个人数据处理政策
批准
总经理
SKTB催化剂股份有限公司
“2019年7月18日”
“特殊设计与技术事务所
“催化剂”股份公司 关于个人数据处理的政策
1. 总则
1.1. 本政策是根据《个人数据法》(联邦法律第152-FZ号,2006年7月27日)第18.1条第1款第2项的要求制定的,目的是确保在处理个人数据时保护人和公民的权利和自由,包括对个人隐私、个人和家庭秘密的保护。
1.2. 本政策适用于“特殊设计与技术事务所“催化剂”股份公司所处理的所有个人数据(以下简称“运营方”或SKTB催化剂股份有限公司)。政策的规定为制定规范性内部文件提供了基础,这些文件将规范SKTB催化剂股份有限公司在处理其员工和其他个人数据主体的个人数据方面的问题。
1.3. 本政策适用于在运营方处理个人数据的关系,无论是在本政策批准之前还是之后。
1.4. 根据《个人数据法》第18.1条第2款的要求,本政策将在运营方的网站上公开,以便公众自由访问。
1.5. 本政策中使用的主要概念:
个人数据 - 任何与直接或间接确定或可确定的自然人(个人数据主体)相关的信息;
个人数据处理 - 任何与个人数据相关的行为(操作)或一系列行为(操作),无论是使用自动化手段还是不使用自动化手段进行的。个人数据处理包括但不限于:
- • 收集;
- • 记录;
- • 系统化;
- • 积累;
- • 存储;
- • 更新(修改);
- • 提取;
- • 使用;
- • 传递(传播、提供、确保访问);
- • 去标识化;
- • 阻止;
- • 删除;
- • 销毁个人数据。
自动化处理个人数据 - 通过计算机技术手段处理个人数据;
传播个人数据 - 旨在向不特定人群披露个人数据的行为;
提供个人数据 - 旨在向特定个人或特定人群披露个人数据的行为;
阻止个人数据 - 暂停处理个人数据的行为(除非处理是为了更新个人数据所必需的);
销毁个人数据 - 通过使个人数据在个人数据信息系统中无法恢复内容的行为,或通过销毁个人数据的物理载体的行为;
去标识化个人数据 - 通过使得在没有额外信息的情况下无法确定个人数据属于特定个人的行为;
个人数据的信息系统 - 包含在数据库中的个人数据及其处理所需的信息技术和技术手段的集合;
跨境传输个人数据 - 将个人数据传输到外国政府机构、外国自然人或外国法人所在国的行为。
1.6. 操作员的基本权利和义务。
1.6.1. 操作员有权:
- 1) 自主确定为履行《个人数据法》和根据其制定的规范性法律文件所需和足够的措施的组成和清单,除非《个人数据法》或其他联邦法律另有规定;
- 2) 在获得个人数据主体同意的情况下,将个人数据的处理委托给他人,除非联邦法律另有规定,并根据与该人签订的合同进行。根据操作员的委托进行个人数据处理的人员必须遵守《个人数据法》规定的个人数据处理原则和规则;
- 3) 在个人数据主体撤回其对个人数据处理的同意的情况下,操作员有权在《个人数据法》规定的基础上继续处理个人数据,而无需个人数据主体的同意。
1.6.2. 操作员的义务:
- 1) 根据《个人数据法》的要求组织个人数据的处理;
- 2) 根据《个人数据法》的要求,回应个人数据主体及其合法代表的请求和咨询;
- 3) 在收到相关请求后的30天内,向负责保护个人数据主体权利的主管机关(俄罗斯联邦通信、信息技术与大众传媒监督局(俄罗斯联邦通信监督局))提供所需信息。
1.7. 个人数据主体的基本权利。个人数据主体有权:
- 1) 获取关于其个人数据处理的信息,法律规定的例外情况除外。信息由操作员以可获取的形式提供给个人数据主体,并且不应包含涉及其他个人数据主体的个人数据,除非有合法的披露理由。信息的清单和获取程序由《个人数据法》规定;
- 2) 要求操作员更正其个人数据,阻止或销毁个人数据,如果这些个人数据不完整、过时、不准确、非法获取或不必要于声明的处理目的,并采取法律规定的措施以保护其权利;
- 3) 在个人数据处理用于商品、工作和服务市场推广的情况下,提出事先同意的条件;
- 4) 对操作员在处理其个人数据时的违法行为或不作为向俄罗斯联邦通信监督局或法院提出申诉。
1.8. 对本政策要求的执行情况进行监督的由负责操作员个人数据处理组织的授权人员进行。
