۱. مفاد کلی
۱.۱. مفاهیم مورد استفاده در این خطمشی.
- دادههای شخصی به معنای هرگونه اطلاعات مربوط به فرد (موضوع دادههای شخصی) است که به طور مستقیم یا غیرمستقیم شناسایی یا قابل شناسایی است (از این پس به عنوان PD نامیده میشود).
- کوکیها به معنای یک قطعه متن کوچک هستند که از یک وبسایت به مرورگر منتقل میشود، توسط یک وب سرور ارسال میشود و بدون تغییر یا هیچ پردازشی در رایانه، تبلت یا تلفن هوشمند کاربر ذخیره میشود، که سرویس گیرنده وب (مرورگر وب) هنگام دسترسی به وبسایت مربوطه به عنوان بخشی از یک درخواست HTTP، برای تأیید اعتبار کاربر، ذخیره تنظیمات شخصی و تنظیمات کاربر، ردیابی وضعیت جلسه دسترسی کاربر و ذخیره اطلاعات آماری در مورد کاربر، به وب سرور ارسال میکند.
- اپراتور دادههای شخصی به معنای TekhAtomStroy LLC (از این پس به عنوان شرکت، اپراتور) به طور مستقل یا مشترک با سایر افرادی است که پردازش دادههای شخصی را سازماندهی و/یا انجام میدهند، و همچنین اهداف پردازش دادههای شخصی، ترکیب دادههای شخصی برای پردازش، اقدامات (عملیات) انجام شده با دادههای شخصی را تعیین میکنند.
- وبسایت به معنای وبسایت رسمی اپراتور https://techatomstroy.ru/ است.
- پردازش دادههای شخصی به معنای هرگونه اقدام (عملیات) یا مجموعهای از اقدامات (عملیات) است که با یا بدون استفاده از ابزارهای اتوماسیون با دادههای شخصی انجام میشود، از جمله جمعآوری، ثبت، سیستماتیکسازی، انباشت، ذخیرهسازی، شفافسازی (بهروزرسانی، اصلاح)، استخراج، استفاده، انتقال (انتشار، ارائه، دسترسی)، ناشناسسازی، مسدود کردن، حذف و تخریب دادههای شخصی.
- پردازش خودکار دادههای شخصی به معنای پردازش دادههای شخصی با کمک رایانه است.
- انتشار دادههای شخصی به معنای اقداماتی است که با هدف افشای دادههای شخصی به عموم مردم انجام میشود.
- ارائه دادههای شخصی به معنای اقداماتی است که با هدف افشای دادههای شخصی به شخص خاص یا گروه خاصی از افراد انجام میشود.
- مسدود کردن دادههای شخصی به معنای خاتمه موقت پردازش دادههای شخصی است (به جز در مواردی که پردازش برای شفافسازی دادههای شخصی ضروری باشد). - تخریب دادههای شخصی به اقداماتی اطلاق میشود که منجر به عدم امکان بازیابی محتوای دادههای شخصی در سیستم اطلاعات دادههای شخصی میشود و/یا در نتیجه آن رسانههای ملموس حاوی دادههای شخصی از بین میروند.
- ناشناسسازی دادههای شخصی به اقداماتی اطلاق میشود که منجر به عدم امکان انتساب دادههای شخصی به یک موضوع خاص دادههای شخصی بدون اطلاعات اضافی میشود.
- سیستم اطلاعات دادههای شخصی به تجمیع دادههای شخصی موجود در پایگاههای داده دادههای شخصی و فناوریهای فناوری اطلاعات و ابزارهای فنی تضمین پردازش دادههای شخصی اطلاق میشود.
- انتقال دادههای شخصی فرامرزی به انتقال دادههای شخصی به یک حوزه قضایی خارجی، به مرجعی در آن، به یک شخص حقیقی خارجی یا به یک نهاد حقوقی خارجی اطلاق میشود.
- کاربر وبسایت اپراتور (کاربر) به شخصی اطلاق میشود که از طریق اینترنت و با استفاده از وبسایت اپراتور به وبسایت دسترسی دارد.
- آدرس IP به آدرس شبکه منحصر به فرد یک گره در یک شبکه رایانهای ساخته شده با استفاده از پروتکل IP اطلاق میشود.
1.2. این سیاست پردازش دادههای شخصی شرکت TekhAtomStroy LLC (که از این پس به عنوان سیاست نامیده میشود) مطابق با الزامات بند 2 بخش 1 ماده 18.1 قانون فدرال دادههای شخصی شماره 152-ФЗ مورخ 27.07.2006 (که از این پس به عنوان قانون دادههای شخصی نامیده میشود) تدوین شده است تا از حقوق و آزادیهای یک شخص و شهروند هنگام پردازش دادههای شخصی خود، از جمله حفاظت از حقوق حریم خصوصی، اسرار شخصی و خانوادگی، به ویژه به منظور محافظت در برابر دسترسی غیرمجاز و انتشار غیرقانونی دادههای شخصی پردازش شده در سیستمهای اطلاعاتی شرکت، اطمینان حاصل شود.
1.2. این سیاست در مورد تمام دادههای شخصی پردازش شده توسط شرکت اعمال میشود.
1.3. این سیاست در مورد روابطی در زمینه پردازش دادههای شخصی که قبل و بعد از تصویب این سیاست برای شرکت ایجاد شده است، اعمال میشود.
1.4. این سیاست در مورد تمام دادههای شخصی پردازش شده توسط شرکت با یا بدون استفاده از ابزارهای اتوماسیون اعمال میشود.
1.5. این خطمشی باید در وبسایت اپراتور در شبکه اطلاعات و ارتباطات اینترنتی به صورت عمومی منتشر شود.
1.6. حقوق و تعهدات اساسی اپراتور
1.6.1. اپراتور میتواند:
- به طور مستقل ترکیب و فهرست اقدامات لازم و کافی را برای اطمینان از انجام تعهدات مقرر در قانون دادههای شخصی و اقدامات قانونی نظارتی مصوب مطابق با آن، مگر اینکه قانون دادههای شخصی یا سایر قوانین فدرال خلاف آن را پیشبینی کرده باشد، تعیین کند.
- پردازش دادههای شخصی را با رضایت شخص موضوع دادههای شخصی، مگر اینکه قانون فدرال خلاف آن را پیشبینی کرده باشد، بر اساس توافقی که با این شخص منعقد شده است، به شخص دیگری واگذار کند. شخصی که دادههای شخصی را به نمایندگی از اپراتور پردازش میکند، باید اصول و قواعد پردازش دادههای شخصی مقرر در قانون دادههای شخصی را رعایت کند، محرمانگی دادههای شخصی را حفظ کند و اقدامات لازم را با هدف اطمینان از انجام تعهدات مقرر در قانون دادههای شخصی انجام دهد.
- در صورتی که شخص موضوع دادههای شخصی رضایت خود را برای پردازش دادههای شخصی پس بگیرد، اپراتور میتواند در صورت وجود دلایل مشخص شده در قانون دادههای شخصی، پردازش دادههای شخصی را بدون رضایت شخص موضوع دادههای شخصی ادامه دهد.
1.7.2. اپراتور باید:
- دادههای شخصی را بدون رضایت شخص موضوع دادههای شخصی برای اشخاص ثالث افشا یا منتشر نکند، مگر اینکه قانون فدرال خلاف آن را پیشبینی کرده باشد.
1.7.2. اپراتور باید:
- دادههای شخصی را بدون رضایت شخص موضوع دادههای شخصی افشا یا منتشر نکند، مگر اینکه قانون فدرال خلاف آن را پیشبینی کرده باشد. - پردازش دادههای شخصی را مطابق با الزامات قانون دادههای شخصی مدیریت کند.
به مرجع ذیصلاح مسئول حفاظت از حقوق صاحبان دادههای شخصی (Roskomnadzor) اطلاع دهد که قصد پردازش دادههای شخصی را دارد، به جز مواردی که در قانون دادههای شخصی پیشبینی شده است.
شخصی را برای مدیریت پردازش دادههای شخصی در شرکت منصوب کند.
به سوالات و درخواستهای صاحبان دادههای شخصی و نمایندگان قانونی آنها مطابق با الزامات قانون دادههای شخصی پاسخ دهد.
به درخواست Roskomnadzor، اطلاعات لازم را در مدت زمان تعیین شده در قانون دادههای شخصی ارائه دهد.
در صورت تشخیص پردازش غیرقانونی دادههای شخصی، ظرف مدت حداکثر سه روز کاری از تاریخ تشخیص، و همچنین در صورت درخواست صاحب دادههای شخصی مبنی بر توقف پردازش دادههای شخصی، ظرف مدت حداکثر ده روز کاری از تاریخ دریافت درخواست، پردازش دادههای شخصی را متوقف کند یا از توقف پردازش غیرقانونی دادههای شخصی توسط شخصی که به نمایندگی از اپراتور عمل میکند، اطمینان حاصل کند. - در صورت درخواست صاحب اطلاعات شخصی، پردازش اطلاعات شخصی او را در صورتی که با هدف تبلیغ کالاها، کارها، خدمات موجود در بازار و از طریق برقراری تماس مستقیم با مصرفکننده بالقوه با استفاده از ابزارهای ارتباطی انجام شود، فوراً متوقف کند.
- در صورت عدم امکان اطمینان از قانونی بودن پردازش اطلاعات شخصی، ظرف مدت حداکثر ده روز کاری از تاریخ تشخیص پردازش غیرقانونی اطلاعات شخصی، اطلاعات شخصی را نابود کند یا چنین تخریب اطلاعاتی را تضمین کند.
- در صورت درخواست صاحب اطلاعات شخصی، اطلاعات مربوط به پردازش اطلاعات شخصی خود را در اختیار او قرار دهد.
1.8. حقوق اصلی صاحبان اطلاعات شخصی.
1.8.1. صاحب اطلاعات شخصی میتواند:
- به جز مواردی که در قوانین فدرال پیشبینی شده است، اطلاعات مربوط به پردازش اطلاعات شخصی خود را دریافت کند.
- در صورت ناقص، قدیمی، نادرست، غیرقانونی به دست آمده یا برای هدف تعیین شده پردازش ضروری نیست، از اپراتور بخواهد اطلاعات شخصی او را شفافسازی کند، آنها را مسدود یا نابود کند، و همچنین اقدامات پیشبینی شده توسط قانون را برای محافظت از حقوق خود انجام دهد. - از اپراتور بخواهد که اطلاعات شخصی خود را شفافسازی کند، در صورتی که اطلاعات شخصی ناقص، قدیمی، نادرست، به صورت غیرقانونی به دست آمده یا برای هدف مشخص شده پردازش ضروری نباشد، آنها را مسدود یا نابود کند، و همچنین اقدامات پیشبینی شده توسط قانون را برای محافظت از حقوق خود انجام دهد؛
- رضایت اولیه خود را برای پردازش اطلاعات شخصی به منظور تبلیغ کالاها، کارها و خدمات در بازار اعلام کند.
