公司关于处理个人数据的政策

1. 总则

个人数据处理政策(以下简称“政策”)根据2006年7月27日第152-FZ号联邦法《关于个人数据》制定(以下简称“FZ-152”)。

本政策规定了在IE Gendik R. A.(以下简称“运营方”)处理个人数据的程序和确保个人数据安全的措施,旨在保护个人在处理其个人数据时的权利和自由,包括保护隐私权、个人和家庭秘密的权利。

本政策中使用以下主要概念:

  • 个人数据的自动化处理 – 使用计算机技术手段处理个人数据;
  • 个人数据的锁定 - 暂时停止处理个人数据(除非为澄清个人数据而必须进行处理的情况除外);
  • 个人数据信息系统 - 包含在数据库中的个人数据以及确保其处理的信息技术和技术手段的集合;
  • 个人数据的匿名化 - 指不使用额外信息就无法确定个人数据归属于特定个人数据主体的行为;
  • 个人数据的处理 - 使用或不使用自动化工具对个人数据进行的任何操作或一系列操作,包括收集、记录、系统化、积累、存储、 уточнение(更新、更改)、提取、使用、传输(分发、提供、访问)、匿名化、锁定、删除、销毁个人数据;
  • 运营方 - 单独或与他人共同组织和(或)执行个人数据处理的政府机构、市政机构、法人或自然人,并确定个人数据处理的目的、待处理个人数据的构成以及对个人数据执行的操作;
  • 个人数据 – 与直接或间接确定或可确定的自然人(个人数据主体)相关的任何信息;
  • 个人数据的提供 – 旨在向特定个人或特定人群披露个人数据的行为;
  • 个人数据的传播 - 旨在向不特定人群披露个人数据(个人数据的传输)或向不限数量的人员提供个人数据,包括在媒体上公布个人数据、在信息和电信网络中发布或以任何其他方式提供对个人数据的访问;
  • 个人数据的跨境传输 - 将个人数据传输到外国领土、外国政府机构、外国个人或外国法人。
  • 个人数据的销毁 - 导致无法在个人数据信息系统中恢复个人数据内容和/或导致个人数据的物理载体被销毁的行为;

根据FZ-152第18.1条第2款,公司有义务公布或以其他方式确保对本个人数据处理政策的无限制访问。

2. 个人数据处理的原则和条件

2.1 个人数据处理的原则

运营方处理个人数据基于以下原则:

  • 合法和公平的基础;
  • 将个人数据处理限制在具体、预定和合法的目的之内;
  • 不允许处理与个人数据收集目的不符的个人数据;
  • 不允许合并包含处理目的不相容的个人数据的数据库;
  • 仅处理符合其处理目的的个人数据;
  • 确保处理的个人数据的内容和数量与声明的处理目的相符;
  • 不允许处理超出声明处理目的的个人数据;
  • 确保个人数据相对于处理目的的准确性、充分性和相关性;
  • 在达到处理目的或不再需要达到这些目的时销毁或匿名化个人数据,如果运营方无法消除已发生的个人数据违规行为,除非联邦法律另有规定。

2.2 个人数据处理的条件

运营方在至少满足以下条件之一时处理个人数据:

  • 个人数据处理是在个人数据主体同意的情况下进行的;
  • 个人数据处理对于实现俄罗斯联邦国际条约或法律规定的目的,以及履行俄罗斯联邦立法赋予运营方的职能、权力和职责是必要的;
  • 个人数据处理对于司法、执行法院判决、其他机构或官员根据俄罗斯联邦执行程序法应执行的法案是必要的;
  • 个人数据处理对于履行个人数据主体作为一方或受益人或保证人的合同,以及根据个人数据主体的倡议签订合同或个人数据主体将成为受益人或保证人的合同是必要的;
  • 个人数据处理对于行使运营方或第三方的权利和合法利益或实现社会重要目标是必要的,前提是不侵犯个人数据主体的权利和自由;
  • 处理的是由个人数据主体或应其要求向不限数量的人员提供的个人数据(以下简称“公开的个人数据”);
  • 处理的是根据联邦法律应予以公布或强制披露的个人数据。

2.3 个人数据的保密性

除非联邦法律另有规定,否则运营方和其他获得个人数据访问权限的人员有义务未经个人数据主体同意,不向第三方披露和传播个人数据。

2.4 公开的个人数据来源

为提供信息支持,运营方可以创建主体的公开个人数据来源,包括目录和地址簿。经主体书面同意,其姓氏、名字、父名、出生日期和地点、职位、联系电话、电子邮件地址以及主体提供的其他个人数据可被包含在公开的个人数据来源中。

关于主体的信息应根据主体的要求或法院或其他授权国家机关的决定,随时从公开的个人数据来源中删除。

2.5 特殊类别的个人数据

运营方处理涉及种族、国籍、政治观点、宗教或哲学信仰、健康状况、私生活的特殊类别个人数据,仅在以下情况下允许:

