POLÍTICA DA EMPRESA SOBRE O TRATAMENTO DE DADOS PESSOAIS

1. DISPOSIÇÕES GERAIS

A Política de Tratamento de Dados Pessoais (doravante – a Política) foi desenvolvida em conformidade com a Lei Federal de 27.07.2006. nº 152-FZ "Sobre Dados Pessoais" (doravante – FZ-152).

Esta Política define o procedimento para o tratamento de dados pessoais e as medidas para garantir a segurança dos dados pessoais na IE Gendik R. A. (doravante – o Operador) com o objetivo de proteger os direitos e liberdades do homem e do cidadão no tratamento de seus dados pessoais, incluindo a proteção dos direitos à inviolabilidade da vida privada, segredo pessoal e familiar.

Na Política, são utilizados os seguintes conceitos principais:

• tratamento automatizado de dados pessoais – tratamento de dados pessoais com o uso de meios de tecnologia da computação;
• bloqueio de dados pessoais - cessação temporária do tratamento de dados pessoais (exceto nos casos em que o tratamento é necessário para esclarecer os dados pessoais);
• sistema de informação de dados pessoais - conjunto de dados pessoais contidos em bancos de dados e as tecnologias de informação e meios técnicos que garantem seu tratamento;
• anonimização de dados pessoais - ações que resultam na impossibilidade de determinar, sem o uso de informações adicionais, a que titular de dados pessoais os dados pertencem;
• tratamento de dados pessoais - qualquer ação (operação) ou conjunto de ações (operações) realizadas com ou sem o uso de meios de automação com dados pessoais, incluindo coleta, registro, sistematização, acumulação, armazenamento, уточнение (atualização, alteração), extração, uso, transferência (distribuição, fornecimento, acesso), anonimização, bloqueio, exclusão, destruição de dados pessoais;
• operador - órgão estatal, órgão municipal, pessoa jurídica ou física que, de forma independente ou em conjunto com outras pessoas, organiza e (ou) realiza o tratamento de dados pessoais, bem como determina os objetivos do tratamento de dados pessoais, a composição dos dados pessoais a serem tratados, as ações (operações) realizadas com os dados pessoais;
• dados pessoais – qualquer informação relacionada a uma pessoa física direta ou indiretamente identificada ou identificável (titular dos dados pessoais);
• fornecimento de dados pessoais – ações destinadas a divulgar dados pessoais a uma pessoa específica ou a um círculo específico de pessoas;
• distribuição de dados pessoais - ações destinadas a divulgar dados pessoais a um círculo indefinido de pessoas (transferência de dados pessoais) ou a familiarizar um círculo ilimitado de pessoas com dados pessoais, incluindo a publicação de dados pessoais na mídia, a colocação em redes de informação e telecomunicações ou o fornecimento de acesso a dados pessoais de qualquer outra forma;
• transferência transfronteiriça de dados pessoais - transferência de dados pessoais para o território de um estado estrangeiro, para uma autoridade de um estado estrangeiro, para uma pessoa física estrangeira ou para uma pessoa jurídica estrangeira.
• destruição de dados pessoais - ações que resultam na impossibilidade de restaurar o conteúdo de dados pessoais no sistema de informação de dados pessoais e (ou) que resultam na destruição dos suportes materiais de dados pessoais;

A Empresa é obrigada a publicar ou de outra forma garantir acesso irrestrito a esta Política de Tratamento de Dados Pessoais, de acordo com a parte 2 do art. 18.1. da FZ-152.

2. PRINCÍPIOS E CONDIÇÕES PARA O TRATAMENTO DE DADOS PESSOAIS

2.1 Princípios do tratamento de dados pessoais

O tratamento de dados pessoais no Operador é realizado com base nos seguintes princípios:

• legalidade e base justa;
• limitação do tratamento de dados pessoais à consecução de finalidades específicas, predeterminadas e legítimas;
• prevenção do tratamento de dados pessoais incompatível com as finalidades da coleta de dados pessoais;
• prevenção da consolidação de bancos de dados que contenham dados pessoais, cujo tratamento seja realizado para finalidades incompatíveis entre si;
• tratamento apenas dos dados pessoais que correspondam às finalidades do seu tratamento;
• conformidade do conteúdo e volume dos dados pessoais tratados com as finalidades declaradas de tratamento;
• prevenção do tratamento de dados pessoais excessivos em relação às finalidades declaradas do seu tratamento;
• garantia da exatidão, suficiência e relevância dos dados pessoais em relação às finalidades do tratamento de dados pessoais;
• destruição ou anonimização dos dados pessoais ao atingir os objetivos de seu tratamento ou em caso de perda da necessidade de atingir esses objetivos, se for impossível para o Operador eliminar as violações de dados pessoais cometidas, a menos que previsto de outra forma por lei federal.