- از اپراتور بخواهد که اطلاعات شخصی خود را شفافسازی کند، در صورتی که اطلاعات شخصی ناقص، قدیمی، نادرست، به صورت غیرقانونی به دست آمده یا برای هدف مشخص شده پردازش ضروری نباشد، آنها را مسدود یا نابود کند، و همچنین اقدامات پیشبینی شده توسط قانون را برای محافظت از حقوق خود انجام دهد؛
- از روسکومنادزور یا دادگاه علیه اعمال یا قصور غیرقانونی اپراتور هنگام پردازش اطلاعات شخصی خود شکایت کند.
1.9. رعایت الزامات این خطمشی توسط شخصی که مسئول مدیریت پردازش اطلاعات شخصی توسط اپراتور است، نظارت میشود.
۲. اهداف پردازش دادههای شخصی
۲.۱. پردازش دادههای شخصی باید محدود به دستیابی به اهداف خاص، از پیش تعیینشده و مشروع باشد. هیچ پردازش دادههای شخصی که با اهداف جمعآوری دادههای شخصی ناسازگار باشد، مجاز نخواهد بود.
۲.۲. اپراتور، دادههای شخصی را برای اهداف زیر پردازش خواهد کرد:
- رعایت قوانین و سایر اقدامات قانونی نظارتی فدراسیون روسیه، اسناد قانونی شرکت، مقررات محلی شرکت، قراردادها، توافقنامههای شرکت؛
- مدیریت پرسنل (حسابداری، مالیات، سوابق نظامی؛ ثبت و استخدام؛ تصمیمگیریهای مدیریتی و پرسنلی، کمک به آموزش و پیشرفت شغلی؛ نظارت بر انجام وظایف کاری؛ بررسی و حل اختلافات کارگری؛ محاسبه دستمزد و سایر توافقات با کارمندان؛ تکمیل و ارسال فرمهای گزارشدهی مورد نیاز به مراجع ذیصلاح، ترتیب ثبت نام فردی (شخصیسازی شده) کارمندان در سیستمهای بیمه بازنشستگی اجباری و بیمه اجتماعی اجباری)؛
- تضمین امنیت فعالیتهای شرکت (تضمین ایمنی اموال؛ تضمین کنترل دسترسی به قلمرو اپراتور)؛
- تهیه، اجرا و اجرای قراردادهای حقوق مدنی با مشتریان/طرفهای مقابل/ذینفعان شرکت؛
- استفاده از کوکیها برای اطمینان از عملکرد و امنیت وبسایت، بهبود کیفیت خدمات مشتری، محصولات و خدمات ارائه شده، و همچنین ارائه پیشنهادهای فردی؛ تضمین عملکرد وبسایت؛
- ارائه خدمات مشاورهای و اطلاعاتی، پشتیبانی مشتری به مشتریان/مشتریان بالقوه/ذینفعان تحت قراردادها؛
- تبلیغ کالاها، کارها و خدمات توسط شرکت؛
- مشارکت در دادرسیهای مدنی، اداری، دادرسی در دادگاههای داوری، رسیدگی به پروندههای تخلفات اداری؛
- اجرای حکم دادگاه، حکم مرجع یا مقام دیگری که مطابق با قوانین فدراسیون روسیه قابل اجرا باشد؛
- ایجاد حساب، سازماندهی مدیریت اسناد الکترونیکی و کار از راه دور؛
- رعایت الزامات قوانین شرکتی، از جمله، نگهداری فهرست اعضای شرکت، اطلاعرسانی به اعضای شرکت، تهیه و تنظیم صورتجلسه جلسات/تصمیم اعضای شرکت توسط تنها عضو؛
- پردازش درخواستها/فرمهای بازخورد از کاربران وبسایت برای دریافت کالا/خدمات از شرکت؛
- انجام تعهدات گارانتی تحت قراردادهای مشارکت در سهام/خرید و فروش املاک و مستغلات؛
- استفاده شرکت از پلتفرم دیجیتال برای مدیریت کسب و کار، همکاری کارکنان، مدیریت پرسنل و اتوماسیون فرآیند.
۳. مبانی قانونی برای پردازش دادههای شخصی
۳.۱. مبانی قانونی پردازش دادههای شخصی عبارتند از:
۳.۱.۱. مجموعهای از قوانین حقوقی نظارتی که اپراتور، مطابق با آنها و طبق آنها، دادههای شخصی را پردازش میکند، از جمله:
قانون اساسی فدراسیون روسیه؛
قانون مدنی فدراسیون روسیه؛
قانون کار فدراسیون روسیه؛
قانون مالیات فدراسیون روسیه؛
قانون فدرال شرکتهای با مسئولیت محدود شماره ۱۴-ФЗ مورخ ۰۸.۰۲.۱۹۹۸؛
قانون فدرال حسابداری شماره ۴۰۲-ФЗ مورخ ۰۶.۱۲.۲۰۱۱؛
قانون فدرال بیمه بازنشستگی اجباری در فدراسیون روسیه شماره ۱۶۷-ФЗ مورخ ۱۵.۱۲.۲۰۰۱؛
سایر قوانین حقوقی نظارتی حاکم بر روابط مربوط به فعالیتهای اپراتور.
۳.۱.۲. رضایت دادههای شخصی مشمول پردازش دادههای شخصی آنها؛
۳.۱.۳. اجرا و انجام وظایف، اختیارات و وظایفی که طبق قانون فدراسیون روسیه به اپراتور محول شده است؛
3.1.4. مشارکت در دادرسیهای قانون اساسی، مدنی، اداری، کیفری و دادرسی در دادگاههای داوری؛
3.1.5. اجرای حکم دادگاه، حکم مقام یا مقام دیگری که مطابق با قانون فدراسیون روسیه در مورد مراحل اجرای احکام قابل اجرا باشد؛
3.1.6. اجرای توافقی که موضوع دادههای شخصی طرف، ذینفع یا ضامن آن است، و همچنین برای اجرای توافقی به ابتکار موضوع دادههای شخصی یا توافقی که طبق آن موضوع دادههای شخصی ذینفع یا ضامن خواهد بود؛
3.1.7. اساسنامه شرکت.
4. دسته بندی دادههای شخصی پردازش شده، دسته بندی موضوعات دادههای شخصی
4.1. اپراتور دادههای شخصی موضوعات دادههای شخصی زیر را پردازش خواهد کرد:
4.1.1. افرادی که مشتری اپراتور هستند، بازدیدکنندگان وبسایت اپراتور در اینترنت، نمایندگان طرفهای قرارداد، مشتریان، ذینفعان تحت قرارداد؛
۴.۱.۲ افرادی که نماینده یا عضو طرفهای قرارداد اپراتور هستند؛
۴.۱.۳ کارمندان، کارمندان سابق (اخراج شده)، نامزدهای موقعیتهای خالی اپراتور (از این پس متقاضیان نامیده میشوند) و بستگان آنها؛
۴.۲ اپراتور اطلاعات شخصی زیر را که از بازدیدکنندگان وبسایت اپراتور دریافت میشود، پردازش خواهد کرد:
- نام خانوادگی، نام، نام میانی؛
- آدرس ایمیل؛
- شماره تلفنها؛
- سال، ماه، تاریخ و محل تولد؛
- آدرس IP؛
- کوکیها؛
- اطلاعات مربوط به دستگاه کاربر و مرورگر مورد استفاده؛
- اطلاعات مربوط به تعامل با وبسایت و خدمات اپراتور (منبع انتقال به وبسایت، صفحات مشاهده شده، تعامل با اشیاء و صفحات، پارامترهای جلسه، دادههای مربوط به زمان بازدید و غیره).
۴.۳ اطلاعات شخصی داوطلبان برای موقعیتهای خالی اپراتور، پردازش شده توسط اپراتور:
- نام خانوادگی، نام، نام پدر؛
- جنسیت؛
- ملیت؛
- تاریخ و محل تولد؛
- شماره تلفن؛
- آدرس ایمیل؛
- اطلاعات مربوط به تحصیلات، سابقه کار، مدارک تحصیلی؛
- تصویر (عکس)؛
- سایر اطلاعات شخصی ارائه شده توسط داوطلبان در رزومه و نامههای درخواست کار.
۴.۴. اطلاعات شخصی کارمندان، کارمندان سابق (اخراج شده) اپراتور، پردازش شده توسط اپراتور
- نام خانوادگی، نام، نام خانوادگی؛
- جنسیت؛
- ملیت؛
- تاریخ و محل تولد؛
- تصویر (عکس)؛
- جزئیات گذرنامه؛
- آدرس ثبت نام در محل سکونت؛
- آدرس واقعی محل سکونت؛
- شماره تلفن؛
- آدرس ایمیل؛
- شماره شناسایی مالیات دهنده؛
- شماره حساب بیمه شخصی (SNILS)؛
- اطلاعات مربوط به تحصیلات، مدارک تحصیلی، آموزش حرفه ای و آموزش پیشرفته؛
- وضعیت تأهل، وجود فرزندان، پیوندهای خانوادگی، ترکیب خانواده؛
- اطلاعات مربوط به فعالیت های کاری، از جمله وجود مشوق ها، جوایز و/یا مجازات های انضباطی؛
- اطلاعات ثبت ازدواج؛
- اطلاعات مربوط به ثبت نام نظامی؛
- اطلاعات مربوط به معلولیت؛
- اطلاعات مربوط به کسر نفقه؛
- اطلاعات مربوط به درآمد از محل کار قبلی؛
- شماره حساب تسویه حساب؛ - جزئیات گواهینامه رانندگی؛
- جزئیات بیمه نامه پزشکی اجباری؛
- جزئیات گواهی ثبت احوال؛
- سایر اطلاعات شخصی ارائه شده توسط کارمندان مطابق با الزامات قانون کار.
4.5. اطلاعات شخصی اعضای خانواده کارمندان اپراتور که توسط اپراتور پردازش میشوند:
- نام خانوادگی، نام، نام خانوادگی؛
- درجه خویشاوندی؛
- سال تولد؛
- سایر اطلاعات شخصی ارائه شده توسط کارمندان مطابق با الزامات قانون کار.
4.6. اطلاعات شخصی مشتریان، طرفهای قرارداد اپراتور (اشخاص حقیقی)، که توسط اپراتور پردازش میشوند:
- نام خانوادگی، نام، نام خانوادگی؛
- تاریخ و محل تولد؛
- جزئیات گذرنامه؛
- آدرس ثبت نام در محل سکونت؛
- شماره تلفن؛
- آدرس ایمیل؛
- سمت مورد درخواست؛
- شماره شناسایی مالیات دهنده؛
- شماره حساب تسویه حساب؛
- SNILS؛
- ملیت؛
- اطلاعات کارت بانکی؛
- سایر اطلاعات شخصی ارائه شده توسط مشتریان و طرفهای مقابل (اشخاص حقیقی) که برای اجرا و اجرای قراردادها ضروری است.
۴.۷. اطلاعات شخصی نمایندگان (کارمندان) مشتریان و طرفهای مقابل اپراتور (اشخاص حقوقی):
- نام خانوادگی، نام، نام میانی؛
- اطلاعات گذرنامه؛
- شماره تلفن؛
- آدرس ایمیل؛
- سمت مورد درخواست؛
- سایر اطلاعات شخصی ارائه شده توسط نمایندگان (کارمندان) مشتریان و طرفهای مقابل، که برای اجرا و اجرای قراردادهای حقوق مدنی ضروری است.