1.9. 对违反俄罗斯联邦法律和SKTB催化剂股份有限公司在个人数据处理和保护领域的规范性文件的责任,按照俄罗斯联邦法律规定进行确定。
2. 收集个人数据的目的
2.1. 个人数据的处理仅限于实现具体的、预先确定的和合法的目的。不得处理与收集个人数据目的不相符的个人数据。
2.2. 仅处理符合其处理目的的个人数据。
2.3. 操作员对个人数据的处理目的包括:
- • 确保遵守俄罗斯联邦宪法、联邦法律及其他规范性法律文件;
- • 根据SKTB催化剂股份有限公司的章程开展活动;
- • 进行人事文书工作;
- • 协助员工就业、接受教育和晋升,保障员工的个人安全,控制工作数量和质量,确保财产的安全;
- • 吸引和筛选操作员的候选人;
- • 在强制性养老保险系统中组织员工的个体(个性化)登记;
- • 填写并向执行权力机关和其他授权组织提交所需的报告表格;
- • 开展民事法律关系;
- • 进行会计核算;
- • 实施出入管理制度。
2.4. 员工个人数据的处理仅可为确保遵守法律及其他规范性法律文件的目的进行。
3. 处理个人数据的法律依据
3.1. 处理个人数据的法律依据是一系列规范性法律文件,根据这些文件,操作员进行个人数据的处理,包括:
- • 俄罗斯联邦宪法;
- • 俄罗斯联邦民法典;
- • 俄罗斯联邦劳动法典;
- • 俄罗斯联邦税法典;
- • 1995年12月26日第208-ФЗ号联邦法《关于股份公司的法律》;
- • 2011年12月6日第402-ФЗ号联邦法《会计法》;
- • 2001年12月15日第167-ФЗ号联邦法《俄罗斯联邦强制养老金保险法》;
- • 其他规范性法律文件,规范与操作员活动相关的关系。
3.2. 处理个人数据的法律依据还包括:
- •SKTB催化剂股份有限公司的章程;
- • 操作员与个人数据主体之间签订的合同;
- • 个人数据主体对其个人数据处理的同意。
4. 处理的个人数据的范围和类别,个人数据主体的类别
4.1. 处理的个人数据的内容和范围应符合本政策第2部分所规定的处理目的。处理的个人数据不得超出所声明的处理目的。
4.2. 操作员可以处理以下类别的个人数据主体的个人数据。
4.2.1. 应聘者:
- • 姓,名,父名;
- • 性别;
- • 国籍;
- • 出生日期和地点;
- • 联系方式;
- • 教育、工作经验、资格信息;
- • 其他由应聘者在简历和求职信中提供的个人数据。
4.2.2. 操作员的员工和前员工:
- • 姓,名,父名;
- • 性别;
- • 国籍;
- • 出生日期和地点;
- • 图像(照片);
- • 护照信息;
- • 居住登记地址;
- • 实际居住地址;
- • 联系方式;
- • 纳税人识别号;
- • 个人账户保险号(СНИЛС);
- • 教育、资格、职业培训和继续教育的信息;
- • 婚姻状况,子女情况,亲属关系;
- • 劳动活动的信息,包括奖励、表彰和(或)纪律处分的情况;
- • 婚姻登记信息;
- • 军事登记信息;
- • 残疾信息;
- • 扣除抚养费的信息;
- • 前工作地点的收入信息;
- • 其他根据劳动法要求由员工提供的个人数据。
4.2.3. 操作员员工的家庭成员:
- • 姓,名,父名;
- • 亲属关系;
- • 出生年份;
- • 其他根据劳动法要求由员工提供的个人数据。
4.2.4. 操作员的客户和合同方(自然人):
- • 姓,名,父名;
- • 出生日期和地点;
- • 护照信息;
- • 居住登记地址;
- • 联系方式;
- • 担任职位;
- • 纳税人识别号;
- • 银行账户号码;
- • 其他由客户和合同方(自然人)提供的、为签订和履行合同所需的个人数据。
4.2.5. 客户和合同方(法人)的代表(员工):
- • 姓,名,父名;
- • 护照信息;
- • 联系方式;
- • 担任职位;
- • 其他由客户和合同方的代表(员工)提供的、为签订和履行合同所需的个人数据。
4.3. 操作员不处理特殊类别的个人数据,包括种族、民族、政治观点、宗教或哲学信仰、健康状况、私生活等信息,除非法律另有规定。
5. 个人数据处理的程序和条件
5.1. 个人数据的处理由运营商根据俄罗斯联邦的法律要求进行。
