1.2. 本政策規定了 LAB LLC 處理個人資料的基本原則、目標、條件、方法和程序、LAB LLC 在處理個人資料時的職能、個人資料主體的權利以及實施的保護要求。
1.3. 該政策的製定考慮了俄羅斯聯邦憲法、勞動法、民法、2006 年 7 月 27 日第 149-FZ 號聯邦法「關於資訊、資訊科技和資訊保護」的要求,俄羅斯聯邦法律,1992 年11月27 日N 4015-1“關於俄羅斯聯邦保險業務的組織”,聯邦法律第27.07.2006 152-FZ“關於個人資料”,1990 年 12 月 2 日聯邦法第 395-1 號“關於銀行和銀行活動”,2003 年 12 月 23 日聯邦法第 177-FZ“關於個人銀行存款保險”俄羅斯聯邦”,2004 年12 月30 日聯邦法第218-FZ“關於信用記錄”。
-
術語和定義
在本政策中,以下術語和定義具有以下含義:
政策– 本政策涉及個人資料的處理。
公司/營運商/雇主– 有限責任公司「業務自動化實驗室」。
員工是指與公司建立僱傭關係的個人。
候選人是申請公司空缺職位並打算與公司建立僱傭關係的個人。
交易對手是指與公司建立或擬建立合約關係的個人,或與公司建立或擬建立合約關係的法人實體的個人代表。
資訊-資訊(訊息、資料),不論其以何種形式提供。
個人資料法– 2006 年 7 月 27 日第 152-FZ 號聯邦法「個人資料」(經修訂)。
個人資料-直接或間接與特定或可識別個人(個人資料主體)相關的任何資訊。此外,在文本中,該術語可以與大寫或小寫字母一起使用。
就本政策而言,個人資料分為以下幾類:
– 生物辨識個人資料(《個人資料法》第 10 條);
– 特殊個人資料(《個人資料法》第 11 條);
– 其他個人資料(不屬於上述類別的所有其他個人資料)。
生物特徵個人資料是表徵一個人的生理和生物特徵的訊息,在此基礎上可以確定他的身分。
特殊類別的個人資料-與種族、國籍、政治觀點、宗教或哲學信念、健康狀況、親密生活相關的個人資料類別。
個人資料的處理-使用自動化工具或不使用此類手段對個人資料執行的任何行動(操作)或一組行動(操作),包括收集、記錄、系統化、累積、儲存、澄清(更新、更改)、個人資料的提取、使用、轉移(分發、提供、存取)、去個人化、刪除、封鎖、銷毀。
個人資料主體-公司的員工、候選人和承包商,以及公司依本政策處理其個人資料的其他個人(以下簡稱「主體」)“或複數形式 – “主題”。
阻止個人資料– 暫時停止處理個人資料(需要處理以澄清個人資料的情況除外)。
個人資料銷毀-導致個人資料資訊系統中的個人資料內容無法恢復和(或)個人資料的物質媒體被銷毀的行為。
個人資料的非個人化是指在不使用附加資訊的情況下無法確定個人資料的特定主體對個人資料的所有權的行為。
個人資料跨境傳輸是指將個人資料傳輸到外國境內的外國政府機構、外國個人或外國法人。
個人資料的保密性是指取得個人資料的人有義務不向第三方揭露該數據,且在未經個人資料主體同意或存在其他法律依據的情況下不允許散佈該資料。
個人資料的傳播-旨在向無限數量的人揭露個人資料的行為。
主體授權分發的個人司個人資料處資料– 主體透過同意處理主體授權分發的個人數據,向無限數量的人提供存取的個人資料。
提供個人資料-旨在向特定人或特定族群揭露個人資料的行為。
個人資料的自動處理-使用電腦技術處理個人資料。
Roskomnadzor – 聯邦通訊、資訊科技與大眾傳播監督服務局(保護個人資料主體權利的授權聯邦執行機構)。
負責個人資料處理的是公司指定的員工,負責組織個人資料的處理。
