UNTERNEHMENSPOLITIK ZUR VERARBEITUNG PERSONENBEZOGENER DATEN

1. ALLGEMEINE BESTIMMUNGEN

Die Politik zur Verarbeitung personenbezogener Daten (im Folgenden – die Politik) wurde in Übereinstimmung mit dem Föderalen Gesetz vom 27.07.2006 Nr. 152-FZ „Über personenbezogene Daten“ (im Folgenden – FZ-152) entwickelt.

Diese Politik legt das Verfahren für die Verarbeitung personenbezogener Daten und die Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten bei IE Gendik R. A. (im Folgenden – der Betreiber) fest, um die Rechte und Freiheiten von Menschen und Bürgern bei der Verarbeitung ihrer personenbezogenen Daten zu schützen, einschließlich des Schutzes des Rechts auf Privatsphäre, persönliches und familiäres Geheimnis.

In der Politik werden folgende grundlegende Begriffe verwendet:

  • automatisierte Verarbeitung personenbezogener Daten – Verarbeitung personenbezogener Daten mit Hilfe von Computertechnik;
  • Sperrung personenbezogener Daten - vorübergehende Einstellung der Verarbeitung personenbezogener Daten (außer in Fällen, in denen die Verarbeitung zur Klärung personenbezogener Daten erforderlich ist);
  • Informationssystem für personenbezogene Daten - eine Gesamtheit von in Datenbanken enthaltenen personenbezogenen Daten und den Informationstechnologien und technischen Mitteln, die ihre Verarbeitung gewährleisten;
  • Anonymisierung personenbezogener Daten - Handlungen, durch die es unmöglich wird, ohne zusätzliche Informationen die Zugehörigkeit personenbezogener Daten zu einem bestimmten Betroffenen festzustellen;
  • Verarbeitung personenbezogener Daten - jede Handlung (Operation) oder eine Reihe von Handlungen (Operationen), die mit oder ohne den Einsatz von Automatisierungsmitteln mit personenbezogenen Daten durchgeführt werden, einschließlich Erhebung, Aufzeichnung, Systematisierung, Sammlung, Speicherung, Klärung (Aktualisierung, Änderung), Extraktion, Nutzung, Übertragung (Verbreitung, Bereitstellung, Zugriff), Anonymisierung, Sperrung, Löschung, Vernichtung personenbezogener Daten;
  • Betreiber - eine staatliche Stelle, eine kommunale Einrichtung, eine juristische oder natürliche Person, die allein oder gemeinsam mit anderen die Verarbeitung personenbezogener Daten organisiert und/oder durchführt, sowie die Zwecke der Verarbeitung personenbezogener Daten, die Zusammensetzung der zu verarbeitenden personenbezogenen Daten und die mit den personenbezogenen Daten durchgeführten Handlungen (Operationen) bestimmt;
  • personenbezogene Daten – jede Information, die sich auf eine direkt oder indirekt identifizierte oder identifizierbare natürliche Person (betroffene Person) bezieht;
  • Bereitstellung personenbezogener Daten – Handlungen, die auf die Offenlegung personenbezogener Daten an eine bestimmte Person oder einen bestimmten Personenkreis abzielen;
  • Verbreitung personenbezogener Daten - Handlungen, die auf die Offenlegung personenbezogener Daten an einen unbestimmten Personenkreis (Übermittlung personenbezogener Daten) oder auf die Bekanntmachung personenbezogener Daten an einen unbegrenzten Personenkreis abzielen, einschließlich der Veröffentlichung personenbezogener Daten in den Massenmedien, der Platzierung in Informations- und Telekommunikationsnetzen oder der Gewährung des Zugangs zu personenbezogenen Daten auf andere Weise;
  • grenzüberschreitende Übermittlung personenbezogener Daten - Übermittlung personenbezogener Daten in das Hoheitsgebiet eines ausländischen Staates an eine Behörde eines ausländischen Staates, eine ausländische natürliche oder juristische Person.
  • Vernichtung personenbezogener Daten - Handlungen, durch die es unmöglich wird, den Inhalt personenbezogener Daten im Informationssystem für personenbezogene Daten wiederherzustellen und/oder durch die die materiellen Träger personenbezogener Daten vernichtet werden;

Das Unternehmen ist verpflichtet, diese Politik zur Verarbeitung personenbezogener Daten gemäß Teil 2 von Art. 18.1. des FZ-152 zu veröffentlichen oder anderweitig unbeschränkten Zugang zu gewähren.