5.2. 个人数据的处理是在个人数据主体同意其个人数据处理的情况下进行的,也可以在法律规定的情况下不需要同意。
5.3. 运营商进行自动化和非自动化的个人数据处理。
5.4. 只有那些职责包括个人数据处理的运营商员工才能处理个人数据。
5.5. 个人数据的处理方式包括:
- • 直接从个人数据主体以口头和书面形式获取个人数据;
- • 从公开来源获取个人数据;
- • 将个人数据录入运营商的日志、登记册和信息系统;
- • 使用其他个人数据处理方式。
5.6. 未经个人数据主体的同意,不得向第三方披露和传播个人数据,法律另有规定的除外。
5.7. 向调查和检察机关、联邦税务局、俄罗斯联邦养老金基金、社会保险基金及其他授权的执行机关和组织传递个人数据,须符合俄罗斯联邦法律的要求。
5.8. 运营商采取必要的法律、组织和技术措施,以保护个人数据免受非法或意外访问、销毁、修改、阻止、传播及其他未授权行为的影响,包括:
- • 确定个人数据处理过程中的安全威胁;
- • 制定地方性规范性文件和其他调节个人数据处理和保护领域的文件;
- • 指定负责确保个人数据安全的人员;
- • 创建处理个人数据所需的工作条件;
- • 组织对包含个人数据的文件进行登记;
- • 组织处理个人数据的信息系统的工作;
- • 在确保个人数据安全和防止非法访问的条件下存储个人数据;
- • 组织对处理个人数据的运营商员工进行培训。
5.9. 运营商以能够识别个人数据主体的形式存储个人数据,存储期限不得超过处理个人数据的目的所需的时间,除非联邦法律或合同另有规定。
5.10. 在收集个人数据时,包括通过信息和电信网络(互联网),运营商确保记录、系统化、积累、存储、更新(修改)、提取俄罗斯公民的个人数据,使用位于俄罗斯联邦境内的数据库,法律另有规定的情况除外。
6. 个人数据的更新、更正、删除与销毁,以及对主体访问个人数据请求的答复
6.1.当个人数据主体或其代表提出申请或请求时,运营者应向其提供关于运营者处理个人数据的事实确认、处理个人数据的法律依据与目的,以及《个人数据法》第14条第7款所规定的其他信息。
在所提供的信息中,不得包含涉及其他个人数据主体的个人数据,除非有合法的披露依据。
请求应包括以下内容:
- • 证明个人数据主体或其代表身份的主要证件号码、签发日期及签发机关信息;
- • 证明个人数据主体与运营者存在关系的资料(如合同编号、签订日期、合同的名称或其他能够确认运营者处理该个人数据的资料);
- • 个人数据主体或其代表的签名。
请求可以以电子文件形式提交,并按照俄罗斯联邦法律规定以电子签名签署。
如果个人数据主体的申请(请求)未按照《个人数据法》的要求包含所有必要信息,或个人数据主体无权访问所请求的信息,运营者应向其发送书面、理由充分的拒绝答复。
根据《个人数据法》第14条第8款,个人数据主体访问其个人数据的权利可以被限制,特别是在该访问会侵犯第三方的权利和合法利益的情况下。
6.2. 在发现个人数据不准确时,无论是个人数据主体或其代表提出的请求,还是俄罗斯通信、信息技术与大众传媒监督局(俄罗斯联邦通信监督局)的要求,运营者自收到该请求或要求之时起,应对与该个人数据主体相关的个人数据进行冻结(阻止处理),以便在核查期间暂停处理,前提是该冻结不会侵犯个人数据主体或第三方的权利和合法利益。
如确认个人数据确实存在不准确的情况,运营者应根据个人数据主体、其代表或俄罗斯联邦通信监督局提供的资料,或其他必要文件,在收到这些资料后的七个工作日内**更正(更新)**相关的个人数据,并解除冻结状态。
6.3. 在发现个人数据被不当处理的情况下,无论是个人数据主体或其代表提出的申请(请求),还是俄罗斯联邦通信监督局的要求,运营者自收到该申请或要求之时起,应对与该个人数据主体相关的被不当处理的个人数据进行冻结(阻止处理)。
6.4. 在达到处理个人数据目的后,或当个人数据主体撤回其对处理个人数据的同意时,个人数据应被销毁,除非出现以下情形:
- • 合同另有规定,且该合同的当事人、受益人或保证人为个人数据主体;
- • 依据《个人数据法》或其他联邦法律,运营者有权在未经主体同意的情况下处理个人数据;
- • 运营者与个人数据主体之间的其他协议另有规定。