除本政策另有明確規定外,本政策規定的所有職位均依照公司人員配置表確定。
-
處理個人資料的法律依據
3.1. 處理個人資料的法律依據是以下監管法律行為:
• 俄羅斯聯邦憲法;
• 俄羅斯聯邦稅法;
• 俄羅斯聯邦民法典;
• 俄羅斯聯邦司個人資料處行政違法法典;
• 俄羅斯聯邦勞動法;
• FZ 號「會計」;
• 號聯邦法「關於俄羅斯聯邦強制退休金保險」;
• 號聯邦法「關於強制養老保險制度中的個人(個人化)登記」;
• 號聯邦法「俄羅斯聯邦檔案事務」;
• 管理與公司活動相關的關係的其他監管法律行為。
3.2. 業者處理個人資料的法律依據還有:
• 公司章程;
• 公司與個人資料主體之間簽訂的協議;
• 與對方公司簽訂的協議;
• 在求職網站上發佈公開招聘資訊;
• 主體同意處理個人資料。
-
處理個人資料的原則
4.1.公司對個人資料的處理必須遵循以下原則:
(i) 目的確定-個人資料的收集和處理必須僅限於實現特定、公平和合法的目的。不允許將個人資料進一步用於收集個人資料時未明確說明的目的。不允許合併包含個人資料的資料庫,且其處理目的相互不相容;
(II) 個人資料收集的限制-個人資料的收集必須在實現目標所必需的範圍內,依據法律並以適當的方式進行;不允許收集不必要的個人資料。不允許出於與收集個人資料時預先確定和聲明的目的不相符的目的收集個人資料。個人資料主體必須了解收集的事實和處理個人資料的目的;
(III) 準確性和相關性-個人 rcs資料庫 資料必須準確、最新且可靠。有必要及時、適當地修正構司個人資料處成個人資料的資訊中的不準確之處。本公司採取必要措施或確保採取措施刪除或澄清不完整或不準確的資料;
(IV) 有限存取-個人資料的存取及其使用應僅限於公司內因業務需求而需要存取的人員;
(V) 儲存時間不超過要求的期限 – 如果不再需要、不可靠或不準確,個人資料將被銷毀(刪除)。個人資料的儲存期限符合法律及其他法規的要求,或不超過相關合法目的所要求的期限;
(VI) 儲存期間的可靠保護 – 個人資料在儲存期間必須始終受到可靠保護,無論是否使用自動化手段。用於管理資料處理的資訊系統應採取適當的技術和組織措施,以保護個人資料免遭意外或非法破壞,以及意外丟失、更改、未經授權的披露或訪問,特別是在處理需要通過以下方式傳輸個人資料的情況下:網路以及任何其他非法形式的處理;
(VII) 遵守適用法律-任何處理都必須依據適用的資料保護和隱私權法進行。
處理的個人資料的類別和構成、處理個人資料的目的
5.1. 公司處理與以下相關的個人資料:
– 求職者和公司員工;
– 公司被解僱的員工、員工的近親/家屬;
– 潛在客戶;
– 與公司簽訂民事合約以
提供服務的個人;
– 公司網站的使用者;
– 公司承包商、分包商、供應商和其他與公司有合約關係的法人實體的員工和代表; – 其他法人實體的客戶,根據俄羅斯聯邦法律代表這些法人實體進行
個人資料處理; – 公司參與者; – 已經或打算與公司建立合約關係的其他實體; 5.2. 不允許處理以下個人資料:(I) 有關種族、國籍、政治觀點、宗教 查找电话号码所有者:5 种免费且简单的方法 或哲學信仰、健康狀況、親密生活的個人資料;(II) 與個人行使結社權、集體談判權或其他工會活動、特定公共組織會員資格有關的資料;(三)參加會議、集會、示威、遊行、糾察或行使其他政治權利的相關資料;(四)個人生物辨識資料。5.3. 根據藝術。 《個人資料法》第 10-11 條,第 5.2 條。不適用於已取得個人資料主體書面同意的情況,或現行法律有規定的情況。5.4. 各類主體處理的個人資料量由公司個人資料處理及保護規定決定。
