1. أحكام عامة
تم تطوير سياسة معالجة البيانات الشخصية (المشار إليها فيما يلي باسم السياسة) وفقًا للقانون الاتحادي الصادر في 27 يوليو 2006. رقم 152-FZ "بشأن البيانات الشخصية" (المشار إليها فيما بعد باسم FZ-152).
تحدد هذه السياسة إجراءات معالجة البيانات الشخصية والتدابير اللازمة لضمان أمن البيانات الشخصية في Sinan Invest LLC (المشار إليها فيما يلي باسم المشغل) من أجل حماية حقوق وحريات البشر والمواطنين عند معالجة بياناتهم الشخصية، بما في ذلك حماية حقوق الخصوصية والأسرار الشخصية والعائلية.
تستخدم السياسة المفاهيم الأساسية التالية:
المعالجة الآلية للبيانات الشخصية – معالجة البيانات الشخصية باستخدام تكنولوجيا الكمبيوتر؛
حظر البيانات الشخصية - التوقف المؤقت عن معالجة البيانات الشخصية (باستثناء الحالات التي تكون فيها المعالجة ضرورية لتوضيح البيانات الشخصية)؛
نظام معلومات البيانات الشخصية - مجموعة من البيانات الشخصية الموجودة في قواعد البيانات وتقنيات المعلومات والوسائل التقنية التي تضمن معالجتها؛
تبديد طابع البيانات الشخصية - الإجراءات التي نتيجة لذلك من المستحيل تحديد ملكية البيانات الشخصية لموضوع معين من البيانات الشخصية دون استخدام معلومات إضافية؛
معالجة البيانات الشخصية - أي إجراء (عملية) أو مجموعة من الإجراءات (العمليات) يتم تنفيذها باستخدام أدوات التشغيل الآلي أو دون استخدام هذه الوسائل مع البيانات الشخصية، بما في ذلك التجميع والتسجيل والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير)، استخراج البيانات الشخصية واستخدامها ونقلها (التوزيع وتوفيرها والوصول إليها) وإضفاء الطابع الشخصي عليها وحظرها وحذفها وتدميرها؛
المشغل - هيئة حكومية أو هيئة بلدية أو كيان قانوني أو فرد، بشكل مستقل أو بالاشتراك مع أشخاص آخرين ينظمون و (أو) ينفذون معالجة البيانات الشخصية، وكذلك تحديد أغراض معالجة البيانات الشخصية، وتكوين البيانات الشخصية تتم معالجتها والإجراءات (العمليات) التي يتم تنفيذها باستخدام البيانات الشخصية؛
البيانات الشخصية – أي معلومات تتعلق بفرد محدد أو يمكن التعرف عليه بشكل مباشر أو غير مباشر (موضوع البيانات الشخصية)؛
توفير البيانات الشخصية – الإجراءات التي تهدف إلى الكشف عن البيانات الشخصية لشخص معين أو دائرة معينة من الأشخاص؛
نشر البيانات الشخصية - الإجراءات التي تهدف إلى الكشف عن البيانات الشخصية لعدد غير محدد من الأشخاص (نقل البيانات الشخصية) أو التعرف على البيانات الشخصية لعدد غير محدود من الأشخاص، بما في ذلك نشر البيانات الشخصية في وسائل الإعلام، ونشر المعلومات و شبكات الاتصالات أو توفير الوصول إلى البيانات الشخصية بأي طريقة أخرى؛
نقل البيانات الشخصية عبر الحدود - نقل البيانات الشخصية إلى أراضي دولة أجنبية إلى سلطة دولة أجنبية أو فرد أجنبي أو كيان قانوني أجنبي.
تدمير البيانات الشخصية - الإجراءات التي ينتج عنها استحالة استعادة محتوى البيانات الشخصية في نظام معلومات البيانات الشخصية و (أو) ونتيجة لذلك يتم تدمير الوسائط المادية للبيانات الشخصية؛
تلتزم الشركة بنشر أو توفير الوصول غير المقيد إلى سياسة معالجة البيانات الشخصية هذه وفقًا للجزء 2 من المادة. 18.1. فز-152.