  • 个人数据主体已书面同意处理其个人数据;
  • 个人数据已由个人数据主体公开;
  • 个人数据处理符合国家社会援助法、劳动法、俄罗斯联邦关于国家养老金、劳动养老金的立法;
  • 个人数据处理对于保护个人数据主体或其他人的生命、健康或其他重大利益是必要的,并且无法获得个人数据主体的同意;
  • 个人数据处理是为了医疗预防目的、建立医疗诊断、提供医疗和社会医疗服务,前提是个人数据处理由专业从事医疗活动并根据俄罗斯联邦立法有义务保守医疗秘密的人员进行;
  • 个人数据处理对于确立或行使个人数据主体或第三方的权利,以及与司法有关是必要的;
  • 个人数据处理符合强制性保险和保险立法。

如果处理特殊类别个人数据的原因已消除,除非联邦法律另有规定,否则应立即停止处理。

关于犯罪记录的个人数据处理,运营方只能在联邦法律规定的情况和程序下进行。

2.6 生物识别个人数据

表征个人生理和生物特征、可用于确定其身份的信息——生物识别个人数据——只有在主体书面同意的情况下,运营方才能处理。

2.7 委托他人处理个人数据

除非联邦法律另有规定,运营方有权在个人数据主体同意的情况下,根据与该人签订的合同,委托他人处理个人数据。代表运营方处理个人数据的人员有义务遵守FZ-152规定的个人数据处理原则和规则。

2.8 个人数据的跨境传输

在开始传输个人数据之前,运营方必须确保计划接收个人数据的外国能为个人数据主体的权利提供充分的保护。

在不提供充分保护个人数据主体权利的外国领土上进行个人数据的跨境传输,可在以下情况下进行:

  • 个人数据主体书面同意跨境传输其个人数据;
  • 履行个人数据主体作为一方的合同。

3. 个人数据主体的权利

3.1 个人数据主体对其个人数据处理的同意

个人数据主体自由、自愿、为自身利益决定提供其个人数据并同意对其进行处理。除非联邦法律另有规定,个人数据主体或其代表可以任何能够确认其收到同意的形式提供个人数据处理的同意。

提供获得个人数据主体同意处理其个人数据的证据或FZ-152中规定的依据的义务由运营方承担。

3.2 个人数据主体的权利

除非联邦法律另有规定,个人数据主体有权从运营方获取有关其个人数据处理的信息。如果个人数据不完整、过时、不准确、非法获取或对于声明的处理目的不是必需的,个人数据主体有权要求运营方 уточнение、锁定或销毁其个人数据,并采取法律规定的措施保护其权利。

通过与潜在消费者直接联系的方式在市场上推广商品、工程、服务,以及出于政治鼓动目的处理个人数据,只有在获得个人数据主体事先同意的情况下才被允许。如果公司不能证明已获得此类同意,则上述个人数据处理被视为未经个人数据主体事先同意而进行。

运营方有义务应个人数据主体的要求,立即停止为上述目的处理其个人数据。

禁止仅基于自动化处理个人数据作出对个人数据主体产生法律后果或以其他方式影响其权利和合法利益的决定,除非联邦法律有规定或获得个人数据主体的书面同意。

如果个人数据主体认为运营方处理其个人数据违反了FZ-152的要求或以其他方式侵犯了其权利和自由,个人数据主体有权向保护个人数据主体权利的授权机构或在法庭上对运营方的行为或不作为提出申诉。

个人数据主体有权保护其权利和合法利益,包括在法庭上要求赔偿损失和(或)精神损害赔偿。

4. 确保个人数据的安全

运营方处理的个人数据的安全通过实施必要的法律、组织和技术措施来确保,以满足联邦立法在个人数据保护领域的要求。

为防止未经授权访问个人数据,运营方采取以下组织和技术措施:

  • 任命负责组织个人数据处理和保护的官员;
  • 限制有权访问个人数据的人员范围;
  • 让主体熟悉联邦立法和运营方关于个人数据处理和保护的法规文件的要求;
  • 组织信息载体的核算、存储和流通;
  • 在处理个人数据时确定其安全威胁,并在此基础上形成威胁模型;
  • 根据威胁模型开发个人数据保护系统;
  • 检查信息保护工具的准备情况和有效性;
  • 划分用户对信息资源和信息处理软硬件的访问权限;
  • 注册和记录个人数据信息系统用户的行为;
  • 使用防病毒工具和个人数据保护系统恢复工具;
  • 在必要时应用防火墙、入侵检测、安全分析和加密信息保护工具;
  • 组织对运营方领土的门禁制度,保护带有个人数据处理技术设备的场所。

5. 最后条款

作为个人数据运营方的运营方的其他权利和义务由俄罗斯联邦在个人数据领域的立法确定。

违反处理和保护个人数据的规范的运营方官员,应根据联邦法律规定的程序承担物质、纪律、行政、民事或刑事责任。

5