個人資料的處理
6.1. 公司接收已處理的個人資料:
– 直接來自個人資料主體本身;
– 來自不屬於個人資料主體的人;
– 來自公開的個人資料來源。
6.2.公司僅根據法律依據處理個人資料。在俄羅斯聯邦立法規定的所有情況下,公司都會組織獲得主體對處理其個人資料的書面同意。
6.3. 如果有以下理由,則從非主體處接收個人資料:
– 為了實現俄羅斯聯邦立法規定的目標,或執行和履行指定的職能、權力和責任根據俄羅斯聯邦立法向公司披露;
– 執行主體作為一方、受益人或擔保人的協議,以及主體主動簽訂的協議或主體作為受益人或擔保人的協議;
– 行使公司或第三方的 中國資料庫 權利和合法利益,前提是主體的權利和自由不受侵犯;
– 進行個人資料的處理,由主體或應其要求向無限數量的人提供存取權(主體公開的個人資料);
– 根據聯邦立法處理需要公佈或強制披露的個人資料。
6.4. 公司使用自動化工具和不使用此類工具處理個人資料。公司處理個人資料的方法包括:收集、記錄、系統化、累積、儲存、澄清(更新、更改)、提取、使用、轉移(提供存取)、封鎖、刪除、銷毀個人資料。
6.5. 公司不會採取旨在向無限數量的人揭露個人資料的行動(即,不會分發個人資料)。
6.6. 未經主體同意,本公司不會向第三方揭露或向第三方提供依照俄羅斯聯邦立法要求的形式取得的個人資料(法律規定的情況除外)。
6.7. 為了履行俄羅斯聯邦立法賦予的職能、權力和責任,以及實現其法定目標和合約義務,公司將部分已處理的個人資料提供給:
– 向俄羅斯聯邦退休基金俄羅斯聯邦;
– 俄羅斯聯邦社會保險基金;
– 俄羅斯聯邦聯邦稅務局;
– 俄羅斯聯邦執法機構(根據要求)和其他授權組織;
– 銀行;
– 給保險公司。
6.8. 本公司有權在與主體簽訂的協議的基礎上委託他人處理個人資料。該協議必須包含個人資料清單、處理個人資料的人將執行的個人資料操作(操作司個人資料處)清單、處理的目的、該人維護個人資料機密性的義務必須確定《個人資料法》第18 條第5 部分和第18.1 條規定的要求,應運營商要求,在運營商訂單有效期內(包括在處理個人數據之前)的義務,提供文件和其他信息,確認已採取措施並遵守規定執行運營商的指令、根據本條規定的要求、確保個人資料處理過程中的安全的義務以及根據第 1 條保護已處理的個人資料的要求。 《個人資料法》第 19 條。
6.9. 公司不處理與種族、國籍、政治觀點、宗教或哲學信仰、健康、親密生活有關的特殊類別的個人數據,以及有關主體犯罪記錄的個人數據。
6.10。公司可能會處理個人數據,以便在市場上推廣商品和服務,包括
透過通訊直接聯繫來傳輸資訊和廣告訊息
、提供有關營運商、其產品和服務的資訊、改進產品和(或)服務,為了開發新產品和(或)服務、維護網站使用者的統計數據、確保網站的運作和提高網站的品質、改進公司的軟體,公司可能會處理個人數據,以便透過以下方式在市場上推廣商品和服務:使用僅在有條件的情況下進行溝通的方式與潛在消費者直接接觸事先徵得受試者的同意;
6.11.本公司不進行個人資料跨境傳輸。
6.12.公司使用的包含俄羅斯聯邦公民個人資料的資訊資料庫位於俄羅斯聯邦境內。
6.13。本公司不會僅基於個人資料的自動處理而做出會引起與主體相關的法律後果或以其他方式影響其權利和合法利益的決定。
6.14。公司處理個人資料的時間不超過個人資料處理目的所需的時間。
-