2. GRUNDSÄTZE UND BEDINGUNGEN FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN

2.1 Grundsätze der Verarbeitung personenbezogener Daten

Die Verarbeitung personenbezogener Daten beim Betreiber erfolgt auf der Grundlage der folgenden Grundsätze:

  • Rechtmäßigkeit und eine faire Grundlage;
  • Beschränkung der Verarbeitung personenbezogener Daten auf die Erreichung spezifischer, vorab festgelegter und rechtmäßiger Zwecke;
  • Verhinderung der Verarbeitung personenbezogener Daten, die mit den Zwecken der Erhebung personenbezogener Daten unvereinbar ist;
  • Verhinderung der Zusammenführung von Datenbanken, die personenbezogene Daten enthalten, deren Verarbeitung zu unvereinbaren Zwecken erfolgt;
  • Verarbeitung nur derjenigen personenbezogenen Daten, die den Zwecken ihrer Verarbeitung entsprechen;
  • Sicherstellung, dass Inhalt und Umfang der verarbeiteten personenbezogenen Daten den angegebenen Verarbeitungszwecken entsprechen;
  • Verhinderung der Verarbeitung von personenbezogenen Daten, die in Bezug auf die angegebenen Verarbeitungszwecke übermäßig sind;
  • Sicherstellung der Richtigkeit, Vollständigkeit und Aktualität der personenbezogenen Daten in Bezug auf die Zwecke der Verarbeitung personenbezogener Daten;
  • Vernichtung oder Anonymisierung personenbezogener Daten nach Erreichen der Verarbeitungszwecke oder im Falle des Wegfalls der Notwendigkeit zur Erreichung dieser Zwecke, wenn es dem Betreiber unmöglich ist, die begangenen Verstöße gegen personenbezogene Daten zu beseitigen, es sei denn, das Bundesgesetz sieht etwas anderes vor.

2.2 Bedingungen für die Verarbeitung personenbezogener Daten

Der Betreiber verarbeitet personenbezogene Daten, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

  • die Verarbeitung personenbezogener Daten erfolgt mit der Zustimmung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten;
  • die Verarbeitung personenbezogener Daten ist zur Erreichung der in einem internationalen Vertrag der Russischen Föderation oder gesetzlich vorgesehenen Zwecke, zur Ausübung und Erfüllung der dem Betreiber durch die Gesetzgebung der Russischen Föderation auferlegten Funktionen, Befugnisse und Pflichten erforderlich;
  • die Verarbeitung personenbezogener Daten ist für die Rechtspflege, die Vollstreckung eines Gerichtsurteils, eines Akts einer anderen Behörde oder eines Beamten erforderlich, die gemäß der Gesetzgebung der Russischen Föderation über das Vollstreckungsverfahren vollstreckt werden müssen;
  • die Verarbeitung personenbezogener Daten ist für die Erfüllung eines Vertrags erforderlich, bei dem die betroffene Person Vertragspartei, Begünstigter oder Bürge ist, sowie für den Abschluss eines Vertrags auf Initiative der betroffenen Person oder eines Vertrags, bei dem die betroffene Person Begünstigter oder Bürge sein wird;
  • die Verarbeitung personenbezogener Daten ist zur Wahrung der Rechte und berechtigten Interessen des Betreibers oder Dritter oder zur Erreichung gesellschaftlich wichtiger Ziele erforderlich, sofern dabei die Rechte und Freiheiten der betroffenen Person nicht verletzt werden;
  • es erfolgt die Verarbeitung von personenbezogenen Daten, zu denen der Zugang einem unbegrenzten Personenkreis durch die betroffene Person oder auf deren Wunsch gewährt wurde (im Folgenden - öffentlich zugängliche personenbezogene Daten);
  • es erfolgt die Verarbeitung von personenbezogenen Daten, die gemäß Bundesgesetz veröffentlicht oder zwingend offengelegt werden müssen.