۱.۱. مفاهیم مورد استفاده در این خطمشی.
- دادههای شخصی به معنای هرگونه اطلاعات مربوط به فرد (موضوع دادههای شخصی) است که به طور مستقیم یا غیرمستقیم شناسایی یا قابل شناسایی است (از این پس به عنوان PD نامیده میشود).
- کوکیها به معنای یک قطعه متن کوچک هستند که از یک وبسایت به مرورگر منتقل میشود، توسط یک وب سرور ارسال میشود و بدون تغییر یا هیچ پردازشی در رایانه، تبلت یا تلفن هوشمند کاربر ذخیره میشود، که سرویس گیرنده وب (مرورگر وب) هنگام دسترسی به وبسایت مربوطه به عنوان بخشی از یک درخواست HTTP، برای تأیید اعتبار کاربر، ذخیره تنظیمات شخصی و تنظیمات کاربر، ردیابی وضعیت جلسه دسترسی کاربر و ذخیره اطلاعات آماری در مورد کاربر، به وب سرور ارسال میکند.
- اپراتور دادههای شخصی به معنای TekhAtomStroy LLC (از این پس به عنوان شرکت، اپراتور) به طور مستقل یا مشترک با سایر افرادی است که پردازش دادههای شخصی را سازماندهی و/یا انجام میدهند، و همچنین اهداف پردازش دادههای شخصی، ترکیب دادههای شخصی برای پردازش، اقدامات (عملیات) انجام شده با دادههای شخصی را تعیین میکنند.
- وبسایت به معنای وبسایت رسمی اپراتور https://techatomstroy.ru/ است.
- پردازش دادههای شخصی به معنای هرگونه اقدام (عملیات) یا مجموعهای از اقدامات (عملیات) است که با یا بدون استفاده از ابزارهای اتوماسیون با دادههای شخصی انجام میشود، از جمله جمعآوری، ثبت، سیستماتیکسازی، انباشت، ذخیرهسازی، شفافسازی (بهروزرسانی، اصلاح)، استخراج، استفاده، انتقال (انتشار، ارائه، دسترسی)، ناشناسسازی، مسدود کردن، حذف و تخریب دادههای شخصی.
- پردازش خودکار دادههای شخصی به معنای پردازش دادههای شخصی با کمک رایانه است.
- انتشار دادههای شخصی به معنای اقداماتی است که با هدف افشای دادههای شخصی به عموم مردم انجام میشود.
- ارائه دادههای شخصی به معنای اقداماتی است که با هدف افشای دادههای شخصی به شخص خاص یا گروه خاصی از افراد انجام میشود.
- مسدود کردن دادههای شخصی به معنای خاتمه موقت پردازش دادههای شخصی است (به جز در مواردی که پردازش برای شفافسازی دادههای شخصی ضروری باشد). - تخریب دادههای شخصی به اقداماتی اطلاق میشود که منجر به عدم امکان بازیابی محتوای دادههای شخصی در سیستم اطلاعات دادههای شخصی میشود و/یا در نتیجه آن رسانههای ملموس حاوی دادههای شخصی از بین میروند.
- ناشناسسازی دادههای شخصی به اقداماتی اطلاق میشود که منجر به عدم امکان انتساب دادههای شخصی به یک موضوع خاص دادههای شخصی بدون اطلاعات اضافی میشود.
- سیستم اطلاعات دادههای شخصی به تجمیع دادههای شخصی موجود در پایگاههای داده دادههای شخصی و فناوریهای فناوری اطلاعات و ابزارهای فنی تضمین پردازش دادههای شخصی اطلاق میشود.
- انتقال دادههای شخصی فرامرزی به انتقال دادههای شخصی به یک حوزه قضایی خارجی، به مرجعی در آن، به یک شخص حقیقی خارجی یا به یک نهاد حقوقی خارجی اطلاق میشود.
- کاربر وبسایت اپراتور (کاربر) به شخصی اطلاق میشود که از طریق اینترنت و با استفاده از وبسایت اپراتور به وبسایت دسترسی دارد.
- آدرس IP به آدرس شبکه منحصر به فرد یک گره در یک شبکه رایانهای ساخته شده با استفاده از پروتکل IP اطلاق میشود.
1.2. این سیاست پردازش دادههای شخصی شرکت TekhAtomStroy LLC (که از این پس به عنوان سیاست نامیده میشود) مطابق با الزامات بند 2 بخش 1 ماده 18.1 قانون فدرال دادههای شخصی شماره 152-ФЗ مورخ 27.07.2006 (که از این پس به عنوان قانون دادههای شخصی نامیده میشود) تدوین شده است تا از حقوق و آزادیهای یک شخص و شهروند هنگام پردازش دادههای شخصی خود، از جمله حفاظت از حقوق حریم خصوصی، اسرار شخصی و خانوادگی، به ویژه به منظور محافظت در برابر دسترسی غیرمجاز و انتشار غیرقانونی دادههای شخصی پردازش شده در سیستمهای اطلاعاتی شرکت، اطمینان حاصل شود.
1.2. این سیاست در مورد تمام دادههای شخصی پردازش شده توسط شرکت اعمال میشود.
1.3. این سیاست در مورد روابطی در زمینه پردازش دادههای شخصی که قبل و بعد از تصویب این سیاست برای شرکت ایجاد شده است، اعمال میشود.
1.4. این سیاست در مورد تمام دادههای شخصی پردازش شده توسط شرکت با یا بدون استفاده از ابزارهای اتوماسیون اعمال میشود.
1.5. این خطمشی باید در وبسایت اپراتور در شبکه اطلاعات و ارتباطات اینترنتی به صورت عمومی منتشر شود.
1.6. حقوق و تعهدات اساسی اپراتور
1.6.1. اپراتور میتواند:
- به طور مستقل ترکیب و فهرست اقدامات لازم و کافی را برای اطمینان از انجام تعهدات مقرر در قانون دادههای شخصی و اقدامات قانونی نظارتی مصوب مطابق با آن، مگر اینکه قانون دادههای شخصی یا سایر قوانین فدرال خلاف آن را پیشبینی کرده باشد، تعیین کند.
- پردازش دادههای شخصی را با رضایت شخص موضوع دادههای شخصی، مگر اینکه قانون فدرال خلاف آن را پیشبینی کرده باشد، بر اساس توافقی که با این شخص منعقد شده است، به شخص دیگری واگذار کند. شخصی که دادههای شخصی را به نمایندگی از اپراتور پردازش میکند، باید اصول و قواعد پردازش دادههای شخصی مقرر در قانون دادههای شخصی را رعایت کند، محرمانگی دادههای شخصی را حفظ کند و اقدامات لازم را با هدف اطمینان از انجام تعهدات مقرر در قانون دادههای شخصی انجام دهد.
- در صورتی که شخص موضوع دادههای شخصی رضایت خود را برای پردازش دادههای شخصی پس بگیرد، اپراتور میتواند در صورت وجود دلایل مشخص شده در قانون دادههای شخصی، پردازش دادههای شخصی را بدون رضایت شخص موضوع دادههای شخصی ادامه دهد.
1.7.2. اپراتور باید:
- دادههای شخصی را بدون رضایت شخص موضوع دادههای شخصی برای اشخاص ثالث افشا یا منتشر نکند، مگر اینکه قانون فدرال خلاف آن را پیشبینی کرده باشد.
1.7.2. اپراتور باید:
- دادههای شخصی را بدون رضایت شخص موضوع دادههای شخصی افشا یا منتشر نکند، مگر اینکه قانون فدرال خلاف آن را پیشبینی کرده باشد. - پردازش دادههای شخصی را مطابق با الزامات قانون دادههای شخصی مدیریت کند.
به مرجع ذیصلاح مسئول حفاظت از حقوق صاحبان دادههای شخصی (Roskomnadzor) اطلاع دهد که قصد پردازش دادههای شخصی را دارد، به جز مواردی که در قانون دادههای شخصی پیشبینی شده است.
شخصی را برای مدیریت پردازش دادههای شخصی در شرکت منصوب کند.
به سوالات و درخواستهای صاحبان دادههای شخصی و نمایندگان قانونی آنها مطابق با الزامات قانون دادههای شخصی پاسخ دهد.
به درخواست Roskomnadzor، اطلاعات لازم را در مدت زمان تعیین شده در قانون دادههای شخصی ارائه دهد.
در صورت تشخیص پردازش غیرقانونی دادههای شخصی، ظرف مدت حداکثر سه روز کاری از تاریخ تشخیص، و همچنین در صورت درخواست صاحب دادههای شخصی مبنی بر توقف پردازش دادههای شخصی، ظرف مدت حداکثر ده روز کاری از تاریخ دریافت درخواست، پردازش دادههای شخصی را متوقف کند یا از توقف پردازش غیرقانونی دادههای شخصی توسط شخصی که به نمایندگی از اپراتور عمل میکند، اطمینان حاصل کند. - در صورت درخواست صاحب اطلاعات شخصی، پردازش اطلاعات شخصی او را در صورتی که با هدف تبلیغ کالاها، کارها، خدمات موجود در بازار و از طریق برقراری تماس مستقیم با مصرفکننده بالقوه با استفاده از ابزارهای ارتباطی انجام شود، فوراً متوقف کند.
- در صورت عدم امکان اطمینان از قانونی بودن پردازش اطلاعات شخصی، ظرف مدت حداکثر ده روز کاری از تاریخ تشخیص پردازش غیرقانونی اطلاعات شخصی، اطلاعات شخصی را نابود کند یا چنین تخریب اطلاعاتی را تضمین کند.
- در صورت درخواست صاحب اطلاعات شخصی، اطلاعات مربوط به پردازش اطلاعات شخصی خود را در اختیار او قرار دهد.
1.8. حقوق اصلی صاحبان اطلاعات شخصی.
1.8.1. صاحب اطلاعات شخصی میتواند:
- به جز مواردی که در قوانین فدرال پیشبینی شده است، اطلاعات مربوط به پردازش اطلاعات شخصی خود را دریافت کند.
- در صورت ناقص، قدیمی، نادرست، غیرقانونی به دست آمده یا برای هدف تعیین شده پردازش ضروری نیست، از اپراتور بخواهد اطلاعات شخصی او را شفافسازی کند، آنها را مسدود یا نابود کند، و همچنین اقدامات پیشبینی شده توسط قانون را برای محافظت از حقوق خود انجام دهد. - از اپراتور بخواهد که اطلاعات شخصی خود را شفافسازی کند، در صورتی که اطلاعات شخصی ناقص، قدیمی، نادرست، به صورت غیرقانونی به دست آمده یا برای هدف مشخص شده پردازش ضروری نباشد، آنها را مسدود یا نابود کند، و همچنین اقدامات پیشبینی شده توسط قانون را برای محافظت از حقوق خود انجام دهد؛
- رضایت اولیه خود را برای پردازش اطلاعات شخصی به منظور تبلیغ کالاها، کارها و خدمات در بازار اعلام کند.