2. مبادئ وشروط معالجة البيانات الشخصية
2.1 مبادئ معالجة البيانات الشخصية
تتم معالجة البيانات الشخصية من قبل المشغل على أساس المبادئ التالية:
- الشرعية والعدالة؛
- قصر معالجة البيانات الشخصية على تحقيق أغراض محددة ومحددة مسبقًا ومشروعة؛
- منع معالجة البيانات الشخصية التي تتعارض مع أغراض جمع البيانات الشخصية؛
- منع دمج قواعد البيانات التي تحتوي على بيانات شخصية، والتي تتم معالجتها لأغراض غير متوافقة مع بعضها البعض؛
- معالجة البيانات الشخصية التي تلبي أغراض معالجتها فقط؛
- امتثال محتوى وحجم البيانات الشخصية المعالجة للأغراض المعلنة للمعالجة؛
- منع معالجة البيانات الشخصية بشكل مفرط فيما يتعلق بالأغراض المعلنة لمعالجتها؛
- ضمان دقة وكفاية وملاءمة البيانات الشخصية فيما يتعلق بأغراض معالجة البيانات الشخصية؛
- تدمير البيانات الشخصية أو نزع طابعها الشخصي عند تحقيق أهداف معالجتها أو في حالة فقدان الحاجة إلى تحقيق هذه الأهداف، إذا كان من المستحيل على المشغل إزالة انتهاكات البيانات الشخصية، ما لم ينص القانون الفيدرالي على خلاف ذلك.
2.2 شروط معالجة البيانات الشخصية
يقوم المشغل بمعالجة البيانات الشخصية في حالة وجود واحد على الأقل من الحالات التالية:
- تتم معالجة البيانات الشخصية بموافقة صاحب البيانات الشخصية على معالجة بياناته الشخصية؛
- تعد معالجة البيانات الشخصية ضرورية لتحقيق الأهداف المنصوص عليها في معاهدة دولية للاتحاد الروسي أو القانون، لتنفيذ وتنفيذ المهام والصلاحيات والمسؤوليات المسندة إلى المشغل بموجب تشريعات الاتحاد الروسي؛
- تكون معالجة البيانات الشخصية ضرورية لإقامة العدل، وتنفيذ عمل قضائي، أو عمل صادر عن هيئة أو مسؤول آخر، ويخضع للتنفيذ وفقًا لتشريعات الاتحاد الروسي بشأن إجراءات التنفيذ؛
- تعد معالجة البيانات الشخصية ضرورية لتنفيذ اتفاقية يكون موضوع البيانات الشخصية طرفًا فيها أو مستفيدًا أو ضامنًا، وكذلك لإبرام اتفاقية بمبادرة من موضوع البيانات الشخصية أو اتفاقية بموجبها يكون الموضوع البيانات الشخصية سيكون المستفيد أو الضامن؛
- تكون معالجة البيانات الشخصية ضرورية لممارسة الحقوق والمصالح المشروعة للمشغل أو الأطراف الثالثة أو لتحقيق أهداف ذات أهمية اجتماعية، بشرط عدم انتهاك حقوق وحريات موضوع البيانات الشخصية؛
- تتم معالجة البيانات الشخصية، ويتم توفير الوصول إلى عدد غير محدود من الأشخاص من خلال موضوع البيانات الشخصية أو بناءً على طلبه (يشار إليها فيما بعد بالبيانات الشخصية المتاحة للجمهور)؛
- تتم معالجة البيانات الشخصية الخاضعة للنشر أو الكشف الإلزامي وفقًا للقانون الفيدرالي.
2.3 سرية البيانات الشخصية
يلتزم المشغل والأشخاص الآخرون الذين لديهم حق الوصول إلى البيانات الشخصية بعدم الكشف لأطراف ثالثة أو توزيع البيانات الشخصية دون موافقة صاحب البيانات الشخصية، ما لم ينص القانون الاتحادي على خلاف ذلك.
2.4 مصادر البيانات الشخصية المتاحة للعامة
لغرض دعم المعلومات، يجوز للمشغل إنشاء مصادر متاحة للجمهور للبيانات الشخصية للأشخاص، بما في ذلك الدلائل ودفاتر العناوين. قد تتضمن المصادر العامة للبيانات الشخصية، بموافقة كتابية من الموضوع، اسمه الأخير والاسم الأول والعائلي وتاريخ ومكان الميلاد والمنصب وأرقام هواتف الاتصال وعنوان البريد الإلكتروني والبيانات الشخصية الأخرى التي أبلغ عنها موضوع البيانات الشخصية .
يجب استبعاد المعلومات المتعلقة بالموضوع في أي وقت من مصادر البيانات الشخصية المتاحة للجمهور بناءً على طلب الموضوع أو بقرار من المحكمة أو الهيئات الحكومية الأخرى المعتمدة.