2.2 Condições para o tratamento de dados pessoais

O Operador realiza o tratamento de dados pessoais na presença de pelo menos uma das seguintes condições:

• o tratamento de dados pessoais é realizado com o consentimento do titular dos dados pessoais para o tratamento de seus dados pessoais;
• o tratamento de dados pessoais é necessário para atingir os objetivos previstos por um tratado internacional da Federação Russa ou por lei, para o exercício e cumprimento das funções, poderes e deveres impostos ao operador pela legislação da Federação Russa;
• o tratamento de dados pessoais é necessário para a administração da justiça, a execução de um ato judicial, ato de outro órgão ou funcionário, sujeito a execução de acordo com a legislação da Federação Russa sobre processos de execução;
• o tratamento de dados pessoais é necessário para a execução de um contrato do qual o titular dos dados pessoais é parte ou beneficiário ou fiador, bem como para a celebração de um contrato por iniciativa do titular dos dados pessoais ou de um contrato sob o qual o titular dos dados pessoais será beneficiário ou fiador;
• o tratamento de dados pessoais é necessário para o exercício dos direitos e interesses legítimos do operador ou de terceiros ou para a consecução de objetivos socialmente significativos, desde que os direitos e liberdades do titular dos dados pessoais не sejam violados;
• é realizado o tratamento de dados pessoais aos quais o acesso de um círculo ilimitado de pessoas foi fornecido pelo titular dos dados pessoais ou a seu pedido (doravante - dados pessoais publicamente disponíveis);
• é realizado o tratamento de dados pessoais sujeitos a publicação ou divulgação obrigatória de acordo com a lei federal.

2.3 Confidencialidade dos dados pessoais

O Operador e outras pessoas que obtiveram acesso a dados pessoais são obrigados a não divulgar a terceiros e a não distribuir dados pessoais sem o consentimento do titular dos dados pessoais, a menos que previsto de outra forma por lei federal.

2.4 Fontes publicamente disponíveis de dados pessoais

Para fins de apoio informativo, o Operador pode criar fontes publicamente disponíveis de dados pessoais dos titulares, incluindo diretórios e listas de endereços. Com o consentimento por escrito do titular, seu sobrenome, nome, patronímico, data e local de nascimento, cargo, números de telefone de contato, endereço de e-mail e outros dados pessoais informados pelo titular dos dados pessoais podem ser incluídos em fontes publicamente disponíveis de dados pessoais.

As informações sobre o titular devem ser excluídas a qualquer momento das fontes publicamente disponíveis de dados pessoais a pedido do titular ou por decisão de um tribunal ou outros órgãos estatais autorizados.

2.5 Categorias especiais de dados pessoais

O tratamento pelo Operador de categorias especiais de dados pessoais relativos à raça, nacionalidade, opiniões políticas, crenças religiosas ou filosóficas, estado de saúde, vida íntima, é permitido nos casos em que:

• o titular dos dados pessoais deu consentimento por escrito para o tratamento de seus dados pessoais;
• os dados pessoais foram tornados publicamente disponíveis pelo titular dos dados pessoais;
• o tratamento de dados pessoais é realizado em conformidade com a legislação sobre assistência social do Estado, legislação trabalhista, legislação da Federação Russa sobre pensões de previdência estatal, sobre pensões de trabalho;
• o tratamento de dados pessoais é necessário para proteger a vida, a saúde ou outros interesses vitais do titular dos dados pessoais ou a vida, a saúde ou outros interesses vitais de outras pessoas e a obtenção do consentimento do titular dos dados pessoais é impossível;
• o tratamento de dados pessoais é realizado para fins médico-profiláticos, com o objetivo de estabelecer um diagnóstico médico, prestar serviços médicos e médico-sociais, desde que o tratamento de dados pessoais seja realizado por uma pessoa profissionalmente envolvida em atividades médicas e obrigada, de acordo com a legislação da Federação Russa, a manter o sigilo médico;
• o tratamento de dados pessoais é necessário para estabelecer ou exercer os direitos do titular dos dados pessoais ou de terceiros, bem como em conexão com a administração da justiça;
• o tratamento de dados pessoais é realizado em conformidade com a legislação sobre tipos obrigatórios de seguro, com a legislação de seguros.

O tratamento de categorias especiais de dados pessoais deve ser encerrado imediatamente se as razões para o seu tratamento forem eliminadas, a menos que estabelecido de outra forma por lei federal.

O tratamento de dados pessoais sobre antecedentes criminais pode ser realizado pelo Operador exclusivamente nos casos e na forma determinados de acordo com as leis federais.

2.6 Dados pessoais biométricos

Informações que caracterizam as características fisiológicas e biológicas de uma pessoa, com base nas quais sua identidade pode ser estabelecida - dados pessoais biométricos - só podem ser processadas pelo Operador com o consentimento por escrito do titular.

2.7 Confiar o tratamento de dados pessoais a outra pessoa

O Operador tem o direito de confiar o tratamento de dados pessoais a outra pessoa com o consentimento do titular dos dados pessoais, a menos que previsto de outra forma por lei federal, com base em um contrato celebrado com essa pessoa. A pessoa que realiza o tratamento de dados pessoais em nome do Operador é obrigada a cumprir os princípios e regras para o tratamento de dados pessoais previstos na FZ-152.

2.8 Transferência transfronteiriça de dados pessoais

O Operador é obrigado a garantir que o estado estrangeiro para cujo território se pretende realizar a transferência de dados pessoais assegure a proteção adequada dos direitos dos titulares dos dados pessoais, antes de iniciar tal transferência.

