Все документы

Юридические документы

Политика конфиденциальности KMS

Дата вступления в силу
22 апреля 2026 г.
Версия
2.0
Последнее обновление
22 апреля 2026 г.
Содержание
  1. 1. Общие положения
  2. 2. Оператор персональных данных
  3. 3. Модель «совместные операторы»
  4. 4. Категории персональных данных, которые мы обрабатываем
  5. 5. Цели обработки и правовые основания
  6. 6. Третьи стороны и трансграничная передача
  7. 7. Сроки хранения персональных данных
  8. 8. Права субъекта персональных данных
  9. 9. Меры безопасности
  10. 10. Уведомление об утечке персональных данных
  11. 11. Обработка данных несовершеннолетних (ст. 18)
  12. 12. Cookies и аналогичные технологии
  13. 13. Изменения настоящей Политики
  14. 14. Контакты

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок сбора, обработки, хранения, передачи и защиты персональных данных пользователей сервиса KMS (Kindergarten Management System) — мультитенантной SaaS-платформы управления детскими дошкольными учреждениями.

1.2. Политика разработана в соответствии с:

  • Конституцией Кыргызской Республики (ст. 29 — право на неприкосновенность частной жизни);
  • Законом Кыргызской Республики № 179 от 31 июля 2025 года «О защите персональных данных» (далее — «Закон № 179»), вступившим в силу 6 февраля 2026 года;
  • Цифровым кодексом Кыргызской Республики № 178 от 31 июля 2025 года (в силе с 8 февраля 2026 года);
  • Законом КР «Об образовании», Законом КР «Об охране здоровья граждан», Законом КР «О защите прав ребёнка» — в части данных обучающихся и несовершеннолетних;
  • Трудовым кодексом КР — в части данных сотрудников;
  • Налоговым кодексом КР — в части сроков хранения финансовых документов.

1.3. Используя сервис KMS, вы подтверждаете, что ознакомились с Политикой и принимаете её условия. При несогласии — прекратите использование сервиса.

1.4. Настоящая редакция полностью заменяет все предыдущие версии Политики.


2. Оператор персональных данных

2.1. Оператор сервиса KMS:

  • Наименование: Индивидуальный предприниматель Турсунакунова Нуржан Сураповна (ОКПО 33188711, рег. № 004-2024-169-3867 от 20.08.2024)
  • ИНН: 10101198505505
  • Юридический адрес: Кыргызская Республика, г. Бишкек, Первомайский р-н, Боровской пер., 28
  • Телефон: +996 500 519 112
  • Email для запросов по ПДн: [email protected]
  • Email для общей поддержки: [email protected]
  • Сайт: https://kms-system.com

2.2. Ответственное лицо за защиту персональных данных (DPO) в соответствии со ст. 38 Закона № 179: контакт — [email protected].

2.3. Регистрация в госреестре операторов ПДн (ст. 20 Закона № 179): регистрационный номер и сведения о регистрации будут опубликованы после завершения процедуры в Государственном агентстве по защите персональных данных Кыргызской Республики.


3. Модель «совместные операторы»

3.1. В рамках работы сервиса KMS применяется модель совместных операторов персональных данных в значении ст. 19 Закона № 179:

СторонаРольЗона ответственности
Индивидуальный предприниматель Турсунакунова Нуржан Сураповна (ОКПО 33188711, рег. № 004-2024-169-3867 от 20.08.2024) (KMS)Оператор программно-технической платформыХранение, защита и обеспечение доступности данных; технические меры безопасности; уведомление об утечках; реализация прав субъектов через интерфейс
Детский сад (клиент KMS)Оператор образовательных и организационных данныхПолнота и достоверность вводимых данных; сбор согласий родителей; соблюдение правил доступа в своём учреждении

3.2. Распределение ответственности и взаимные обязательства сторон закреплены в разделе DPA (Data Processing Agreement) Пользовательского соглашения / Оферты KMS.

3.3. Субъект персональных данных вправе обратиться с запросом к любой из сторон — запрос будет отработан совместно в установленные законом сроки.