- از اپراتور بخواهد که اطلاعات شخصی خود را شفافسازی کند، در صورتی که اطلاعات شخصی ناقص، قدیمی، نادرست، به صورت غیرقانونی به دست آمده یا برای هدف مشخص شده پردازش ضروری نباشد، آنها را مسدود یا نابود کند، و همچنین اقدامات پیشبینی شده توسط قانون را برای محافظت از حقوق خود انجام دهد؛
- از روسکومنادزور یا دادگاه علیه اعمال یا قصور غیرقانونی اپراتور هنگام پردازش اطلاعات شخصی خود شکایت کند.
1.9. رعایت الزامات این خطمشی توسط شخصی که مسئول مدیریت پردازش اطلاعات شخصی توسط اپراتور است، نظارت میشود.
۲. اهداف پردازش دادههای شخصی
۲.۱. پردازش دادههای شخصی باید محدود به دستیابی به اهداف خاص، از پیش تعیینشده و مشروع باشد. هیچ پردازش دادههای شخصی که با اهداف جمعآوری دادههای شخصی ناسازگار باشد، مجاز نخواهد بود.
۲.۲. اپراتور، دادههای شخصی را برای اهداف زیر پردازش خواهد کرد:
- رعایت قوانین و سایر اقدامات قانونی نظارتی فدراسیون روسیه، اسناد قانونی شرکت، مقررات محلی شرکت، قراردادها، توافقنامههای شرکت؛
- مدیریت پرسنل (حسابداری، مالیات، سوابق نظامی؛ ثبت و استخدام؛ تصمیمگیریهای مدیریتی و پرسنلی، کمک به آموزش و پیشرفت شغلی؛ نظارت بر انجام وظایف کاری؛ بررسی و حل اختلافات کارگری؛ محاسبه دستمزد و سایر توافقات با کارمندان؛ تکمیل و ارسال فرمهای گزارشدهی مورد نیاز به مراجع ذیصلاح، ترتیب ثبت نام فردی (شخصیسازی شده) کارمندان در سیستمهای بیمه بازنشستگی اجباری و بیمه اجتماعی اجباری)؛
- تضمین امنیت فعالیتهای شرکت (تضمین ایمنی اموال؛ تضمین کنترل دسترسی به قلمرو اپراتور)؛
- تهیه، اجرا و اجرای قراردادهای حقوق مدنی با مشتریان/طرفهای مقابل/ذینفعان شرکت؛
- استفاده از کوکیها برای اطمینان از عملکرد و امنیت وبسایت، بهبود کیفیت خدمات مشتری، محصولات و خدمات ارائه شده، و همچنین ارائه پیشنهادهای فردی؛ تضمین عملکرد وبسایت؛
- ارائه خدمات مشاورهای و اطلاعاتی، پشتیبانی مشتری به مشتریان/مشتریان بالقوه/ذینفعان تحت قراردادها؛
- تبلیغ کالاها، کارها و خدمات توسط شرکت؛
- مشارکت در دادرسیهای مدنی، اداری، دادرسی در دادگاههای داوری، رسیدگی به پروندههای تخلفات اداری؛
- اجرای حکم دادگاه، حکم مرجع یا مقام دیگری که مطابق با قوانین فدراسیون روسیه قابل اجرا باشد؛
- ایجاد حساب، سازماندهی مدیریت اسناد الکترونیکی و کار از راه دور؛
- رعایت الزامات قوانین شرکتی، از جمله، نگهداری فهرست اعضای شرکت، اطلاعرسانی به اعضای شرکت، تهیه و تنظیم صورتجلسه جلسات/تصمیم اعضای شرکت توسط تنها عضو؛
- پردازش درخواستها/فرمهای بازخورد از کاربران وبسایت برای دریافت کالا/خدمات از شرکت؛
- انجام تعهدات گارانتی تحت قراردادهای مشارکت در سهام/خرید و فروش املاک و مستغلات؛
- استفاده شرکت از پلتفرم دیجیتال برای مدیریت کسب و کار، همکاری کارکنان، مدیریت پرسنل و اتوماسیون فرآیند.
۳. مبانی قانونی برای پردازش دادههای شخصی
۳.۱. مبانی قانونی پردازش دادههای شخصی عبارتند از:
۳.۱.۱. مجموعهای از قوانین حقوقی نظارتی که اپراتور، مطابق با آنها و طبق آنها، دادههای شخصی را پردازش میکند، از جمله:
قانون اساسی فدراسیون روسیه؛
قانون مدنی فدراسیون روسیه؛
قانون کار فدراسیون روسیه؛
قانون مالیات فدراسیون روسیه؛
قانون فدرال شرکتهای با مسئولیت محدود شماره ۱۴-ФЗ مورخ ۰۸.۰۲.۱۹۹۸؛
قانون فدرال حسابداری شماره ۴۰۲-ФЗ مورخ ۰۶.۱۲.۲۰۱۱؛
قانون فدرال بیمه بازنشستگی اجباری در فدراسیون روسیه شماره ۱۶۷-ФЗ مورخ ۱۵.۱۲.۲۰۰۱؛
سایر قوانین حقوقی نظارتی حاکم بر روابط مربوط به فعالیتهای اپراتور.
۳.۱.۲. رضایت دادههای شخصی مشمول پردازش دادههای شخصی آنها؛
۳.۱.۳. اجرا و انجام وظایف، اختیارات و وظایفی که طبق قانون فدراسیون روسیه به اپراتور محول شده است؛
3.1.4. مشارکت در دادرسیهای قانون اساسی، مدنی، اداری، کیفری و دادرسی در دادگاههای داوری؛
3.1.5. اجرای حکم دادگاه، حکم مقام یا مقام دیگری که مطابق با قانون فدراسیون روسیه در مورد مراحل اجرای احکام قابل اجرا باشد؛
3.1.6. اجرای توافقی که موضوع دادههای شخصی طرف، ذینفع یا ضامن آن است، و همچنین برای اجرای توافقی به ابتکار موضوع دادههای شخصی یا توافقی که طبق آن موضوع دادههای شخصی ذینفع یا ضامن خواهد بود؛
3.1.7. اساسنامه شرکت.
4. دسته بندی دادههای شخصی پردازش شده، دسته بندی موضوعات دادههای شخصی
4.1. اپراتور دادههای شخصی موضوعات دادههای شخصی زیر را پردازش خواهد کرد:
4.1.1. افرادی که مشتری اپراتور هستند، بازدیدکنندگان وبسایت اپراتور در اینترنت، نمایندگان طرفهای قرارداد، مشتریان، ذینفعان تحت قرارداد؛
۴.۱.۲ افرادی که نماینده یا عضو طرفهای قرارداد اپراتور هستند؛
۴.۱.۳ کارمندان، کارمندان سابق (اخراج شده)، نامزدهای موقعیتهای خالی اپراتور (از این پس متقاضیان نامیده میشوند) و بستگان آنها؛
۴.۲ اپراتور اطلاعات شخصی زیر را که از بازدیدکنندگان وبسایت اپراتور دریافت میشود، پردازش خواهد کرد:
- نام خانوادگی، نام، نام میانی؛
- آدرس ایمیل؛
- شماره تلفنها؛
- سال، ماه، تاریخ و محل تولد؛
- آدرس IP؛
- کوکیها؛
- اطلاعات مربوط به دستگاه کاربر و مرورگر مورد استفاده؛
- اطلاعات مربوط به تعامل با وبسایت و خدمات اپراتور (منبع انتقال به وبسایت، صفحات مشاهده شده، تعامل با اشیاء و صفحات، پارامترهای جلسه، دادههای مربوط به زمان بازدید و غیره).
۴.۳ اطلاعات شخصی داوطلبان برای موقعیتهای خالی اپراتور، پردازش شده توسط اپراتور:
- نام خانوادگی، نام، نام پدر؛
- جنسیت؛
- ملیت؛
- تاریخ و محل تولد؛
- شماره تلفن؛
- آدرس ایمیل؛
- اطلاعات مربوط به تحصیلات، سابقه کار، مدارک تحصیلی؛
- تصویر (عکس)؛
- سایر اطلاعات شخصی ارائه شده توسط داوطلبان در رزومه و نامههای درخواست کار.
۴.۴. اطلاعات شخصی کارمندان، کارمندان سابق (اخراج شده) اپراتور، پردازش شده توسط اپراتور
- نام خانوادگی، نام، نام خانوادگی؛
- جنسیت؛
- ملیت؛
- تاریخ و محل تولد؛
- تصویر (عکس)؛
- جزئیات گذرنامه؛
- آدرس ثبت نام در محل سکونت؛
- آدرس واقعی محل سکونت؛
- شماره تلفن؛
- آدرس ایمیل؛
- شماره شناسایی مالیات دهنده؛
- شماره حساب بیمه شخصی (SNILS)؛
- اطلاعات مربوط به تحصیلات، مدارک تحصیلی، آموزش حرفه ای و آموزش پیشرفته؛
- وضعیت تأهل، وجود فرزندان، پیوندهای خانوادگی، ترکیب خانواده؛
- اطلاعات مربوط به فعالیت های کاری، از جمله وجود مشوق ها، جوایز و/یا مجازات های انضباطی؛
- اطلاعات ثبت ازدواج؛
- اطلاعات مربوط به ثبت نام نظامی؛
- اطلاعات مربوط به معلولیت؛
- اطلاعات مربوط به کسر نفقه؛
- اطلاعات مربوط به درآمد از محل کار قبلی؛
- شماره حساب تسویه حساب؛ - جزئیات گواهینامه رانندگی؛
- جزئیات بیمه نامه پزشکی اجباری؛
- جزئیات گواهی ثبت احوال؛
- سایر اطلاعات شخصی ارائه شده توسط کارمندان مطابق با الزامات قانون کار.
4.5. اطلاعات شخصی اعضای خانواده کارمندان اپراتور که توسط اپراتور پردازش میشوند:
- نام خانوادگی، نام، نام خانوادگی؛
- درجه خویشاوندی؛
- سال تولد؛
- سایر اطلاعات شخصی ارائه شده توسط کارمندان مطابق با الزامات قانون کار.
4.6. اطلاعات شخصی مشتریان، طرفهای قرارداد اپراتور (اشخاص حقیقی)، که توسط اپراتور پردازش میشوند:
- نام خانوادگی، نام، نام خانوادگی؛
- تاریخ و محل تولد؛
- جزئیات گذرنامه؛
- آدرس ثبت نام در محل سکونت؛
- شماره تلفن؛
- آدرس ایمیل؛
- سمت مورد درخواست؛
- شماره شناسایی مالیات دهنده؛
- شماره حساب تسویه حساب؛
- SNILS؛
- ملیت؛
- اطلاعات کارت بانکی؛
- سایر اطلاعات شخصی ارائه شده توسط مشتریان و طرفهای مقابل (اشخاص حقیقی) که برای اجرا و اجرای قراردادها ضروری است.
۴.۷. اطلاعات شخصی نمایندگان (کارمندان) مشتریان و طرفهای مقابل اپراتور (اشخاص حقوقی):
- نام خانوادگی، نام، نام میانی؛
- اطلاعات گذرنامه؛
- شماره تلفن؛
- آدرس ایمیل؛
- سمت مورد درخواست؛
- سایر اطلاعات شخصی ارائه شده توسط نمایندگان (کارمندان) مشتریان و طرفهای مقابل، که برای اجرا و اجرای قراردادهای حقوق مدنی ضروری است.