2.3 Vertraulichkeit personenbezogener Daten

Der Betreiber und andere Personen, die Zugang zu personenbezogenen Daten erhalten haben, sind verpflichtet, personenbezogene Daten nicht ohne Zustimmung der betroffenen Person an Dritte weiterzugeben und nicht zu verbreiten, es sei denn, das Bundesgesetz sieht etwas anderes vor.

2.4 Öffentlich zugängliche Quellen personenbezogener Daten

Zur Informationsunterstützung können beim Betreiber öffentlich zugängliche Quellen personenbezogener Daten von Betroffenen, einschließlich Verzeichnissen und Adressbüchern, erstellt werden. Mit schriftlicher Zustimmung des Betroffenen können sein Nachname, Vorname, Vatersname, Geburtsdatum und -ort, Position, Kontakttelefonnummern, E-Mail-Adresse und andere vom Betroffenen mitgeteilte personenbezogene Daten in öffentlich zugängliche Quellen personenbezogener Daten aufgenommen werden.

Informationen über den Betroffenen müssen auf Verlangen des Betroffenen oder durch eine Entscheidung eines Gerichts oder anderer zuständiger staatlicher Stellen jederzeit aus öffentlich zugänglichen Quellen personenbezogener Daten entfernt werden.

2.5 Besondere Kategorien personenbezogener Daten

Die Verarbeitung besonderer Kategorien personenbezogener Daten durch den Betreiber, die sich auf rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, den Gesundheitszustand, das Sexualleben beziehen, ist in folgenden Fällen zulässig:

  • die betroffene Person hat schriftlich in die Verarbeitung ihrer personenbezogenen Daten eingewilligt;
  • die personenbezogenen Daten wurden von der betroffenen Person öffentlich gemacht;
  • die Verarbeitung personenbezogener Daten erfolgt in Übereinstimmung mit der Gesetzgebung über staatliche Sozialhilfe, dem Arbeitsrecht, der Gesetzgebung der Russischen Föderation über staatliche Rentenleistungen, über Arbeitsrenten;
  • die Verarbeitung personenbezogener Daten ist zum Schutz des Lebens, der Gesundheit oder anderer lebenswichtiger Interessen der betroffenen Person oder des Lebens, der Gesundheit oder anderer lebenswichtiger Interessen anderer Personen erforderlich und die Einholung der Zustimmung der betroffenen Person ist unmöglich;
  • die Verarbeitung personenbezogener Daten erfolgt zu medizinisch-präventiven Zwecken, zum Zweck der Stellung einer medizinischen Diagnose, der Erbringung von medizinischen und medizinisch-sozialen Dienstleistungen, sofern die Verarbeitung der personenbezogenen Daten von einer Person durchgeführt wird, die beruflich in der medizinischen Tätigkeit tätig ist und nach der Gesetzgebung der Russischen Föderation zur Wahrung des Arztgeheimnisses verpflichtet ist;
  • die Verarbeitung personenbezogener Daten ist zur Geltendmachung oder Ausübung der Rechte der betroffenen Person oder Dritter sowie im Zusammenhang mit der Rechtspflege erforderlich;
  • die Verarbeitung personenbezogener Daten erfolgt in Übereinstimmung mit der Gesetzgebung über obligatorische Versicherungsarten, mit der Versicherungsgesetzgebung.

Die Verarbeitung besonderer Kategorien personenbezogener Daten muss unverzüglich eingestellt werden, wenn die Gründe für ihre Verarbeitung entfallen sind, es sei denn, das Bundesgesetz legt etwas anderes fest.

Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen darf vom Betreiber ausschließlich in den Fällen und in der Weise erfolgen, die gemäß den Bundesgesetzen festgelegt sind.