4. Категории персональных данных, которые мы обрабатываем

4.1. Данные детей (несовершеннолетних субъектов — ст. 18 Закона № 179):

КатегорияПеречень
ИдентификационныеФИО, дата рождения, пол, адрес проживания
ДокументальныеНомер свидетельства о рождении, сканы документов
Биометрические (спецкатегория, ст. 8)Фотография ребёнка
Медицинские (спецкатегория, ст. 8)Группа здоровья, аллергии, хронические заболевания, вакцинация, заключения врачей, медкарта, инциденты и травмы, физические измерения (рост, вес, зрение, слух, давление)
ПедагогическиеГруппа, посещаемость, результаты оценок развития, ежедневные дневниковые записи
КонтекстуальныеКонтакты экстренной связи, особые указания

4.2. Данные родителей / законных представителей:

КатегорияПеречень
ИдентификационныеФИО
КонтактныеТелефон, email
УчётныеСвязь с ребёнком (тип родства, статус основного представителя)
ФинансовыеИстория платежей за услуги садика, суммы и даты транзакций
КоммуникационныеСообщения с сотрудниками садика, уведомления
ТехническиеIP-адрес, User-Agent, время входов (журнал аудита)

4.3. Данные сотрудников детского сада:

КатегорияПеречень
ИдентификационныеФИО, дата рождения, пол, адрес
Документальные (спецкатегория частично)Паспортные данные, сканы паспорта, ИНН, дипломы, свидетельства, кадровые документы, трудовой договор
Биометрические (спецкатегория, ст. 8)Фотография сотрудника
Медицинские (спецкатегория, ст. 8)Данные медицинской книжки
ПрофессиональныеДолжность, квалификация, образование, стаж, сертификаты
ТрудовыеОтпуска, больничные, графики работы, заработная плата, удержания, бонусы
УчётныеЛогин, роль, статус активности
ТехническиеIP-адрес, User-Agent, журнал действий

4.4. Данные посетителей учреждения (журнал посещений): ФИО посетителя, цель визита, связанный ребёнок, время входа/выхода, данные документа.

4.5. Данные кандидатов (лист ожидания): ФИО будущего ребёнка, дата рождения, ФИО родителя, контакты родителя.


5. Цели обработки и правовые основания

5.1. Обработка персональных данных осуществляется исключительно для целей, перечисленных ниже, на одном из правовых оснований, установленных ст. 5 Закона № 179:

ЦельКатегории данныхПравовое основание
Идентификация и аутентификация пользователяУчётные, контактныеИсполнение договора (ст. 5 п. 2)
Предоставление услуг сервиса KMSВсе категории по назначениюИсполнение договора (ст. 5 п. 2)
Зачисление и учёт ребёнка в садикеДанные детей, родителейСогласие законного представителя (ст. 9 + 18)
Оказание образовательных услугПедагогические, посещаемостьЗакон КР «Об образовании» (ст. 5 п. 4)
Обеспечение безопасности здоровья ребёнкаМедицинские, аллергииСогласие + жизненные интересы ребёнка (ст. 5 п. 6, ст. 8)
Оплата услугФинансовыеИсполнение договора + требование Налогового кодекса
Кадровый учёт сотрудниковДанные сотрудниковТрудовой кодекс КР (ст. 5 п. 4)
Налоговый и бухгалтерский учётФинансовые, платёжныеНалоговый кодекс КР (ст. 5 п. 4)
Обеспечение безопасности системыТехнические (IP, User-Agent, журналы)Законные интересы оператора (ст. 5 п. 5)
Коммуникация с родителями и сотрудникамиКоммуникационныеИсполнение договора

5.2. Для обработки специальных категорий (медицинские, биометрические данные, данные несовершеннолетних) — ст. 8 и ст. 18 Закона № 179 — получается явное и отдельное согласие родителя / законного представителя через форму согласия в интерфейсе KMS. Без согласия спецкатегории не обрабатываются.

5.3. Мы не используем персональные данные для прямого маркетинга, профилирования или передачи третьим лицам в рекламных целях.