۵. رویه و شرایط پردازش دادههای شخصی
۵.۱. دادههای شخصی یک شخص دارای دادههای شخصی باید برای مدت زمان لازم برای اهداف مشخص شده در سیاست، از طریق هر وسیله قانونی، از جمله، در سیستم اطلاعات دادههای شخصی، با یا بدون استفاده از ابزارهای اتوماسیون پردازش شوند.
۵.۲. محتوا و دامنه دادههای شخصی پردازش شده توسط اهداف پردازش، همانطور که در بخش ۲ سیاست آمده است، تعیین میشود و در رضایت داده شخصی که موضوع پردازش دادههای شخصی است، مشخص شده است، به جز مواردی که دادههای شخصی بدون اخذ چنین رضایتی قابل پردازش باشند.
۵.۳. با ارائه اطلاعات شخصی خود به اپراتور، شخص موضوع اطلاعات شخصی اذعان میکند که این خطمشی را خوانده و موافقت میکند که اپراتور حق پردازش اطلاعات شخصی را دارد، یعنی با جمعآوری، ثبت، سیستمسازی، انباشت، ذخیرهسازی، شفافسازی (بهروزرسانی، اصلاح)، استخراج، استفاده، انتقال (ارائه، دسترسی)، شخصیسازیزدایی، مسدود کردن، حذف، تخریب، از جمله حق انتقال اطلاعات شخصی به اشخاص ثالث، به ویژه پیمانکارانی که به وبسایت اپراتور یا برنامه تلفن همراه اپراتور خدمات ارائه میدهند، مؤسسات اعتباری، سایر اشخاص حقوقی و افرادی که به اپراتور خدمات بازاریابی و سایر خدمات ارائه میدهند، از جمله به منظور ارائه تورها و برگزاری سایر رویدادها، موافقت میکند.
5.4. اپراتور میتواند اطلاعات شخصی یک موضوع اطلاعات شخصی را به دلایل و به روشی که قانون قابل اجرا فدراسیون روسیه تعیین کرده است، به مراجع تحقیق و تفحص و سایر سازمانهای مجاز منتقل کند.
5.5. پردازش اطلاعات شخصی به شرح زیر انجام میشود:
5.5.1. دریافت اصل و کپی اسناد ارائه شده توسط شخص موضوع اطلاعات شخصی؛
5.5.2. جمعآوری دادههای شخصی هنگام نگهداری سوابق پرسنلی؛
5.5.3. دریافت اطلاعات حاوی دادههای شخصی به صورت شفاهی، کتبی، از طریق پست، ایمیل، پیام تلفنی یا از طریق تلفن مستقیم از شخص صاحب دادههای شخصی؛
5.5.4. دریافت دادههای شخصی از منابع عمومی؛
5.5.5. ثبت دادههای شخصی در دفاتر، دفاتر ثبت و سایر فرمهای حسابداری؛
5.5.6. وارد کردن دادههای شخصی به سیستمهای اطلاعاتی شرکت؛
5.5.7. استفاده از سایر ابزارها و روشهای ثبت دادههای شخصی دریافت شده توسط شرکت در جریان فعالیتهای خود.
5.6. شرکت حق دارد پردازش دادههای شخصی را به هر شخص دیگری طبق توافقنامه منعقد شده با آن شخص واگذار کند. شخصی که دادههای شخصی را به نمایندگی از شرکت پردازش میکند، باید اصول و قوانین پردازش دادههای شخصی، الزامات حفاظت از دادههای شخصی پردازش شده را رعایت کند، محرمانگی دادههای شخصی را حفظ کند و اقدامات لازم را برای اطمینان از انجام تعهدات مقرر در قانون دادههای شخصی انجام دهد. ترکیب واقعی اشخاص ثالثی که توسط شرکت برای پردازش دادههای شخصی استخدام شدهاند، مطابق با مفاد قانون فدراسیون روسیه، توافقنامههای بین شرکت و موضوع دادههای شخصی، رضایت (یا رضایتهای) دادههای شخصی مشمول پردازش دادههای شخصی، توافقنامههای بین شرکت و طرف مقابل که اپراتور دادههای شخصی است، تعیین میشود.
5.7. اپراتور نباید دادههای شخصی بیومتریک موضوع دادههای شخصی را پردازش کند و نباید انتقال فرامرزی دادههای شخصی را انجام دهد.
5.8. بدون رضایت کتبی موضوع دادههای شخصی، شرکت نباید دادههای شخصی را به اشخاص ثالث افشا یا منتشر کند، مگر اینکه قانون فدرال خلاف آن را تصریح کرده باشد. رضایت به پردازش دادههای شخصی مجاز برای انتشار توسط موضوع دادههای شخصی باید جداگانه از سایر رضایتهای دادههای شخصی مشمول پردازش دادههای شخصی آنها صادر شود.
الزامات مربوط به محتوای رضایت به پردازش دادههای شخصی مجاز توسط موضوع دادههای شخصی برای انتشار، توسط دستور شماره 18 روسکومنادزور مورخ 24.02.2021 تصویب میشود.
5.9. به منظور حفاظت از دادههای شخصی در شرکت، افراد زیر به دستور مدیر کل تأیید میشوند:
انتصاب کارمندی که مسئول مدیریت پردازش دادههای شخصی است؛
فرم رضایت برای پردازش دادههای شخصی، فرم رضایت برای پردازش دادههای شخصی که توسط صاحب دادههای شخصی برای انتشار مجاز است؛
سایر مقررات محلی که مطابق با الزامات قانون دادههای شخصی تصویب شدهاند.
5.10. کارمندانی که سمتهایی دارند که مستلزم پردازش دادههای شخصی است، پس از امضای توافقنامه عدم افشا، مجاز به انجام این کار خواهند بود.
5.11. شرکت باید از نرمافزار آنتیویروس معتبر با پایگاههای دادهای که مرتباً بهروزرسانی میشوند، استفاده کند.
۵.۱۲. شرح وظایف کارمندان شرکت که دادههای شخصی را پردازش میکنند، به ویژه شامل مقرراتی در مورد لزوم گزارش هرگونه دسترسی غیرمجاز به دادههای شخصی خواهد بود.
۵.۱۳. شرکت مکانهای ذخیرهسازی برای حاملهای دادههای شخصی فیزیکی (از جمله قابل خواندن توسط ماشین) را تعریف کرده است که تضمینکننده ثبت و ایمنی حاملهای دادههای شخصی، حذف دسترسی غیرمجاز به حاملهای دادههای شخصی و همچنین ذخیرهسازی جداگانه دادههای شخصی (حاملهای فیزیکی) است که برای اهداف مختلف پردازش میشوند.
۵.۱۴. با پر کردن و ارسال فرم (بازخورد، که از این پس به عنوان فرم نامیده میشود)، که در آن دادههای شخصی در وبسایت اپراتور وارد شده است، به اپراتور، شخص صاحب دادههای شخصی تأیید میکند که:
اطلاعات موثقی در مورد خود ارائه میدهد، تمام اطلاعات دیگر توسط شخص صاحب دادههای شخصی به صلاحدید خود ارائه میشود.
سیاست را خوانده و موافقت میکند که اپراتور حق پردازش دادههای شخصی، از جمله انتقال دادههای شخصی به اشخاص ثالث را دارد.
به رسمیت شناختن اعتبار قانونی نامهها/اسناد الکترونیکی ارسال شده توسط اپراتور از طریق ایمیل. منحصراً حق و توانایی دسترسی به حساب ایمیل و/یا دستگاه رادیوتلفن همراه با آدرس و/یا شماره مشخص شده در فرم را دارند. این دسترسی توسط شخص صاحب اطلاعات شخصی با استفاده از رمز عبور محرمانه انجام میشود.
5.15. اپراتور اقدامات لازم و کافی را برای اطمینان از انجام تعهدات مقرر در قانون دادههای شخصی و اقدامات قانونی نظارتی اتخاذ شده مطابق با آن انجام خواهد داد.
5.16. هنگام پردازش دادههای شخصی، اپراتور اقدامات قانونی، سازمانی و فنی لازم را برای محافظت از دادههای شخصی در برابر دسترسی غیرمجاز یا تصادفی، تخریب، اصلاح، مسدود کردن، کپی کردن، ارائه، انتشار دادههای شخصی و همچنین سایر اقدامات غیرقانونی در رابطه با دادههای شخصی انجام خواهد داد.
5.17. امنیت دادههای شخصی در شرکت از طریق موارد زیر حاصل میشود:
1) شناسایی تهدیدات مربوط به امنیت دادههای شخصی در حین پردازش از طریق سیستمهای اطلاعات دادههای شخصی؛ ۲) اعمال اقدامات سازمانی و فنی برای تضمین امنیت دادههای شخصی در حین پردازش از طریق سیستمهای اطلاعات دادههای شخصی به منظور رعایت الزامات حفاظت از دادههای شخصی که سطوح حفاظت از دادههای شخصی تعیینشده توسط دولت فدراسیون روسیه را تضمین میکنند؛
۳) اعمال ابزارهای حفاظت از اطلاعات که رویه ارزیابی انطباق را به روش مقرر گذراندهاند؛
۴) ارزیابی اثربخشی تلاشهای انجامشده برای تضمین امنیت دادههای شخصی قبل از راهاندازی سیستم اطلاعات دادههای شخصی؛
۵) حسابداری رسانههای حامل دادههای شخصی؛
۶) تشخیص موارد دسترسی غیرمجاز به دادههای شخصی و انجام اقدامات، از جمله برای شناسایی، جلوگیری و از بین بردن پیامدهای حملات رایانهای به سیستمهای اطلاعات دادههای شخصی و پاسخگویی به حوادث رایانهای در آنها؛
۷) بازیابی دادههای شخصی اصلاحشده یا تخریبشده به دلیل دسترسی غیرمجاز به آنها؛
۸) ایجاد قوانین دسترسی به دادههای شخصی پردازششده از طریق سیستم اطلاعات دادههای شخصی و همچنین تضمین ثبت و حسابداری کلیه اقدامات انجامشده با دادههای شخصی از طریق سیستم اطلاعات دادههای شخصی؛
۹) کنترل تلاشهای انجامشده برای تضمین امنیت دادههای شخصی و سطح امنیت سیستمهای اطلاعات دادههای شخصی؛
۵.۱۸. اپراتور به منظور اجرای کنترل داخلی بر انطباق پردازش دادههای شخصی با قانون دادههای شخصی و اقدامات قانونی نظارتی مصوب مطابق با آن، بازرسیهای دورهای را تنظیم کرده است.
۵.۱۹. اپراتور آسیبی را که ممکن است در صورت نقض قانون دادههای شخصی به صاحبان دادههای شخصی وارد شود، ارزیابی کرده است.
۵.۲۰. سیاست کوکی
۵.۲۰.۱. انواع کوکیهای زیر ممکن است در وبسایتهای شرکت استفاده شوند:
۵.۲۰.۲. فنی: کاملاً ضروری برای عملکرد صحیح و نمایش وبسایت در دستگاه کاربر؛
۵.۲۰.۳. آماری (تحلیلی): به شرکت اجازه میدهد تعداد بازدیدهای وبسایت، صفحات جداگانه وبسایت و سایر آمارها را بشمارد؛
۵.۲۰.۴. عملکردی: تسهیل استفاده از وبسایت با به خاطر سپردن تنظیمات برگزیده کاربر (زبان، مکان، رمز عبور و غیره)؛
۵.۲۰.۵. تبلیغاتی: به وبسایت اجازه میدهد تبلیغاتی را که ممکن است مورد علاقه کاربر باشد نمایش دهد؛
۵.۲۰.۶. سایر - کوکیهایی که در این لیست ذکر نشدهاند.