2.5 الفئات الخاصة للبيانات الشخصية
يُسمح بمعالجة المشغل لفئات خاصة من البيانات الشخصية المتعلقة بالعرق أو الجنسية أو الآراء السياسية أو المعتقدات الدينية أو الفلسفية أو الحالة الصحية أو الحياة الحميمة في الحالات التي:
- أعطى صاحب البيانات الشخصية موافقة كتابية على معالجة بياناته الشخصية؛
- يتم توفير البيانات الشخصية للجمهور من خلال موضوع البيانات الشخصية؛
- تتم معالجة البيانات الشخصية وفقًا للتشريعات المتعلقة بالمساعدة الاجتماعية الحكومية، وتشريعات العمل، وتشريعات الاتحاد الروسي بشأن معاشات الدولة، ومعاشات التقاعد العمالية؛
- تكون معالجة البيانات الشخصية ضرورية لحماية الحياة أو الصحة أو المصالح الحيوية الأخرى لموضوع البيانات الشخصية أو حياة أو صحة أو مصالح حيوية أخرى لأشخاص آخرين، ومن المستحيل الحصول على موافقة موضوع البيانات الشخصية؛
- تتم معالجة البيانات الشخصية للأغراض الطبية والوقائية، من أجل إجراء تشخيص طبي، وتقديم الخدمات الطبية والطبية والاجتماعية، بشرط أن تتم معالجة البيانات الشخصية من قبل شخص يشارك مهنيا في الأنشطة الطبية وملزم وفقًا لتشريعات الاتحاد الروسي للحفاظ على السرية الطبية؛
- تكون معالجة البيانات الشخصية ضرورية لإنشاء أو ممارسة حقوق موضوع البيانات الشخصية أو الأطراف الثالثة، وكذلك فيما يتعلق بإقامة العدل؛
- تتم معالجة البيانات الشخصية وفقًا للتشريعات المتعلقة بالأنواع الإلزامية للتأمين وتشريعات التأمين.
يجب إيقاف معالجة الفئات الخاصة من البيانات الشخصية فورًا إذا تمت إزالة الأسباب التي أدت إلى معالجتها، ما لم ينص القانون الفيدرالي على خلاف ذلك.
لا يجوز للمشغل معالجة البيانات الشخصية في السجلات الجنائية إلا في الحالات وبالطريقة المحددة وفقًا للقوانين الفيدرالية.
2.6 البيانات الشخصية البيومترية
المعلومات التي تميز الخصائص الفسيولوجية والبيولوجية للشخص، والتي على أساسها يمكن تحديد هويته - البيانات الشخصية البيومترية - لا يمكن معالجتها من قبل المشغل إلا بموافقة كتابية من الموضوع.
2.7 إسناد معالجة البيانات الشخصية إلى شخص آخر
يحق للمشغل أن يعهد بمعالجة البيانات الشخصية إلى شخص آخر بموافقة موضوع البيانات الشخصية، ما لم ينص القانون الاتحادي على خلاف ذلك، على أساس اتفاقية مبرمة مع هذا الشخص. يلتزم الشخص الذي يقوم بمعالجة البيانات الشخصية نيابة عن المشغل بالامتثال لمبادئ وقواعد معالجة البيانات الشخصية المنصوص عليها في القانون الاتحادي رقم 152.
2.8 نقل البيانات الشخصية عبر الحدود
يلتزم المشغل بالتأكد من أن الدولة الأجنبية التي يُعتزم نقل البيانات الشخصية إلى أراضيها توفر الحماية الكافية لحقوق أصحاب البيانات الشخصية قبل بدء هذا النقل.
يجوز نقل البيانات الشخصية عبر الحدود إلى أراضي الدول الأجنبية التي لا توفر حماية كافية لحقوق أصحاب البيانات الشخصية في الحالات التالية:
- توفر موافقة كتابية من صاحب البيانات الشخصية على نقل بياناته الشخصية عبر الحدود؛
- تنفيذ عقد يكون موضوع البيانات الشخصية طرفًا فيه.
3. حقوق موضوع البيانات الشخصية
3.1 موافقة صاحب البيانات الشخصية على معالجة بياناته الشخصية
يقرر صاحب البيانات الشخصية تقديم بياناته الشخصية ويوافق على معالجتها بحرية، وبإرادته الحرة ولمصلحته الخاصة. يمكن إعطاء الموافقة على معالجة البيانات الشخصية من قبل صاحب البيانات الشخصية أو ممثله بأي شكل يسمح بتأكيد حقيقة استلامها، ما لم ينص القانون الاتحادي على خلاف ذلك.
يقع الالتزام بتقديم دليل على الحصول على موافقة صاحب البيانات الشخصية على معالجة بياناته الشخصية أو إثبات وجود الأسباب المحددة في القانون الاتحادي رقم 152 على عاتق المشغل.
3.2 حقوق موضوع البيانات الشخصية
يحق لصاحب البيانات الشخصية الحصول على معلومات من المشغل فيما يتعلق بمعالجة بياناته الشخصية، ما لم يكن هذا الحق مقيدًا وفقًا للقوانين الفيدرالية. يحق لصاحب البيانات الشخصية أن يطلب من المشغل توضيح بياناته الشخصية أو حظرها أو إتلافها إذا كانت البيانات الشخصية غير كاملة أو قديمة أو غير دقيقة أو تم الحصول عليها بشكل غير قانوني أو ليست ضرورية للغرض المعلن من المعالجة أيضًا كما يتخذ الإجراءات التي ينص عليها القانون لحماية حقوقه.