6. Третьи стороны и трансграничная передача

6.1. Хранение данных: все данные хранятся на собственной серверной инфраструктуре оператора, физически размещённой на территории Кыргызской Республики. Пересылка данных за пределы КР не осуществляется, за исключением случаев, указанных в п. 6.2.

6.2. Неизбежная трансграничная передача (ст. 32 Закона № 179):

ПолучательСтранаКакие данныеЦельОснование
Google LLC (Google OAuth)СШАEmail и имя профиля Google (только в момент входа)Аутентификация пользователяСогласие, выражаемое нажатием на «Войти через Google»
Cloudflare, Inc. (Cloudflare Tunnel)Глобальная CDN/прокси-инфраструктураIP-адрес посетителя, User-Agent, метаданные HTTP-запроса (транзитно, без хранения)Доставка HTTPS-трафика и защита от DDoSЗаконные интересы оператора (защита сервиса)

6.3. Оператор не передаёт персональные данные третьим сторонам для коммерческих или рекламных целей. Передача государственным органам осуществляется только в случаях, прямо предусмотренных законом.

6.4. Мы не используем Supabase, Vercel, Amazon Web Services, Google Cloud или иные зарубежные облачные хранилища для обработки персональных данных пользователей.


7. Сроки хранения персональных данных

7.1. В соответствии со ст. 34 Закона № 179 персональные данные не хранятся дольше, чем это необходимо для достижения целей их обработки.

КатегорияСрок храненияОснование
Данные активных пользователейНа период действия договораИсполнение договора
Данные после удаления аккаунта30 дней грейс-период, затем уничтожениеТехническое восстановление + ст. 34
Финансовые документы (платежи, счета, расчёты)5 лет с года платежаНалоговый кодекс КР
Кадровые документы сотрудников75 лет (архивное хранение)Трудовой кодекс КР, архивное законодательство
Журналы аудита (audit_logs)3 годаЗаконные интересы оператора, безопасность
Резервные копии (backup)90 днейВосстановление данных
Согласия на обработку ПДнНа срок действия согласия + 3 года после отзываПодтверждение законности обработки

7.2. По истечении срока хранения данные уничтожаются в течение двух недель с оформлением внутреннего акта уничтожения.

7.3. Уничтожение применяется ко всем копиям данных: основная БД, резервные копии (после достижения их срока), локальные кэши.


8. Права субъекта персональных данных

8.1. В соответствии со ст. 10–13, 23 Закона № 179 субъект ПДн имеет право:

  • Получить информацию о своих персональных данных и их обработке — ответ предоставляется в срок не более 14 дней (ст. 10);
  • Требовать исправления неверных или неполных данных — изменение вносится в течение 7 дней после подтверждения (ст. 13, 35);
  • Требовать удаления своих данных («право на забвение») при отсутствии иных правовых оснований для обработки — удаление в течение 7 дней (ст. 23);
  • Отозвать согласие на обработку в любой момент через интерфейс KMS или email [email protected];
  • Возражать против обработки для прямого маркетинга или передачи третьим лицам (ст. 12);
  • Подать жалобу в Государственное агентство по защите персональных данных Кыргызской Республики (https://dpa.gov.kg).

8.2. Для реализации прав отправьте запрос на [email protected] с подтверждением своей личности (для предотвращения неправомерного доступа к чужим данным).

8.3. В случае отзыва согласия на обработку ПДн ребёнка законным представителем дальнейшее оказание услуг сервиса KMS становится технически невозможным.


9. Меры безопасности

9.1. Оператор применяет комплекс технических и организационных мер защиты персональных данных:

Технические:

  • Шифрование транспорта: TLS 1.3, HSTS, перенаправление HTTP → HTTPS;
  • Защита сессий: httpOnly + Secure + SameSite cookies, JWT-токены с ограниченным сроком;
  • Защита от CSRF: double-submit cookie pattern на всех мутациях;
  • Защита от брутфорса и сканирования: rate-limiting, honeypot-эндпоинты, 24-часовой IP-бан на подозрительную активность;
  • Изоляция данных между детскими садами (мультитенантность): фильтрация на уровне приложения по kindergarten_id в каждом запросе;
  • Аудит действий: таблица audit_logs с невозможностью изменения и удаления записей (append-only на уровне БД);
  • Резервное копирование: автоматические бэкапы с шифрованием;
  • Мониторинг аномалий: логирование подозрительных операций.

