有限责任公司个人资料处理

1                 总则

“UFS”有限责任公司的个人资料处理政策(以下简称“政策”)是根据2006年7月27日颁布的第152号“关于个人资料”联邦法律(以下简称‑第152号联邦法)所编订的。

本政策明确了“UFS”有限责任公司(以下简称“公司”)在处理个人资料方面的程序和保护身份资料安全的措施,其目的是在处理个人与公民个人资料的过程中保护其权利与自由,其中包括保护不侵犯个人生活,维护个人与家庭隐私的权利。

本政策中使用了以下基本概念:

个人资料自动化处理:借助计算技术处理设备对个人资料进行加工处理;

个人资料冻结:暂时停止处理个人资料(为确认个人资料而需要的加工处理除外);

个人资料信息系统:信息库中所包含的个人资料以及保障其处理的信息技术和技术设备的总和;

个人资料匿名化在不使用附加信息的条件下,无法确定个人信息的个人信息具体主体所属性的行为。

个人资料处理:使用计算设备或不使用计算设备的情况下对个人资料进行的任何加工(操作)或加工(操作)的总和,其中包括对个人资料的收集、记录、系统化、存储、保存、确认(更新、更改)、提取、使用、传输(传播、提供、访问)、匿名化、冻结、删除、注销;

操作者-国家机构、市政局、法人或自然人,自行或与他人共同组织或实现对个人资料的处理,以及确定个人资料处理目的、应进行处理的个人资料的组成和对个人资料进行的行为(操作);

个人资料:与已确认或正在被确认的自然人(个人资料主体)有直接或间接关系的任何信息;

个人资料的提供:向某人员或某人员范围进行个人资料披露的相关行为;

个人资料传播:向不确定的人员范围内提供个人资料(个人资料传输)或不确定的人员范围了解个人资料的行为,其中包括在大众信息媒介、信息电信网中公布个人资料或通过某些方式提供对个人资料的访问;

个人资料的境外传递:在国外境内向国外政府机构、国外自然人和国外法人传递个人资料;

个人资料的注销:致使个人资料信息系统中的个人资料内容无法恢复及(或)致使个人资料的物质载体销毁的行为。

根据联邦‑第152号法律第18.1章第2款的规定,公司必须公布个人资料处理政策或用某种方式确保对其无限访问。

2                 个人资料处理的原则与条件

2.1             个人资料处理原则

公司在处理个人资料时需遵循以下原则:

  • 合法性和正当原则;
  • 通过达到具体的、提早确认的、合法的目标来限制对个人资料的处理;
  • 禁止对个人资料进行与收集个人资料目的不一致的处理;
  • 禁止将包含处理目的互不相容的个人资料的数据库合并;
  • 只对符合个人资料处理目的的个人资料进行处理;
  • 所处理个人资料的内容与规模均要符合所申请的处理目的;
  • 对个人资料的处理不得超出所申请的处理目的;
  • 根据个人资料处理的目的确保个人资料的准确性、充分性和真实性;
  • 在达成个人资料处理目的时,或在失去达成目的的必要时,在公司无法消除个人资料破坏影响的情况下,如果联邦法律没有其他规定可对个人资料进行销毁或匿名化。

2.2            个人资料处理条件

公司在处理个人资料时至少要符合以下条件中的一个条件:

  • 个人资料主体必须同意对其个人资料进行处理;
  • 必须以达到俄罗斯联邦国际条约或法律规定的目的、为实现俄罗斯联邦法律赋予操作方的职能、权能和义务对个人资料进行处理;
  • 对个人资料的处理必须为了实现审判、执行根据俄罗斯联邦关于执行程序须执行的司法文件、执行其他机构或负责任人员的文件;
  • 对个人资料的处理必须为了履行合同,且个人资料主体或者是合同一方、或者是受益人、或者是合同委托人,以及为了签订个人资料主体的发起的合同,或个人资料主体是受益人或委托人的合同;
  • 若无法获得个人资料主体的同意,对个人资料的处理须以保护个人资料主体的生命、健康和其他重大生命利益为起见;