لا يُسمح بمعالجة البيانات الشخصية بغرض الترويج للسلع والأعمال والخدمات في السوق عن طريق إجراء اتصالات مباشرة مع المستهلكين المحتملين باستخدام وسائل الاتصال، وكذلك لأغراض الدعاية السياسية إلا بموافقة مسبقة من الشخص المعني. من البيانات الشخصية. تعتبر المعالجة المحددة للبيانات الشخصية قد تمت دون الحصول على موافقة مسبقة من موضوع البيانات الشخصية، ما لم تثبت الشركة أنه تم الحصول على هذه الموافقة.
يلتزم المشغل بالتوقف فورًا، بناءً على طلب صاحب البيانات الشخصية، عن معالجة بياناته الشخصية للأغراض المذكورة أعلاه.
يُحظر اتخاذ قرارات تعتمد فقط على المعالجة الآلية للبيانات الشخصية التي تؤدي إلى عواقب قانونية فيما يتعلق بموضوع البيانات الشخصية أو تؤثر بطريقة أخرى على حقوقه ومصالحه المشروعة، إلا في الحالات المنصوص عليها في القوانين الفيدرالية، أو بموجب النصوص المكتوبة موافقة موضوع البيانات الشخصية.
إذا كان صاحب البيانات الشخصية يعتقد أن المشغل يعالج بياناته الشخصية بشكل ينتهك متطلبات القانون الاتحادي 152 أو ينتهك حقوقه وحرياته بطريقة أخرى، فإن صاحب البيانات الشخصية له الحق في استئناف تصرفات المشغل أو تقاعسه إلى الهيئة المعتمدة لحماية حقوق أصحاب البيانات الشخصية أو في المحكمة.
يحق لموضوع البيانات الشخصية حماية حقوقه ومصالحه المشروعة، بما في ذلك التعويض عن الخسائر و (أو) التعويض عن الضرر المعنوي في المحكمة.
4. ضمان أمن البيانات الشخصية
يتم ضمان أمان البيانات الشخصية التي يعالجها المشغل من خلال تنفيذ التدابير القانونية والتنظيمية والفنية اللازمة لضمان متطلبات التشريعات الفيدرالية في مجال حماية البيانات الشخصية.
لمنع الوصول غير المصرح به إلى البيانات الشخصية، يطبق المشغل التدابير التنظيمية والفنية التالية:
- تعيين المسؤولين المسؤولين عن تنظيم معالجة وحماية البيانات الشخصية؛
- الحد من عدد الأشخاص الذين لديهم حق الوصول إلى البيانات الشخصية؛
- تعريف الأشخاص بمتطلبات التشريعات الفيدرالية والوثائق التنظيمية للمشغل لمعالجة وحماية البيانات الشخصية؛
- تنظيم المحاسبة والتخزين والتداول لحاملات المعلومات؛
- تحديد التهديدات التي تهدد أمن البيانات الشخصية أثناء معالجتها، وإنشاء نماذج التهديد بناءً عليها؛
- تطوير نظام حماية البيانات الشخصية على أساس نموذج التهديد؛
- التحقق من مدى جاهزية وفعالية استخدام أدوات أمن المعلومات؛
- تقييد وصول المستخدم إلى موارد المعلومات والبرمجيات والأجهزة لمعالجة المعلومات؛
- تسجيل ومحاسبة تصرفات مستخدمي أنظمة معلومات البيانات الشخصية؛
- استخدام أدوات مكافحة الفيروسات وأدوات الاسترداد لنظام حماية البيانات الشخصية؛
- التطبيق، عند الضرورة، لجدار الحماية، وكشف التسلل، والتحليل الأمني، وأدوات حماية المعلومات المشفرة؛
- تنظيم التحكم في الوصول إلى أراضي المشغل، وأمن المباني بالوسائل التقنية لمعالجة البيانات الشخصية.
5. أحكام ختامية
يتم تحديد الحقوق والالتزامات الأخرى للمشغل كمشغل للبيانات الشخصية بموجب تشريعات الاتحاد الروسي في مجال البيانات الشخصية.
يتحمل مسؤولو المشغل المذنبون بانتهاك القواعد التي تحكم معالجة وحماية البيانات الشخصية مسؤولية مادية أو تأديبية أو إدارية أو مدنية أو جنائية بالطريقة المنصوص عليها في القوانين الفيدرالية.