Организационные:

  • Принцип минимизации: собираем только данные, необходимые для конкретной цели;
  • Разграничение доступа: 10-ролевая RBAC-модель, каждая роль видит только нужные данные;
  • Контроль сессий: автоматический выход при длительном бездействии;
  • Обучение сотрудников оператора по вопросам защиты ПДн;
  • Регулярный пересмотр прав доступа;
  • Журналирование всех действий с критичными данными.

9.2. Несмотря на принимаемые меры, ни одна система не гарантирует 100%-й защиты. Оператор обязуется оперативно реагировать на инциденты в соответствии с разделом 10.


10. Уведомление об утечке персональных данных

10.1. В соответствии со ст. 37 Закона № 179 при обнаружении утечки (несанкционированного доступа, раскрытия, изменения или уничтожения) персональных данных:

  • Оператор уведомляет Государственное агентство по защите персональных данных КР в течение 72 часов с момента обнаружения;
  • Если утечка представляет высокий риск для прав субъектов — они уведомляются в кратчайший срок через email / внутреннюю систему уведомлений KMS;
  • Если утечку допустил обработчик по поручению оператора (субпроцессор) — он обязан уведомить оператора в течение 48 часов;
  • Уведомление содержит: характер нарушения, категории и количество затронутых субъектов, предполагаемые последствия, предпринятые и планируемые меры.

10.2. Оператор ведёт внутренний реестр инцидентов безопасности для последующего анализа и предотвращения повторений.


11. Обработка данных несовершеннолетних (ст. 18)

11.1. В KMS обрабатываются данные детей возрастом от 0 до 10 лет. В соответствии со ст. 18 Закона № 179 все решения в отношении данных ребёнка принимает законный представитель (родитель / опекун).

11.2. До начала обработки оператор получает от родителя / законного представителя электронное согласие в интерфейсе KMS, подписанное путём подтверждения в личном кабинете родителя.

11.3. Обрабатываемые согласия разделены на 4 блока (в таблице parent_consents):

  • Общее согласие на обработку ПДн ребёнка (data_processing) — обязательно;
  • Согласие на обработку медицинских данных (medical_data) — обязательно для зачисления;
  • Согласие на использование фотографии (photo_usage) — опционально;
  • Согласие на экстренную медицинскую помощь (emergency_treatment) — обязательно.

11.4. Подробная форма согласия опубликована на странице /{locale}/legal/parent-consent.

11.5. Данные несовершеннолетних не используются для автоматизированного принятия решений, профилирования или передачи третьим лицам в любых иных целях, кроме образовательных и медицинских.


12. Cookies и аналогичные технологии

12.1. KMS использует только строго необходимые cookies для функционирования сервиса. Рекламные и аналитические cookies не применяются.

12.2. Полный перечень cookies опубликован в Политике cookies на странице /{locale}/legal/cookies.

12.3. Отдельное согласие на использование cookies не требуется — все cookies необходимы для предоставления запрошенной пользователем услуги.


13. Изменения настоящей Политики

13.1. Оператор вправе изменять Политику. Актуальная редакция всегда публикуется по адресу https://kms-system.com/{locale}/privacy.

13.2. При существенных изменениях (расширение перечня собираемых данных, появление новых получателей данных, изменение сроков хранения) пользователи уведомляются:

  • Через внутренние уведомления в интерфейсе KMS;
  • На email пользователя (при его наличии);
  • Не позднее чем за 14 дней до вступления изменений в силу.

13.3. Продолжение использования сервиса KMS после публикации изменений означает согласие с новой редакцией.


14. Контакты

По вопросам обработки персональных данных:

По общим вопросам поддержки:

Официальный сайт: https://kms-system.com

Надзорный орган: Государственное агентство по защите персональных данных Кыргызской Республики — https://dpa.gov.kg