۵.۲۰.۷. مدت زمان ذخیره کوکیها ممکن است بسته به نوع آنها متفاوت باشد، اما در هر صورت به مدت زمان لازم برای دستیابی به هدف استفاده از یک کوکی خاص محدود میشود.
5.20.8. شرکت نباید از کوکیها برای موارد زیر استفاده کند:
5.20.9. تعیین مستقیم یا غیرمستقیم اشخاص دارای اطلاعات شخصی با استفاده از اطلاعات فنی یا سایر دادهها؛
5.20.10. مقایسه، ترکیب (پیوند دادن) اطلاعات کوکیها با سایر اطلاعات موجود.
5.20.11. هنگامی که کاربر برای اولین بار به وبسایت دسترسی پیدا میکند، باید از پردازش کوکیها مطلع شود. از او خواسته میشود که رضایت خود را برای چنین پردازشی ابراز کند یا با تغییر تنظیمات مرورگر خود از آن امتناع ورزد.
5.21. اپراتور باید دادههای شخصی را به شکلی نگهداری کند که امکان شناسایی اشخاص دارای اطلاعات شخصی را برای مدت زمانی که برای اهداف پردازش دادههای شخصی لازم است، فراهم کند، مگر اینکه مدت زمان ذخیره اطلاعات توسط قانون فدرال، توافقی که اشخاص دارای اطلاعات شخصی طرف، ذینفع یا ضامن آن هستند، تعیین شده باشد. اطلاعات پردازش شده پس از دستیابی به اهداف پردازش یا در صورت از بین رفتن نیاز به دستیابی به این اهداف، در معرض تخریب یا ناشناس شدن قرار میگیرند، مگر اینکه قانون طور دیگری مقرر کرده باشد.
5.22. هنگام جمعآوری دادههای شخصی، از جمله، از طریق شبکه اطلاعات و ارتباطات اینترنتی، اپراتور موظف است ضبط، سیستمسازی، جمعآوری، ذخیرهسازی، شفافسازی (بهروزرسانی، اصلاح) و استخراج دادههای شخصی اتباع فدراسیون روسیه را با استفاده از پایگاههای داده واقع در قلمرو فدراسیون روسیه، به جز مواردی که در قانون دادههای شخصی مشخص شده است، تضمین کند.
5.23. دادههای شخصی به صورت چاپی برای دورههای نگهداری اسنادی که این دورهها توسط قانون فعالیتهای بایگانی در فدراسیون روسیه تعیین شدهاند، در شرکت ذخیره میشوند (قانون فدرال «درباره فعالیتهای بایگانی در فدراسیون روسیه» شماره 125-ФЗ مورخ 22.10.2004، فهرست اسناد بایگانی مدیریت استاندارد تولید شده در جریان فعالیتهای مقامات ایالتی، دولتهای محلی و سازمانها، با ذکر دورههای نگهداری آنها، مصوب دستور Rosarchive شماره 236 مورخ 20.12.2019).
۶. حذف، تخریب دادههای شخصی، پاسخ به درخواستهای افراد برای دسترسی به دادههای شخصی
۶.۱. به منظور رعایت حقوق و منافع مشروع افراد دارای دادههای شخصی، شرکت درخواستها و درخواستهای آنها را دریافت و پردازش میکند و همچنین بر پشتیبانی از چنین دریافت و پردازشی نظارت خواهد داشت.
۶.۲. تأیید واقعیت پردازش دادههای شخصی توسط اپراتور، مبانی و اهداف قانونی پردازش دادههای شخصی و همچنین سایر اطلاعات مشخص شده در بخش ۷ ماده ۱۴ قانون دادههای شخصی، توسط اپراتور ظرف ۱۰ روز کاری از تاریخ درخواست یا دریافت درخواست از فرد دارای دادههای شخصی یا نماینده او به فرد دارای دادههای شخصی یا نماینده او ارائه میشود. این مدت میتواند تمدید شود، اما حداکثر تا پنج روز کاری. برای این منظور، اپراتور باید یک اطلاعیه مستدل به فرد دارای دادههای شخصی ارسال کند که دلایل تمدید مهلت ارائه اطلاعات درخواستی را نشان دهد.
۶.۳. اطلاعات ارائه شده شامل اطلاعات شخصی مربوط به سایر اشخاص ثالث نخواهد بود، مگر در مواردی که دلایل قانونی برای افشای چنین اطلاعات شخصی وجود داشته باشد.
6.4. درخواست شخص ثالث میتواند به صورت یک سند الکترونیکی ارسال و با امضای الکترونیکی مطابق با قوانین فدراسیون روسیه امضا شود و شامل موارد زیر باشد:
• شماره سند اصلی که هویت شخص ثالث یا نماینده او را تأیید میکند، اطلاعات مربوط به تاریخ صدور سند مشخص شده و مرجع صادرکننده؛
• اطلاعاتی که مشارکت شخص ثالث در روابط با اپراتور را تأیید میکند (شماره قرارداد، تاریخ قرارداد، نام مستعار و/یا سایر اطلاعات)، یا اطلاعاتی که به طور دیگری واقعیت پردازش اطلاعات شخصی توسط اپراتور را تأیید میکند.
6.5. اپراتور باید اطلاعات مشخص شده در قانون اطلاعات شخصی را به شخص ثالث یا نماینده او به شکلی که درخواست یا درخواست مربوطه ارسال شده است، ارائه دهد، مگر اینکه در درخواست یا درخواست خلاف آن ذکر شده باشد.
6.6. اگر درخواست (درخواست) شخص موضوع دادههای شخصی شامل تمام اطلاعات لازم مطابق با الزامات قانون دادههای شخصی نباشد یا شخص حق دسترسی به اطلاعات درخواستی را نداشته باشد، باید یک پاسخ رد منطقی برای او ارسال شود.
6.7. حق دسترسی شخص موضوع دادههای شخصی به دادههای شخصی خود، از جمله در صورتی که دسترسی شخص موضوع دادههای شخصی به دادههای شخصی خود، حقوق و منافع مشروع اشخاص ثالث را نقض کند، ممکن است مطابق با قانون دادههای شخصی محدود شود.
۶.۸. در صورتی که دادههای شخصی نادرستی پس از استعلام از شخص یا نماینده او یا به درخواست او یا به درخواست روسکومنادزور شناسایی شود، اپراتور از لحظه استعلام یا دریافت درخواست مشخص شده برای دوره تأیید، دادههای شخصی مربوط به این شخص را مسدود خواهد کرد، مگر اینکه مسدود کردن دادههای شخصی، حقوق و منافع مشروع شخص یا اشخاص ثالث را نقض کند.
در صورت تأیید عدم صحت دادههای شخصی، اپراتور بر اساس اطلاعات ارائه شده توسط شخص یا نماینده او یا روسکومنادزور یا سایر اسناد لازم، ظرف هفت روز کاری از تاریخ ارائه چنین اطلاعاتی، دادههای شخصی را روشن کرده و مسدود کردن دادههای شخصی را لغو خواهد کرد.
۶.۹. در صورت تشخیص پردازش غیرقانونی دادههای شخصی پس از استعلام (درخواست) از شخص یا نماینده او یا روسکومنادزور، اپراتور دادههای شخصی پردازش شده غیرقانونی مربوط به این شخص را از لحظه دریافت چنین استعلام یا درخواستی مسدود خواهد کرد.
۶.۱۰. شرایط تخریب دادههای شخصی توسط اپراتور:
• دستیابی به هدف پردازش دادههای شخصی یا از دست دادن نیاز به دستیابی به این هدف؛
• دستیابی به حداکثر مدت زمان نگهداری اسناد حاوی دادههای شخصی؛
• ارائه تأیید توسط شخص صاحب دادههای شخصی (نماینده او) مبنی بر اینکه دادههای شخصی به صورت غیرقانونی به دست آمدهاند یا برای هدف تعیینشده پردازش ضروری نیستند؛
• انصراف شخص صاحب دادههای شخصی از رضایت برای پردازش دادههای شخصی خود، در صورتی که دیگر نیازی به ذخیره آنها برای پردازش نباشد، ظرف 30 روز.
6.10. پس از دستیابی به هدف پردازش دادههای شخصی، و همچنین در صورت انصراف شخص صاحب دادههای شخصی از رضایت برای پردازش آنها، دادههای شخصی در صورت موارد زیر تخریب میشوند:
• مگر اینکه در توافقی که شخص صاحب دادههای شخصی طرف، ذینفع یا ضامن آن است، طور دیگری پیشبینی شده باشد؛
• اپراتور حق ندارد دادهها را بدون رضایت شخص صاحب دادههای شخصی به دلایل مقرر در قانون دادههای شخصی یا سایر قوانین فدرال پردازش کند؛
• مگر اینکه در توافق دیگری بین اپراتور و شخص موضوع دادههای شخصی تصریح شده باشد.
6.11. اگر نابودی دادههای شخصی در مدت زمان تعیین شده توسط قانون دادههای شخصی غیرممکن باشد، اپراتور باید چنین دادههای شخصی را مسدود کند یا مسدود کردن آنها را تضمین کند (اگر پردازش دادههای شخصی توسط شخص دیگری که به دستور اپراتور عمل میکند انجام شود) و نابودی دادههای شخصی را در مدت زمانی که بیش از شش ماه نباشد، تضمین کند، مگر اینکه مدت زمان دیگری توسط قوانین فدرال تعیین شده باشد.
6.12. نابودی دادههای شخصی باید توسط اسنادی که توسط دستور Roskomnadzor در مورد الزامات تأیید نابودی دادههای شخصی شماره 179 مورخ 28.10.2022 تأیید شده است، تأیید شود.
7. مسئولیت نقض قوانین حاکم بر پردازش دادههای شخصی
7.1. اشخاصی که در هنگام پردازش دادههای شخصی، مفاد قانون فدراسیون روسیه در زمینه دادههای شخصی را نقض کنند، به نحوی که در قانون کار فدراسیون روسیه و سایر قوانین فدرال پیشبینی شده است، مشمول مسئولیت انضباطی و مادی و همچنین به نحوی که در قوانین فدرال پیشبینی شده است، مشمول مسئولیت اداری، مدنی یا کیفری خواهند بود.
7.2. خسارت معنوی وارده به یک شخص دارای دادههای شخصی در نتیجه نقض حقوق آنها، نقض قوانین پردازش دادههای شخصی و همچنین عدم رعایت الزامات حفاظت از آنها که در قانون دادههای شخصی پیشبینی شده است، مطابق با قوانین فدراسیون روسیه جبران میشود. خسارت معنوی صرف نظر از اینکه خسارت مالی و زیانهای وارده به شخص دارای دادههای شخصی جبران شده باشد یا خیر، مشمول جبران خواهد بود.
