДн ребёнка законным представителем дальнейшее оказание услуг сервиса KMS становится технически невозможным.
9. Меры безопасности
9.1. Оператор применяет комплекс технических и организационных мер защиты персональных данных:
Технические:
- Шифрование транспорта: TLS 1.3, HSTS, перенаправление HTTP → HTTPS;
- Защита сессий: httpOnly + Secure + SameSite cookies, JWT-токены с ограниченным сроком;
- Защита от CSRF: double-submit cookie pattern на всех мутациях;
- Защита от брутфорса и сканирования: rate-limiting, honeypot-эндпоинты, 24-часовой IP-бан на подозрительную активность;
- Изоляция данных между детскими садами (мультитенантность): фильтрация на уровне приложения по
kindergarten_idв каждом запросе; - Аудит действий: таблица
audit_logsс невозможностью изменения и удаления записей (append-only на уровне БД); - Резервное копирование: автоматические бэкапы с шифрованием;
- Мониторинг аномалий: логирование подозрительных операций.
Организационные:
- Принцип минимизации: собираем только данные, необходимые для конкретной цели;
- Разграничение доступа: 10-ролевая RBAC-модель, каждая роль видит только нужные данные;
- Контроль сессий: автоматический выход при длительном бездействии;
- Обучение сотрудников оператора по вопросам защиты ПДн;
- Регулярный пересмотр прав доступа;
- Журналирование всех действий с критичными данными.
9.2. Несмотря на принимаемые меры, ни одна система не гарантирует 100%-й защиты. Оператор обязуется оперативно реагировать на инциденты в соответствии с разделом 10.
10. Уведомление об утечке персональных данных
10.1. В соответствии со ст. 37 Закона № 179 при обнаружении утечки (несанкционированного доступа, раскрытия, изменения или уничтожения) персональных данных:
- Оператор уведомляет Государственное агентство по защите персональных данных КР в течение 72 часов с момента обнаружения;
- Если утечка представляет высокий риск для прав субъектов — они уведомляются в кратчайший срок через email / внутреннюю систему уведомлений KMS;
- Если утечку допустил обработчик по поручению оператора (субпроцессор) — он обязан уведомить оператора в течение 48 часов;
- Уведомление содержит: характер нарушения, категории и количество затронутых субъектов, предполагаемые последствия, предпринятые и планируемые меры.
10.2. Оператор ведёт внутренний реестр инцидентов безопасности для последующего анализа и предотвращения повторений.
11. Обработка данных несовершеннолетних (ст. 18)
11.1. В KMS обрабатываются данные детей возрастом от 0 до 10 лет. В соответствии со ст. 18 Закона № 179 все решения в отношении данных ребёнка принимает законный представитель (родитель / опекун).
11.2. До начала обработки оператор получает от родителя / законного представителя электронное согласие в интерфейсе KMS, подписанное путём подтверждения в личном кабинете родителя.
11.3. Обрабатываемые согласия разделены на 4 блока (в таблице parent_consents):
- Общее согласие на обработку ПДн ребёнка (
data_processing) — обязательно; - Согласие на обработку медицинских данных (
medical_data) — обязательно для зачисления; - Согласие на использование фотографии (
photo_usage) — опционально; - Согласие на экстренную медицинскую помощь (
emergency_treatment) — обязательно.
11.4. Подробная форма согласия опубликована на странице /{locale}/legal/parent-consent.
11.5. Данные несовершеннолетних не используются для автоматизированного принятия решений, профилирования или передачи третьим лицам в любых иных целях, кроме образовательных и медицинских.
12. Cookies и аналогичные технологии
12.1. KMS использует только строго необходимые cookies для функционирования сервиса. Рекламные и аналитические cookies не применяются.
12.2. Полный перечень cookies опубликован в Политике cookies на странице /{locale}/legal/cookies.
12.3. Отдельное согласие на использование cookies не требуется — все cookies необходимы для предоставления запрошенной пользователем услуги.
13. Изменения настоящей Политики
13.1. Оператор вправе изменять Политику. Актуальная редакция всегда публикуется по адресу https://kms-system.com/{locale}/privacy.
13.2. При существенных изменениях (расширение перечня собираемых данных, появление новых получателей данных, изменение сроков хранения) пользователи уведомляются:
- Через внутренние уведомления в интерфейсе KMS;
- На email пользователя (при его наличии);
- Не позднее чем за 14 дней до вступления изменений в силу.
13.3. Продолжение использования сервиса KMS после публикации изменений означает согласие с новой редакцией.
14. Контакты
По вопросам обработки персональных данных:
- Email DPO: [email protected]
По общим вопросам поддержки:
- Email: [email protected]
Официальный сайт: https://kms-system.com
Надзорный орган: Государственное агентство по защите персональных данных Кыргызской Республики — https://dpa.gov.kg