2.6 Biometrische personenbezogene Daten

Informationen, die die physiologischen und biologischen Merkmale einer Person charakterisieren, auf deren Grundlage ihre Identität festgestellt werden kann - biometrische personenbezogene Daten - können vom Betreiber nur mit schriftlicher Zustimmung des Betroffenen verarbeitet werden.

2.7 Beauftragung der Verarbeitung personenbezogener Daten an eine andere Person

Der Betreiber ist berechtigt, die Verarbeitung personenbezogener Daten mit Zustimmung der betroffenen Person einer anderen Person zu übertragen, es sei denn, das Bundesgesetz sieht etwas anderes vor, auf der Grundlage eines mit dieser Person geschlossenen Vertrags. Die Person, die personenbezogene Daten im Auftrag des Betreibers verarbeitet, ist verpflichtet, die in FZ-152 vorgesehenen Grundsätze und Regeln für die Verarbeitung personenbezogener Daten einzuhalten.

2.8 Grenzüberschreitende Übermittlung personenbezogener Daten

Der Betreiber ist verpflichtet sicherzustellen, dass der ausländische Staat, in dessen Hoheitsgebiet die Übermittlung personenbezogener Daten beabsichtigt ist, einen angemessenen Schutz der Rechte der betroffenen Personen gewährleistet, bevor eine solche Übermittlung beginnt.

Die grenzüberschreitende Übermittlung personenbezogener Daten in die Gebiete ausländischer Staaten, die keinen angemessenen Schutz der Rechte der betroffenen Personen gewährleisten, kann in folgenden Fällen erfolgen:

  • schriftliche Zustimmung der betroffenen Person zur grenzüberschreitenden Übermittlung ihrer personenbezogenen Daten;
  • Erfüllung eines Vertrags, bei dem die betroffene Person Vertragspartei ist.

3. RECHTE DER BETROFFENEN PERSON

3.1 Zustimmung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten

Die betroffene Person trifft die Entscheidung über die Bereitstellung ihrer personenbezogenen Daten und gibt ihre Zustimmung zu deren Verarbeitung freiwillig, aus eigenem Willen und in ihrem eigenen Interesse. Die Zustimmung zur Verarbeitung personenbezogener Daten kann von der betroffenen Person oder ihrem Vertreter in jeder Form erteilt werden, die es ermöglicht, den Empfang zu bestätigen, es sei denn, das Bundesgesetz legt etwas anderes fest.

Die Pflicht, den Nachweis für die Einholung der Zustimmung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten oder den Nachweis für das Vorliegen der in FZ-152 genannten Gründe zu erbringen, liegt beim Betreiber.

3.2 Rechte der betroffenen Person

Die betroffene Person hat das Recht, vom Betreiber Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten, sofern dieses Recht nicht gemäß den Bundesgesetzen eingeschränkt ist. Die betroffene Person hat das Recht, vom Betreiber die Berichtigung ihrer personenbezogenen Daten, deren Sperrung oder Vernichtung zu verlangen, wenn die personenbezogenen Daten unvollständig, veraltet, unrichtig, unrechtmäßig erlangt oder für den angegebenen Verarbeitungszweck nicht erforderlich sind, sowie die gesetzlich vorgesehenen Maßnahmen zum Schutz ihrer Rechte zu ergreifen.

Die Verarbeitung personenbezogener Daten zum Zweck der Bewerbung von Waren, Arbeiten und Dienstleistungen auf dem Markt durch direkte Kontaktaufnahme mit einem potenziellen Verbraucher mittels Kommunikationsmitteln sowie zu Zwecken der politischen Agitation ist nur mit vorheriger Zustimmung der betroffenen Person zulässig. Die genannte Verarbeitung personenbezogener Daten gilt als ohne vorherige Zustimmung der betroffenen Person durchgeführt, wenn das Unternehmen nicht nachweist, dass eine solche Zustimmung eingeholt wurde.

Der Betreiber ist verpflichtet, die Verarbeitung der personenbezogenen Daten der betroffenen Person für die oben genannten Zwecke auf deren Verlangen unverzüglich einzustellen.