 

  • 对个人资料的处理必须在不破坏个人资料主体的权利和自由的条件下,为了实现操作者或第三方的权利和合法利益,或为了达到重要的社会目标;
  • 对由个人资料主体或依据其要求向不限人员范围提供对个人资料访问的个人资料进行处理(以下简称“公开的个人资料”);
  • 对根据联邦法规须进行公布和必要披露的个人资料进行处理。

2.3            个人资料的保密性

如果联邦法律没有另行规定,公司或其他人员在访问个人资料时不得将信息透露给第三方,在没有个人资料主体许可的情况下不得对个人资料进行传播。

2.4            个人资料的公开来源

为了在公司进行信息保护,可以建立主体个人资料的公开来源,其中包括手册和通讯录。 获得主体书面同意的个人资料的公开来源中可以包括其姓名、父称、出生日期和出生地点、职务、联系电话、电子邮箱地址以及由个人资料主体告知的其它个人资料。

根据主体的要求或其它国家授权机构的决议,有关主体的信息应随时从个人资料公开来源中去除。

2.5            个人资料的专门类别

在以下情况中,公司对涉及到种族、国籍、政治观点、宗教观点、哲学观点、个人资料主体健康与私人生活状况的个人资料进行专门的分类处理:

  • 个人资料主体对处理其个人资料给出书面同意;
  • 个人资料由个人资料主体公开化;
  • 个人资料的处理遵守关于国家社会协助法、劳动法、国家退休保障退休金法、劳动退休法;
  • 若无法获得个人资料主体的同意,对个人资料的处理必须为了保护个人资料主体的生命、健康和其他重大生命利益,或为了其他人员的生命、健康或其他重大生命利益;
  • 对个人资料的处理以医疗预防、医学诊断和提供医疗及医学社会服务为目的,以由专业从事医疗行业的并必须根据俄罗斯联邦法律保守医疗保密的人员进行个人资料的处理为条件;
  • 对个人资料的处理必须为了建立或实现个人资料主体或第三方的权利,同样与实现公正裁判有关。
  • 对个人资料的处理必须遵守有关国防、安全、反恐、运输安全、反腐、快速侦查领域、执行程序、刑事执行方面的俄罗斯联邦法律;
  • 个人资料的处理遵守关于强制性保险方面的法规和保险法。

如果法律没有另行规定,在专门个人资料分类处理原因消除后应立即停止对个人资料的专门分类。

只有在相关联邦法律作出规定并明确程序的情况下,公司可对有关犯罪记录的个人资料进行处理。

2.6            生物个人资料

具有个人物理和生物特性的信息,在这些信息基础上可以建立个人身份(生物个人资料),操作者用于建立个人资料主体身份,只有在获得主体书面同意的情况下公司才可对其进行加工处理。

因为实行证券返还方面的俄罗斯联邦国际条约、实现公正裁判和司法文件执行的关系,以及在关于国防、安全、反恐、运输安全、反腐、快速侦查领域、国家公务、刑事执行方面的俄罗斯联邦法律、俄罗斯联邦出入境程序联邦法规规定的情况下,可以在未获得个人资料主体同意的情况下对生物个人资料进行处理。

2.7            委托其他方处理个人资料

如果联邦法律没有另行规定,在个人资料主体同意的情况下,在与他方签订合同的基础上公司有权将个人资料委托给他方进行处理。 获得公司委托对个人资料进行处理的一方必须遵序第‑152号联邦法律规定的原则和规定。

2.8            个人资料的境外传递

在个人资料传递前,公司必须确认在计划传递个人资料的外国国境内可以确保对个人资料主体权利的充分保护。

在以下情况中,可在对个人资料主体权利无法充分保护的外国国境内传递个人资料:

  • 具有个人资料主体对允许其个人资料进行境外传递的书面同意;
  • 俄罗斯联邦国际条约的规定;
  • 联邦法规的规定,若这是以保护俄罗斯联邦宪法体系基础、保障国家国防和国家安全为目的,以及以确保传输综合体的稳定安全性和功能安全、和在传输综合体方面保护保护个人、社会和国家利益不受非法干涉行为侵犯为目的;
  • 合同履行,合同一方为个人资料主体;
  • 在无法获得个人资料主体书面同意的情况下,为了保护个人资料主体或其他方的生命、健康和其他重大利益。

3、个人资料主体的权利

3.1. 个人资料主体同意对其个人资料进行处理

个人资料主体可决定提供其个人资料,并同意自由地、凭个人意愿、从自身利益出发对资料进行处理。 如果联邦法律没有另行规定,由个人资料主体给出对处理其个人资料的同意,或由其代表以任何允许的确认获得同意实事的形式给出同意。

在对个人资料处理时,公司必须提供获得个人资料主体同意的证据,或提供第‑152号联邦法律中存在根据的证据。

3.2. 个人资料主体的权利

在不受到联邦法律限制的情况下,个人资料主体有权从公司获得涉及到对其个人资料进行处理的信息。 个人资料主体有权要求公司对其个人资料进行确认,如果个人资料不完整、过时、不准确、为非法所得或不是为达成申请目的而进行的必须处理,则可要求对个人资料进行冻结或注销,同时采取法律规定的措施维护自身权利。

以向市场推广产品、工作、服务或鼓动宣传为目的,借助通讯工具通过与意向客户直接联系的方式对个人资料进行处理的情况下,必须获得身份资料主体的预先同意。 如果公司未证明获得个人资料主体的同意,则对个人资料的处理被视为未获得个人资料主体预先同意的行为。

在上述目的中,公司应根据个人资料主体的要求立即停止对其身份资料的处理。

在全自动化个人资料处理的基础上,禁止做出能够引起身个人资料主体法律后果的决定,或以其他方式触犯其权利和合法利益,除非联邦法律另行规定或获得个人资料主体的书面同意。

如果个人资料主体认为,公司对其个人资料的处理违反了第‑152联邦法律的要求,或以其它方式损害了其权利和自由,为保护身份资料主体的权利,个人资料主体有权对公司的作为或不作为向授权机构申诉或在诉讼程序中进行申诉。

个人资料主体有权保护其权利和合法利益,其中包括在诉讼程序中进行损失赔偿及(或)精神损失赔偿。

  1. 个人资料的安全保障

公司必须根据个人资料保护领域中联邦法规规定的法律、组织和技术措施对所处理的个人资料的安全性进行保障。

为防止对个人资料的擅自访问,公司采取以下组织技术措施:

  • 指定负责组织个人资料处理及保护的负责人员;
  • 对访问个人资料的人员进行限制;
  • 向个人资料主体介绍关于个人资料处理和保护方面的联邦法律和公司的规范文件;
  • 组织信息载体的登记、保存和使用;
  • 在处理个人资料时确定个人资料的安全威胁,并基于此制作威胁模型。
  • 在个人资料保护系统危险模式的基础上处理个人资料;
  • 对信息保护设备使用的准备性和有效性进行检测;
  • 对用户访问信息资源和信息处理程序-硬件设备进行识别;
  • 对个人资料信息系统的用户行为进行注册和登记;
  • 使用防毒设备和个人资料保护系统恢复设备;
  • 在必要情况下使用网际屏蔽设备、入侵发现设备、保护性分析设备和信息保护加密设备;
  • 在公司区域内制定通行检查制度,对存放有个人资料处理技术设备的房间进行保卫。

 

  1. 最后条款

公司作为个人资料操作者的其他权利与义务由关于个人资料方面的俄罗斯联邦法律明确。

公司的职务人员在违反调整信息处理与保护方面的规范时,依据联邦法律规定的程序,承担财产、纪律、行政、民事、和刑事责任。