個人資料的存儲
7.1. 本公司在法律要求規定的期限內組織個人資料的存儲,在某些情況下,在個人資料主體作為一方、受益人或擔保人的協議規定的期限內組織個人資料的存儲。
7.2. 當實現處理個人資料的目標時,如果不再需要實現這些目標,則在個人資料儲存期結束時,已處理的個人資料將被銷毀。
7.3. 個人資料的儲存形式可以使識別個人資料主體的時間不超過個人資料處理目的所需的時間,聯邦法律規定的個人資料儲存期限的情況除外。人的協議
7.4 儲存紙本個人資料的主要條件是未經授權的人員無法存取此類文件。
7.5. 禁止將個人資料載體與不包含個人資料的其他文件聯合存儲,除非個人資料載體是其他文件的附件,反之亦然。
7.6. 工作期間,只有您正在使用的媒體才應放在桌上。
7.7. 在下列情況下,個人資料載具必須存放在櫃子或抽屜中,並用鑰匙鎖上:
– 未對個人資料載具進行任何操作時;
– 當員工離開工作場所時;
– 工作日結束時。
7.8. 遵守本節所述標準的責任由所有有權處理個人資料的員工承擔,並由負責處理個人資料的人負責控制其實施。
7.9. 在履行工作職責時存取主體個人資料的公司員工有義務確保包含主體個人資料的資訊的存儲,防止未經授權或意外存取。
7.10。如有必要,員工有義務將包含主體個人資料的文件和其他媒體轉移給透過組織和行政行為(命令、指示)或工作說明委託履行其工作職責的員工。
7.11。如果有權存取主體個人資料的員工被解僱,則包含主體個人資料的文件和其他媒體將按照主體的指示轉移給另一名有權存取主體個人資料的員工。
7.12.如果根據主體、其法定代表人或 Roskomnadzor 的要求或由於內部控制措施而被確定為與主體相關的不可靠或非法行為,公司將阻止處理的個人資料。
-
銷毀個人數據
8.1. 已達到處理目的的個人資料將被銷毀,除非俄羅斯聯邦現行立法規定了更長的儲存期限。
8.2. 當個人資料被銷毀時,必須以無法復原個人資料內容的方式銷毀對應的媒體。個人資料紙質介質的銷毀是使用特殊的剪紙技術手段(碎紙機)進行的。
8.3. 處置記錄個人資料的電腦或儲存媒體時,必須使用專門設計用於徹底銷毀個人資料的軟體,或在處置前必須對該儲存媒體進行實體銷毀。
8.4. 公司銷毀個人資料的程序和負責銷毀個人資料的人員由公司當地法規制定。
-
個人資訊主體的權利義務
9.1. 主體決定向公司提供其個人數據,並在個人資料法規定的情況下,同意其根據自己的自由意志和利益進行處理。
9.2.公司處理個人資料的主體有權存取其個人資料。
9.3. 除非俄羅斯聯邦法律另有規定,個人資料主體有權根據書面請求獲取有關其個人資料的以下資訊:
(I) 確認個人資料處司個人資料處理事實公司;
(二)處理個人資料的法律依據和目的;
(三) 本公司處理個人資料的目的及方法;
(IV) 公司的名司個人資料處稱和地點、有權存取個人資料或根據與公司達成的協議或根據聯邦法律可能向其披露個人資料的人員(公司員工除外)的資訊法律;
(V) 與個人資料相關主體相關的已處理個人資料、該資料的來源,除非現行立法規定了提供此類資料的不同程序;
(六)個人資料的處理期限,包括資料的保存期限
(七)個人資料主體行使個人資料法規定的權利的程序;
(VIII) 有關已完成或擬進行的個人資料跨境傳輸的資訊;
(IX) 應公司要求處理個人資料的人的姓名、名字、父名和地址(如果該人已經或將被委託進行此類資料處理);
(十) 業者如何履行個人資料法第18.1條規定的義務的資訊;
(十一)個人資料法或其他聯邦法律規定的其他資訊。