1. 一般规定
个人数据处理政策(以下简称本政策)是根据 2006 年 7 月 27 日联邦法律制定的。 第 152-FZ 号“关于个人数据”(以下简称 FZ-152)。
本政策确定了思南投资有限责任公司(以下简称运营方)处理个人数据的程序以及确保个人数据安全的措施,以保护人类和公民在处理个人数据时的权利和自由,包括保护隐私权、个人和家庭秘密。
该政策使用以下基本概念:
个人数据的自动化处理——使用计算机技术处理个人数据;
阻止个人数据- 暂时停止处理个人数据(需要处理以澄清个人数据的情况除外);
个人数据信息系统——数据库中包含的一组个人数据以及确保其处理的信息技术和技术手段;
个人数据的去个性化- 导致在不使用附加信息的情况下无法确定特定个人数据主体的个人数据所有权的行为;
个人数据的处理- 使用自动化工具或不使用此类手段对个人数据执行的任何行动(操作)或一组行动(操作),包括收集、记录、系统化、积累、存储、澄清(更新、更改)、个人数据的提取、使用、转移(分发、提供、访问)、去个性化、阻止、删除、销毁;
运营商- 国家机构、市政机构、法人实体或个人,独立或与其他人共同组织和(或)进行个人数据处理,并确定处理个人数据的目的、个人数据的构成处理、使用个人数据执行的操作(操作);
个人数据——与直接或间接识别或可识别的个人(个人数据主体)相关的任何信息;
提供个人数据——旨在向特定人或特定人群披露个人数据的行为;
个人数据的传播- 旨在向无限数量的人披露个人数据(个人数据的传输)或了解无限数量的人的个人数据的行为,包括在媒体上发布个人数据、在信息中发布个人数据以及电信网络或以任何其他方式提供对个人数据的访问;
个人数据跨境传输- 将个人数据传输到外国境内的外国当局、外国个人或外国法人。
个人数据的销毁- 导致个人数据信息系统中的个人数据内容无法恢复和(或)导致个人数据的物质介质被销毁的行为;
公司有义务根据第 2 条第 2 条的规定发布或以其他方式提供对本个人数据处理政策的无限制访问。 18.1. FZ-152。
2. 处理个人数据的原则和条件
2.1 个人数据处理原则
运营商对个人数据的处理遵循以下原则:
- 合法性和公平性;
- 将个人数据的处理限制为实现特定的、预定的和合法的目的;
- 防止处理与收集个人数据的目的不相符的个人数据;
- 防止合并包含个人数据的数据库,这些数据的处理目的彼此不兼容;
- 仅处理符合处理目的的个人数据;
- 处理的个人数据的内容和数量符合规定的处理目的;
- 防止对个人数据的处理超出其规定的处理目的;
- 确保个人数据与处理个人数据的目的相关的准确性、充分性和相关性;
- 除非联邦法律另有规定,否则在实现处理目标后或在失去实现这些目标的需要时,如果运营商无法消除个人数据的侵犯行为,则销毁或取消个人数据的个性化。
2.2 处理个人数据的条件
如果至少存在以下条件之一,运营商将处理个人数据:
- 个人数据的处理是在个人数据主体同意处理其个人数据的情况下进行的;
- 处理个人数据对于实现俄罗斯联邦国际条约或法律规定的目标、执行和履行俄罗斯联邦立法赋予运营商的职能、权力和责任是必要的;
- 个人数据的处理对于司法、执行司法行为、其他机构或官员的行为是必要的,并根据俄罗斯联邦关于执行程序的立法执行;
- 个人数据的处理对于执行个人数据主体作为一方、受益人或担保人的协议以及个人数据主体主动签订的协议或个人数据主体所依据的协议是必要的。个人数据将成为受益人或担保人;
- 在不侵犯个人数据主体的权利和自由的情况下,处理个人数据对于行使运营商或第三方的权利和合法利益或实现具有社会意义的目标是必要的;
- 进行个人数据处理,个人数据主体或应其要求提供无限数量的访问权限(以下简称公开个人数据);
- 根据联邦法律对需要公布或强制披露的个人数据进行处理。
2.3 个人数据的保密性
运营者和其他有权访问个人数据的人有义务在未经个人数据主体同意的情况下不得向第三方披露或分发个人数据,除非联邦法律另有规定。
2.4 公开的个人数据来源
为了信息支持的目的,运营商可以创建公开的主体个人数据源,包括目录和地址簿。 经主体书面同意的个人数据的公开来源可能包括其姓氏、名字、父名、出生日期和地点、职位、联系电话号码、电子邮件地址以及个人数据主体报告的其他个人数据。
应主体的要求或法院或其他授权政府机构的决定,必须随时从公开的个人数据源中排除有关主体的信息。
2.5 特殊类别的个人数据
在以下情况下,允许运营商处理与种族、国籍、政治观点、宗教或哲学信仰、健康状况、亲密生活有关的特殊类别的个人数据:
- 个人数据主体已书面同意处理其个人数据;