۵.۱. دادههای شخصی یک شخص دارای دادههای شخصی باید برای مدت زمان لازم برای اهداف مشخص شده در سیاست، از طریق هر وسیله قانونی، از جمله، در سیستم اطلاعات دادههای شخصی، با یا بدون استفاده از ابزارهای اتوماسیون پردازش شوند.
۵.۲. محتوا و دامنه دادههای شخصی پردازش شده توسط اهداف پردازش، همانطور که در بخش ۲ سیاست آمده است، تعیین میشود و در رضایت داده شخصی که موضوع پردازش دادههای شخصی است، مشخص شده است، به جز مواردی که دادههای شخصی بدون اخذ چنین رضایتی قابل پردازش باشند.
۵.۳. با ارائه اطلاعات شخصی خود به اپراتور، شخص موضوع اطلاعات شخصی اذعان میکند که این خطمشی را خوانده و موافقت میکند که اپراتور حق پردازش اطلاعات شخصی را دارد، یعنی با جمعآوری، ثبت، سیستمسازی، انباشت، ذخیرهسازی، شفافسازی (بهروزرسانی، اصلاح)، استخراج، استفاده، انتقال (ارائه، دسترسی)، شخصیسازیزدایی، مسدود کردن، حذف، تخریب، از جمله حق انتقال اطلاعات شخصی به اشخاص ثالث، به ویژه پیمانکارانی که به وبسایت اپراتور یا برنامه تلفن همراه اپراتور خدمات ارائه میدهند، مؤسسات اعتباری، سایر اشخاص حقوقی و افرادی که به اپراتور خدمات بازاریابی و سایر خدمات ارائه میدهند، از جمله به منظور ارائه تورها و برگزاری سایر رویدادها، موافقت میکند.
5.4. اپراتور میتواند اطلاعات شخصی یک موضوع اطلاعات شخصی را به دلایل و به روشی که قانون قابل اجرا فدراسیون روسیه تعیین کرده است، به مراجع تحقیق و تفحص و سایر سازمانهای مجاز منتقل کند.
5.5. پردازش اطلاعات شخصی به شرح زیر انجام میشود:
5.5.1. دریافت اصل و کپی اسناد ارائه شده توسط شخص موضوع اطلاعات شخصی؛
5.5.2. جمعآوری دادههای شخصی هنگام نگهداری سوابق پرسنلی؛
5.5.3. دریافت اطلاعات حاوی دادههای شخصی به صورت شفاهی، کتبی، از طریق پست، ایمیل، پیام تلفنی یا از طریق تلفن مستقیم از شخص صاحب دادههای شخصی؛
5.5.4. دریافت دادههای شخصی از منابع عمومی؛
5.5.5. ثبت دادههای شخصی در دفاتر، دفاتر ثبت و سایر فرمهای حسابداری؛
5.5.6. وارد کردن دادههای شخصی به سیستمهای اطلاعاتی شرکت؛
5.5.7. استفاده از سایر ابزارها و روشهای ثبت دادههای شخصی دریافت شده توسط شرکت در جریان فعالیتهای خود.
5.6. شرکت حق دارد پردازش دادههای شخصی را به هر شخص دیگری طبق توافقنامه منعقد شده با آن شخص واگذار کند. شخصی که دادههای شخصی را به نمایندگی از شرکت پردازش میکند، باید اصول و قوانین پردازش دادههای شخصی، الزامات حفاظت از دادههای شخصی پردازش شده را رعایت کند، محرمانگی دادههای شخصی را حفظ کند و اقدامات لازم را برای اطمینان از انجام تعهدات مقرر در قانون دادههای شخصی انجام دهد. ترکیب واقعی اشخاص ثالثی که توسط شرکت برای پردازش دادههای شخصی استخدام شدهاند، مطابق با مفاد قانون فدراسیون روسیه، توافقنامههای بین شرکت و موضوع دادههای شخصی، رضایت (یا رضایتهای) دادههای شخصی مشمول پردازش دادههای شخصی، توافقنامههای بین شرکت و طرف مقابل که اپراتور دادههای شخصی است، تعیین میشود.
5.7. اپراتور نباید دادههای شخصی بیومتریک موضوع دادههای شخصی را پردازش کند و نباید انتقال فرامرزی دادههای شخصی را انجام دهد.
5.8. بدون رضایت کتبی موضوع دادههای شخصی، شرکت نباید دادههای شخصی را به اشخاص ثالث افشا یا منتشر کند، مگر اینکه قانون فدرال خلاف آن را تصریح کرده باشد. رضایت به پردازش دادههای شخصی مجاز برای انتشار توسط موضوع دادههای شخصی باید جداگانه از سایر رضایتهای دادههای شخصی مشمول پردازش دادههای شخصی آنها صادر شود.
الزامات مربوط به محتوای رضایت به پردازش دادههای شخصی مجاز توسط موضوع دادههای شخصی برای انتشار، توسط دستور شماره 18 روسکومنادزور مورخ 24.02.2021 تصویب میشود.
5.9. به منظور حفاظت از دادههای شخصی در شرکت، افراد زیر به دستور مدیر کل تأیید میشوند:
انتصاب کارمندی که مسئول مدیریت پردازش دادههای شخصی است؛
فرم رضایت برای پردازش دادههای شخصی، فرم رضایت برای پردازش دادههای شخصی که توسط صاحب دادههای شخصی برای انتشار مجاز است؛
سایر مقررات محلی که مطابق با الزامات قانون دادههای شخصی تصویب شدهاند.
5.10. کارمندانی که سمتهایی دارند که مستلزم پردازش دادههای شخصی است، پس از امضای توافقنامه عدم افشا، مجاز به انجام این کار خواهند بود.
5.11. شرکت باید از نرمافزار آنتیویروس معتبر با پایگاههای دادهای که مرتباً بهروزرسانی میشوند، استفاده کند.
۵.۱۲. شرح وظایف کارمندان شرکت که دادههای شخصی را پردازش میکنند، به ویژه شامل مقرراتی در مورد لزوم گزارش هرگونه دسترسی غیرمجاز به دادههای شخصی خواهد بود.
۵.۱۳. شرکت مکانهای ذخیرهسازی برای حاملهای دادههای شخصی فیزیکی (از جمله قابل خواندن توسط ماشین) را تعریف کرده است که تضمینکننده ثبت و ایمنی حاملهای دادههای شخصی، حذف دسترسی غیرمجاز به حاملهای دادههای شخصی و همچنین ذخیرهسازی جداگانه دادههای شخصی (حاملهای فیزیکی) است که برای اهداف مختلف پردازش میشوند.
۵.۱۴. با پر کردن و ارسال فرم (بازخورد، که از این پس به عنوان فرم نامیده میشود)، که در آن دادههای شخصی در وبسایت اپراتور وارد شده است، به اپراتور، شخص صاحب دادههای شخصی تأیید میکند که:
اطلاعات موثقی در مورد خود ارائه میدهد، تمام اطلاعات دیگر توسط شخص صاحب دادههای شخصی به صلاحدید خود ارائه میشود.
سیاست را خوانده و موافقت میکند که اپراتور حق پردازش دادههای شخصی، از جمله انتقال دادههای شخصی به اشخاص ثالث را دارد.
به رسمیت شناختن اعتبار قانونی نامهها/اسناد الکترونیکی ارسال شده توسط اپراتور از طریق ایمیل. منحصراً حق و توانایی دسترسی به حساب ایمیل و/یا دستگاه رادیوتلفن همراه با آدرس و/یا شماره مشخص شده در فرم را دارند. این دسترسی توسط شخص صاحب اطلاعات شخصی با استفاده از رمز عبور محرمانه انجام میشود.
5.15. اپراتور اقدامات لازم و کافی را برای اطمینان از انجام تعهدات مقرر در قانون دادههای شخصی و اقدامات قانونی نظارتی اتخاذ شده مطابق با آن انجام خواهد داد.
5.16. هنگام پردازش دادههای شخصی، اپراتور اقدامات قانونی، سازمانی و فنی لازم را برای محافظت از دادههای شخصی در برابر دسترسی غیرمجاز یا تصادفی، تخریب، اصلاح، مسدود کردن، کپی کردن، ارائه، انتشار دادههای شخصی و همچنین سایر اقدامات غیرقانونی در رابطه با دادههای شخصی انجام خواهد داد.
5.17. امنیت دادههای شخصی در شرکت از طریق موارد زیر حاصل میشود:
1) شناسایی تهدیدات مربوط به امنیت دادههای شخصی در حین پردازش از طریق سیستمهای اطلاعات دادههای شخصی؛ ۲) اعمال اقدامات سازمانی و فنی برای تضمین امنیت دادههای شخصی در حین پردازش از طریق سیستمهای اطلاعات دادههای شخصی به منظور رعایت الزامات حفاظت از دادههای شخصی که سطوح حفاظت از دادههای شخصی تعیینشده توسط دولت فدراسیون روسیه را تضمین میکنند؛
۳) اعمال ابزارهای حفاظت از اطلاعات که رویه ارزیابی انطباق را به روش مقرر گذراندهاند؛
۴) ارزیابی اثربخشی تلاشهای انجامشده برای تضمین امنیت دادههای شخصی قبل از راهاندازی سیستم اطلاعات دادههای شخصی؛
۵) حسابداری رسانههای حامل دادههای شخصی؛
۶) تشخیص موارد دسترسی غیرمجاز به دادههای شخصی و انجام اقدامات، از جمله برای شناسایی، جلوگیری و از بین بردن پیامدهای حملات رایانهای به سیستمهای اطلاعات دادههای شخصی و پاسخگویی به حوادث رایانهای در آنها؛
۷) بازیابی دادههای شخصی اصلاحشده یا تخریبشده به دلیل دسترسی غیرمجاز به آنها؛
۸) ایجاد قوانین دسترسی به دادههای شخصی پردازششده از طریق سیستم اطلاعات دادههای شخصی و همچنین تضمین ثبت و حسابداری کلیه اقدامات انجامشده با دادههای شخصی از طریق سیستم اطلاعات دادههای شخصی؛
۹) کنترل تلاشهای انجامشده برای تضمین امنیت دادههای شخصی و سطح امنیت سیستمهای اطلاعات دادههای شخصی؛
۵.۱۸. اپراتور به منظور اجرای کنترل داخلی بر انطباق پردازش دادههای شخصی با قانون دادههای شخصی و اقدامات قانونی نظارتی مصوب مطابق با آن، بازرسیهای دورهای را تنظیم کرده است.
۵.۱۹. اپراتور آسیبی را که ممکن است در صورت نقض قانون دادههای شخصی به صاحبان دادههای شخصی وارد شود، ارزیابی کرده است.
۵.۲۰. سیاست کوکی
۵.۲۰.۱. انواع کوکیهای زیر ممکن است در وبسایتهای شرکت استفاده شوند:
۵.۲۰.۲. فنی: کاملاً ضروری برای عملکرد صحیح و نمایش وبسایت در دستگاه کاربر؛
۵.۲۰.۳. آماری (تحلیلی): به شرکت اجازه میدهد تعداد بازدیدهای وبسایت، صفحات جداگانه وبسایت و سایر آمارها را بشمارد؛
۵.۲۰.۴. عملکردی: تسهیل استفاده از وبسایت با به خاطر سپردن تنظیمات برگزیده کاربر (زبان، مکان، رمز عبور و غیره)؛
۵.۲۰.۵. تبلیغاتی: به وبسایت اجازه میدهد تبلیغاتی را که ممکن است مورد علاقه کاربر باشد نمایش دهد؛
۵.۲۰.۶. سایر - کوکیهایی که در این لیست ذکر نشدهاند.