Es ist verboten, Entscheidungen, die für die betroffene Person rechtliche Folgen haben oder ihre Rechte und berechtigten Interessen auf andere Weise beeinträchtigen, ausschließlich auf der Grundlage einer automatisierten Verarbeitung personenbezogener Daten zu treffen, außer in den in den Bundesgesetzen vorgesehenen Fällen oder mit schriftlicher Zustimmung der betroffenen Person.

Wenn die betroffene Person der Ansicht ist, dass der Betreiber ihre personenbezogenen Daten unter Verletzung der Anforderungen von FZ-152 verarbeitet oder auf andere Weise ihre Rechte und Freiheiten verletzt, hat die betroffene Person das Recht, die Handlungen oder Unterlassungen des Betreibers bei der zuständigen Behörde für den Schutz der Rechte von Datensubjekten oder vor Gericht anzufechten.

Die betroffene Person hat das Recht auf Schutz ihrer Rechte und berechtigten Interessen, einschließlich des Ersatzes von Schäden und/oder der Entschädigung für moralischen Schaden vor Gericht.

4. GEWÄHRLEISTUNG DER SICHERHEIT PERSONENBEZOGENER DATEN

Die Sicherheit der vom Betreiber verarbeiteten personenbezogenen Daten wird durch die Umsetzung rechtlicher, organisatorischer und technischer Maßnahmen gewährleistet, die zur Erfüllung der Anforderungen der föderalen Gesetzgebung im Bereich des Schutzes personenbezogener Daten erforderlich sind.

Um unbefugten Zugriff auf personenbezogene Daten zu verhindern, wendet der Betreiber folgende organisatorische und technische Maßnahmen an:

  • Ernennung von Beamten, die für die Organisation der Verarbeitung und den Schutz personenbezogener Daten verantwortlich sind;
  • Beschränkung des Kreises der Personen, die Zugang zu personenbezogenen Daten haben;
  • Bekanntmachung der Anforderungen der föderalen Gesetzgebung und der regulatorischen Dokumente des Betreibers zur Verarbeitung und zum Schutz personenbezogener Daten bei den Betroffenen;
  • Organisation der Erfassung, Speicherung und des Umgangs mit Informationsträgern;
  • Identifizierung von Bedrohungen für die Sicherheit personenbezogener Daten bei ihrer Verarbeitung und Erstellung von Bedrohungsmodellen auf dieser Grundlage;
  • Entwicklung eines Systems zum Schutz personenbezogener Daten auf der Grundlage des Bedrohungsmodells;
  • Überprüfung der Bereitschaft und Wirksamkeit des Einsatzes von Informationsschutzmitteln;
  • Abgrenzung des Benutzerzugriffs auf Informationsressourcen sowie auf Hard- und Software zur Informationsverarbeitung;
  • Registrierung und Erfassung der Handlungen der Benutzer von Informationssystemen für personenbezogene Daten;
  • Verwendung von Antiviren-Tools und Mitteln zur Wiederherstellung des Schutzes personenbezogener Daten;
  • Anwendung von Firewalls, Intrusion-Detection-Systemen, Sicherheitsanalysen und kryptografischen Informationsschutzmitteln, wo erforderlich;
  • Organisation eines Zugangskontrollregimes für das Gelände des Betreibers, Schutz von Räumlichkeiten mit technischen Mitteln zur Verarbeitung personenbezogener Daten.

5. SCHLUSSBESTIMMUNGEN

Andere Rechte und Pflichten des Betreibers als Betreiber personenbezogener Daten werden durch die Gesetzgebung der Russischen Föderation im Bereich personenbezogener Daten bestimmt.

Beamte des Betreibers, die sich der Verletzung von Normen schuldig machen, die die Verarbeitung und den Schutz personenbezogener Daten regeln, unterliegen der materiellen, disziplinarischen, administrativen, zivilrechtlichen oder strafrechtlichen Haftung in der durch Bundesgesetze festgelegten Weise.

5