- 个人数据由个人数据主体公开提供;
- 个人数据的处理按照国家社会救助法、劳动法、俄罗斯联邦国家养老金法和劳动养老金法进行;
- 处理个人数据是为了保护个人数据主体的生命、健康或者其他切身利益或者其他人的生命、健康或者其他切身利益所必需的,并且不可能获得个人数据主体同意的;
- 个人数据的处理是出于医疗和预防目的,以便建立医疗诊断、提供医疗和医疗及社会服务,前提是个人数据的处理是由专业从事医疗活动的人员进行的,并且有义务根据俄罗斯联邦法律保守医疗机密;
- 个人数据的处理对于建立或行使个人数据主体或第三方的权利以及与司法有关是必要的;
- 个人数据的处理是根据强制保险类型立法和保险立法进行的。
如果处理特殊类别个人数据的原因已消除,则必须立即停止处理特殊类别的个人数据,除非联邦法律另有规定。
仅在联邦法律规定的情况下并按照联邦法律确定的方式,运营商才能处理犯罪记录中的个人数据。
2.6 生物识别个人数据
描述一个人的生理和生物特征的信息(基于该信息可以确定其身份)——生物识别个人数据——只有在获得主体的书面同意的情况下才能由运营商进行处理。
2.7 委托他人处理个人数据
除非联邦法律另有规定,运营商有权在与个人数据主体签订的协议的基础上,将个人数据的处理委托给他人。 代表运营商处理个人数据的人员有义务遵守第 152 号联邦法规定的处理个人数据的原则和规则。
2.8 个人数据跨境传输
运营商有义务确保拟将个人数据转移到其领土的外国在开始转移之前对个人数据主体的权利提供充分的保护。
在下列情况下,可以将个人数据跨境转移到未充分保护个人数据主体权利的外国境内:
- 个人数据主体书面同意跨境传输其个人数据;
- 个人数据主体作为一方的合同的执行。
3. 个人数据主体的权利
3.1 个人数据主体同意处理其个人数据
个人数据主体决定提供其个人数据,并同意出于其自身的自由意志和自身利益自由处理这些数据。 除非联邦法律另有规定,个人数据主体或其代表可以以任何允许确认其接收事实的形式表示同意处理个人数据。
运营商有义务提供证据,证明已获得个人数据主体对其个人数据处理的同意,或证明联邦法 152 中规定的理由存在。
3.2 个人数据主体的权利
个人数据主体有权从运营商处接收有关其个人数据处理的信息,除非该权利根据联邦法律受到限制。 如果个人数据不完整、过时、不准确、非法获取或对于所述处理目的来说不是必需的,个人数据主体有权要求运营商澄清其个人数据、封锁或销毁该数据。采取法律规定的措施保护其权利。
只有在征得主体事先同意的情况下,才允许处理个人数据,以通过使用通信手段与潜在消费者直接接触来推销市场上的商品、作品和服务,以及出于政治宣传的目的个人数据。 对个人数据的指定处理被视为未经个人数据主体事先同意而进行,除非公司证明已获得此类同意。
运营者有义务应个人信息主体的请求立即停止为上述目的处理其个人信息。
禁止仅基于个人数据的自动化处理做出会导致与个人数据主体相关的法律后果或以其他方式影响其权利和合法利益的决定,除非联邦法律规定或有书面规定的情况。个人数据主体的同意。
如果个人数据主体认为运营商处理其个人数据的行为违反了联邦法律-152的要求或以其他方式侵犯了其权利和自由,个人数据主体有权对运营商的作为或不作为提出申诉向个人数据主体权利保护授权机构或法庭提出。
个人数据主体有权维护自己的权利和合法利益,包括向法院提起损失赔偿和(或)精神损害赔偿。
4. 确保个人数据的安全
通过实施必要的法律、组织和技术措施来确保运营商处理的个人数据的安全,以确保联邦立法在个人数据保护领域的要求。
为防止未经授权访问个人数据,运营商采取以下组织和技术措施:
- 任命负责组织个人数据处理和保护的官员;
- 限制有权访问个人数据的人数;
- 使主体熟悉联邦立法和运营商监管文件在处理和保护个人数据方面的要求;
- 组织信息载体的记账、存储和流通;
- 识别个人数据处理过程中的安全威胁,并基于这些威胁生成威胁模型;
- 开发基于威胁模型的个人数据保护系统;
- 检查使用信息安全工具的准备情况和有效性;
- 限制用户访问信息资源和信息处理软硬件;
- 登记和记录个人数据信息系统用户的行为;
- 使用个人数据保护系统的防病毒工具和恢复工具;
- 必要时应用防火墙、入侵检测、安全分析和加密信息保护工具;
- 通过处理个人数据的技术手段组织对运营商领土的访问控制、场所安全。
5. 最终条款
运营商作为个人数据运营商的其他权利和义务由俄罗斯联邦个人数据领域的立法确定。
违反个人数据处理和保护规则的运营商官员将按照联邦法律规定承担重大、纪律、行政、民事或刑事责任。