۵.۲۰.۷. مدت زمان ذخیره کوکیها ممکن است بسته به نوع آنها متفاوت باشد، اما در هر صورت به مدت زمان لازم برای دستیابی به هدف استفاده از یک کوکی خاص محدود میشود.
5.20.8. شرکت نباید از کوکیها برای موارد زیر استفاده کند:
5.20.9. تعیین مستقیم یا غیرمستقیم اشخاص دارای اطلاعات شخصی با استفاده از اطلاعات فنی یا سایر دادهها؛
5.20.10. مقایسه، ترکیب (پیوند دادن) اطلاعات کوکیها با سایر اطلاعات موجود.
5.20.11. هنگامی که کاربر برای اولین بار به وبسایت دسترسی پیدا میکند، باید از پردازش کوکیها مطلع شود. از او خواسته میشود که رضایت خود را برای چنین پردازشی ابراز کند یا با تغییر تنظیمات مرورگر خود از آن امتناع ورزد.
5.21. اپراتور باید دادههای شخصی را به شکلی نگهداری کند که امکان شناسایی اشخاص دارای اطلاعات شخصی را برای مدت زمانی که برای اهداف پردازش دادههای شخصی لازم است، فراهم کند، مگر اینکه مدت زمان ذخیره اطلاعات توسط قانون فدرال، توافقی که اشخاص دارای اطلاعات شخصی طرف، ذینفع یا ضامن آن هستند، تعیین شده باشد. اطلاعات پردازش شده پس از دستیابی به اهداف پردازش یا در صورت از بین رفتن نیاز به دستیابی به این اهداف، در معرض تخریب یا ناشناس شدن قرار میگیرند، مگر اینکه قانون طور دیگری مقرر کرده باشد.
5.22. هنگام جمعآوری دادههای شخصی، از جمله، از طریق شبکه اطلاعات و ارتباطات اینترنتی، اپراتور موظف است ضبط، سیستمسازی، جمعآوری، ذخیرهسازی، شفافسازی (بهروزرسانی، اصلاح) و استخراج دادههای شخصی اتباع فدراسیون روسیه را با استفاده از پایگاههای داده واقع در قلمرو فدراسیون روسیه، به جز مواردی که در قانون دادههای شخصی مشخص شده است، تضمین کند.
5.23. دادههای شخصی به صورت چاپی برای دورههای نگهداری اسنادی که این دورهها توسط قانون فعالیتهای بایگانی در فدراسیون روسیه تعیین شدهاند، در شرکت ذخیره میشوند (قانون فدرال «درباره فعالیتهای بایگانی در فدراسیون روسیه» شماره 125-ФЗ مورخ 22.10.2004، فهرست اسناد بایگانی مدیریت استاندارد تولید شده در جریان فعالیتهای مقامات ایالتی، دولتهای محلی و سازمانها، با ذکر دورههای نگهداری آنها، مصوب دستور Rosarchive شماره 236 مورخ 20.12.2019).
۶. حذف، تخریب دادههای شخصی، پاسخ به درخواستهای افراد برای دسترسی به دادههای شخصی
۶.۱. به منظور رعایت حقوق و منافع مشروع افراد دارای دادههای شخصی، شرکت درخواستها و درخواستهای آنها را دریافت و پردازش میکند و همچنین بر پشتیبانی از چنین دریافت و پردازشی نظارت خواهد داشت.
۶.۲. تأیید واقعیت پردازش دادههای شخصی توسط اپراتور، مبانی و اهداف قانونی پردازش دادههای شخصی و همچنین سایر اطلاعات مشخص شده در بخش ۷ ماده ۱۴ قانون دادههای شخصی، توسط اپراتور ظرف ۱۰ روز کاری از تاریخ درخواست یا دریافت درخواست از فرد دارای دادههای شخصی یا نماینده او به فرد دارای دادههای شخصی یا نماینده او ارائه میشود. این مدت میتواند تمدید شود، اما حداکثر تا پنج روز کاری. برای این منظور، اپراتور باید یک اطلاعیه مستدل به فرد دارای دادههای شخصی ارسال کند که دلایل تمدید مهلت ارائه اطلاعات درخواستی را نشان دهد.
۶.۳. اطلاعات ارائه شده شامل اطلاعات شخصی مربوط به سایر اشخاص ثالث نخواهد بود، مگر در مواردی که دلایل قانونی برای افشای چنین اطلاعات شخصی وجود داشته باشد.
6.4. درخواست شخص ثالث میتواند به صورت یک سند الکترونیکی ارسال و با امضای الکترونیکی مطابق با قوانین فدراسیون روسیه امضا شود و شامل موارد زیر باشد:
• شماره سند اصلی که هویت شخص ثالث یا نماینده او را تأیید میکند، اطلاعات مربوط به تاریخ صدور سند مشخص شده و مرجع صادرکننده؛
• اطلاعاتی که مشارکت شخص ثالث در روابط با اپراتور را تأیید میکند (شماره قرارداد، تاریخ قرارداد، نام مستعار و/یا سایر اطلاعات)، یا اطلاعاتی که به طور دیگری واقعیت پردازش اطلاعات شخصی توسط اپراتور را تأیید میکند.
6.5. اپراتور باید اطلاعات مشخص شده در قانون اطلاعات شخصی را به شخص ثالث یا نماینده او به شکلی که درخواست یا درخواست مربوطه ارسال شده است، ارائه دهد، مگر اینکه در درخواست یا درخواست خلاف آن ذکر شده باشد.
6.6. اگر درخواست (درخواست) شخص موضوع دادههای شخصی شامل تمام اطلاعات لازم مطابق با الزامات قانون دادههای شخصی نباشد یا شخص حق دسترسی به اطلاعات درخواستی را نداشته باشد، باید یک پاسخ رد منطقی برای او ارسال شود.
6.7. حق دسترسی شخص موضوع دادههای شخصی به دادههای شخصی خود، از جمله در صورتی که دسترسی شخص موضوع دادههای شخصی به دادههای شخصی خود، حقوق و منافع مشروع اشخاص ثالث را نقض کند، ممکن است مطابق با قانون دادههای شخصی محدود شود.
۶.۸. در صورتی که دادههای شخصی نادرستی پس از استعلام از شخص یا نماینده او یا به درخواست او یا به درخواست روسکومنادزور شناسایی شود، اپراتور از لحظه استعلام یا دریافت درخواست مشخص شده برای دوره تأیید، دادههای شخصی مربوط به این شخص را مسدود خواهد کرد، مگر اینکه مسدود کردن دادههای شخصی، حقوق و منافع مشروع شخص یا اشخاص ثالث را نقض کند.
در صورت تأیید عدم صحت دادههای شخصی، اپراتور بر اساس اطلاعات ارائه شده توسط شخص یا نماینده او یا روسکومنادزور یا سایر اسناد لازم، ظرف هفت روز کاری از تاریخ ارائه چنین اطلاعاتی، دادههای شخصی را روشن کرده و مسدود کردن دادههای شخصی را لغو خواهد کرد.
۶.۹. در صورت تشخیص پردازش غیرقانونی دادههای شخصی پس از استعلام (درخواست) از شخص یا نماینده او یا روسکومنادزور، اپراتور دادههای شخصی پردازش شده غیرقانونی مربوط به این شخص را از لحظه دریافت چنین استعلام یا درخواستی مسدود خواهد کرد.
۶.۱۰. شرایط تخریب دادههای شخصی توسط اپراتور:
• دستیابی به هدف پردازش دادههای شخصی یا از دست دادن نیاز به دستیابی به این هدف؛
• دستیابی به حداکثر مدت زمان نگهداری اسناد حاوی دادههای شخصی؛
• ارائه تأیید توسط شخص صاحب دادههای شخصی (نماینده او) مبنی بر اینکه دادههای شخصی به صورت غیرقانونی به دست آمدهاند یا برای هدف تعیینشده پردازش ضروری نیستند؛
• انصراف شخص صاحب دادههای شخصی از رضایت برای پردازش دادههای شخصی خود، در صورتی که دیگر نیازی به ذخیره آنها برای پردازش نباشد، ظرف 30 روز.
6.10. پس از دستیابی به هدف پردازش دادههای شخصی، و همچنین در صورت انصراف شخص صاحب دادههای شخصی از رضایت برای پردازش آنها، دادههای شخصی در صورت موارد زیر تخریب میشوند:
• مگر اینکه در توافقی که شخص صاحب دادههای شخصی طرف، ذینفع یا ضامن آن است، طور دیگری پیشبینی شده باشد؛
• اپراتور حق ندارد دادهها را بدون رضایت شخص صاحب دادههای شخصی به دلایل مقرر در قانون دادههای شخصی یا سایر قوانین فدرال پردازش کند؛
• مگر اینکه در توافق دیگری بین اپراتور و شخص موضوع دادههای شخصی تصریح شده باشد.
6.11. اگر نابودی دادههای شخصی در مدت زمان تعیین شده توسط قانون دادههای شخصی غیرممکن باشد، اپراتور باید چنین دادههای شخصی را مسدود کند یا مسدود کردن آنها را تضمین کند (اگر پردازش دادههای شخصی توسط شخص دیگری که به دستور اپراتور عمل میکند انجام شود) و نابودی دادههای شخصی را در مدت زمانی که بیش از شش ماه نباشد، تضمین کند، مگر اینکه مدت زمان دیگری توسط قوانین فدرال تعیین شده باشد.
6.12. نابودی دادههای شخصی باید توسط اسنادی که توسط دستور Roskomnadzor در مورد الزامات تأیید نابودی دادههای شخصی شماره 179 مورخ 28.10.2022 تأیید شده است، تأیید شود.
7. مسئولیت نقض قوانین حاکم بر پردازش دادههای شخصی
7.1. اشخاصی که در هنگام پردازش دادههای شخصی، مفاد قانون فدراسیون روسیه در زمینه دادههای شخصی را نقض کنند، به نحوی که در قانون کار فدراسیون روسیه و سایر قوانین فدرال پیشبینی شده است، مشمول مسئولیت انضباطی و مادی و همچنین به نحوی که در قوانین فدرال پیشبینی شده است، مشمول مسئولیت اداری، مدنی یا کیفری خواهند بود.
7.2. خسارت معنوی وارده به یک شخص دارای دادههای شخصی در نتیجه نقض حقوق آنها، نقض قوانین پردازش دادههای شخصی و همچنین عدم رعایت الزامات حفاظت از آنها که در قانون دادههای شخصی پیشبینی شده است، مطابق با قوانین فدراسیون روسیه جبران میشود. خسارت معنوی صرف نظر از اینکه خسارت مالی و زیانهای وارده به شخص دارای دادههای شخصی جبران شده باشد یا خیر، مشمول جبران خواهد بود.
قائمة طعام
با ما تماس بگیرید
الهاتف والبريد الإلكتروني