A transferência transfronteiriça de dados pessoais para territórios de estados estrangeiros que não garantem a proteção adequada dos direitos dos titulares de dados pessoais pode ser realizada nos casos de:

• consentimento por escrito do titular dos dados pessoais para a transferência transfronteiriça de seus dados pessoais;
• execução de um contrato do qual o titular dos dados pessoais é parte.

3. DIREITOS DO TITULAR DOS DADOS PESSOAIS

3.1 Consentimento do titular dos dados para o tratamento dos seus dados pessoais

O titular dos dados pessoais decide fornecer os seus dados pessoais e consente com o seu tratamento de forma livre, por sua própria vontade e no seu próprio interesse. O consentimento para o tratamento de dados pessoais pode ser dado pelo titular dos dados ou pelo seu representante em qualquer forma que permita confirmar o facto do seu recebimento, salvo disposição em contrário da lei federal.

A obrigação de fornecer prova da obtenção do consentimento do titular dos dados para o tratamento dos seus dados pessoais ou prova da existência dos fundamentos especificados na FZ-152 recai sobre o Operador.

3.2 Direitos do titular dos dados

O titular dos dados tem o direito de obter do Operador informações relativas ao tratamento dos seus dados pessoais, se tal direito não for restringido de acordo com as leis federais. O titular dos dados tem o direito de exigir do Operador a retificação dos seus dados pessoais, o seu bloqueio ou destruição caso os dados pessoais estejam incompletos, desatualizados, inexatos, obtidos ilegalmente ou não sejam necessários para o fim declarado do tratamento, bem como tomar as medidas previstas na lei para proteger os seus direitos.

O tratamento de dados pessoais para fins de promoção de bens, obras, serviços no mercado através de contactos diretos com um potencial consumidor através de meios de comunicação, bem como para fins de agitação política, só é permitido com o consentimento prévio do titular dos dados. O referido tratamento de dados pessoais é considerado como tendo sido efetuado sem o consentimento prévio do titular dos dados se a Empresa não provar que tal consentimento foi obtido.

O Operador é obrigado a cessar imediatamente o tratamento dos dados pessoais do titular dos dados para os fins acima mencionados, a seu pedido.

É proibido tomar decisões com base exclusivamente no tratamento automatizado de dados pessoais que produzam efeitos jurídicos para o titular dos dados ou que afetem de outra forma os seus direitos e interesses legítimos, exceto nos casos previstos nas leis federais, ou com o consentimento por escrito do titular dos dados.

Se o titular dos dados considerar que o Operador está a tratar os seus dados pessoais em violação dos requisitos da FZ-152 ou que de outra forma viola os seus direitos e liberdades, o titular dos dados tem o direito de recorrer das ações ou omissões do Operador à autoridade competente para a proteção dos direitos dos titulares de dados ou em tribunal.

O titular dos dados tem o direito à proteção dos seus direitos e interesses legítimos, incluindo a indemnização por perdas e (ou) a compensação por danos morais em tribunal.

4. GARANTIA DA SEGURANÇA DOS DADOS PESSOAIS

A segurança dos dados pessoais tratados pelo Operador é garantida pela implementação de medidas legais, organizacionais e técnicas necessárias para cumprir os requisitos da legislação federal no domínio da proteção de dados pessoais.

Para evitar o acesso não autorizado a dados pessoais, o Operador aplica as seguintes medidas organizacionais e técnicas:

• nomeação de funcionários responsáveis pela organização do tratamento e proteção de dados pessoais;
• restrição da lista de pessoas que têm acesso a dados pessoais;
• familiarização dos titulares com os requisitos da legislação federal e dos documentos normativos do Operador sobre o tratamento e proteção de dados pessoais;
• organização da contabilidade, armazenamento e circulação de suportes de informação;
• identificação de ameaças à segurança dos dados pessoais durante o seu tratamento, formação de modelos de ameaças com base nelas;
• desenvolvimento de um sistema de proteção de dados pessoais com base no modelo de ameaças;
• verificação da prontidão e eficácia da utilização de meios de proteção da informação;
• delimitação do acesso dos utilizadores aos recursos de informação e aos meios de software e hardware para o tratamento da informação;
• registo e contabilização das ações dos utilizadores dos sistemas de informação de dados pessoais;
• utilização de ferramentas antivírus e meios de recuperação do sistema de proteção de dados pessoais;
• aplicação, sempre que necessário, de firewalls, deteção de intrusões, análise de segurança e meios de proteção criptográfica da informação;
• organização de um regime de controlo de acesso ao território do Operador, proteção de instalações com meios técnicos para o tratamento de dados pessoais.

5. DISPOSIÇÕES FINAIS

Outros direitos e obrigações do Operador como operador de dados pessoais são determinados pela legislação da Federação Russa no domínio dos dados pessoais.

Os funcionários do Operador culpados de violar as normas que regem o tratamento e a proteção de dados pessoais estão sujeitos a responsabilidade material, disciplinar, administrativa, civil ou penal na forma estabelecida pelas leis federais.