Personas datu apstrādes līgums

Personas datu apstrādes politika
Apstiprināts 2019. gada 1. martā

Saturs

1. Vispārīgie noteikumi

2. Personas datu apstrādes principi un nosacījumi
2.1. Personas datu apstrādes principi
2.2. Personas datu apstrādes nosacījumi
2.3. Personas datu konfidencialitāte
2.4. Publiski pieejami personas datu avoti
2.5. Īpašas personas datu kategorijas
2.6. Biometriskie personas dati
2.7. Personas datu apstrādes pasūtīšana citai personai
2.8. Krievijas Federācijas pilsoņu personas datu apstrāde
2.9. Personas datu pārrobežu pārsūtīšana

3. Personas datu subjekta tiesības
3.1. Personas datu subjekta piekrišana viņa personas datu apstrādei
3.2. Personas datu subjekta tiesības

4. Personas datu drošības nodrošināšana

5. Nobeiguma noteikumi

1. VISPĀRĪGI NOTEIKUMI

Personas datu apstrādes politika (turpmāk – Politika) tika izstrādāta saskaņā ar 2006. gada 27. jūlija federālo likumu. № 152-ФЗ "Par personas datiem" (turpmāk - ФЗ-152).

Šī Politika nosaka personas datu apstrādes kārtību un pasākumus personas datu drošības nodrošināšanai Kayfun Club (turpmāk – Operators), lai aizsargātu personas un pilsoņa tiesības un brīvības, apstrādājot viņa personas datus, tostarp aizsargājot tiesības uz privātumu, personas un ģimenes noslēpumiem...

Politikā ir izmantoti šādi pamatjēdzieni:

automatizēta personas datu apstrāde - personas datu apstrāde, izmantojot datortehnoloģiju;

personas datu bloķēšana - personas datu apstrādes pagaidu izbeigšana (izņemot gadījumus, kad apstrāde nepieciešama personas datu precizēšanai);

personas datu informācijas sistēma - personas datu kopums, kas atrodas datu bāzēs un nodrošina to informācijas tehnoloģiju un tehnisko līdzekļu apstrādi;

personas datu depersonalizācija - darbības, kuru rezultātā bez papildu informācijas izmantošanas nav iespējams noteikt personas datu piederību konkrētam personas datu subjektam;

personas datu apstrāde - jebkura darbība (operācija) vai darbību (operāciju) kopums, kas tiek veikts, izmantojot automatizācijas rīkus vai neizmantojot šādus rīkus ar personas datiem, tostarp vākšana, reģistrēšana, sistematizēšana, uzkrāšana, uzglabāšana, precizēšana (atjaunināšana, maiņa), ieguve , personas datu izmantošana, nodošana (izplatīšana, nodrošināšana, piekļuve), depersonalizācija, bloķēšana, dzēšana, iznīcināšana;

operators - valsts iestāde, pašvaldības iestāde, juridiska persona vai fiziska persona, neatkarīgi vai kopā ar citām personām, kas organizē un (vai) veic personas datu apstrādi, kā arī nosaka personas datu apstrādes mērķus, apstrādājamie personas dati, ar personas datiem veiktās darbības (operācijas);

personas dati - jebkura informācija, kas tieši vai netieši attiecas uz konkrētu vai identificējamu personu (personas datu subjektu);

personas datu sniegšana - darbības, kuru mērķis ir izpaust personas datus noteiktai personai vai noteiktam personu lokam;

personas datu izplatīšana - darbības, kuru mērķis ir personas datu izpaušana nenoteiktam personu lokam (personas datu nodošana) vai neierobežota personu skaita iepazīšanās ar personas datiem, tai skaitā personas datu izpaušana plašsaziņas līdzekļos, informācijas ievietošana un telekomunikāciju tīkliem vai jebkādā citā veidā nodrošināt piekļuvi personas datiem;

personas datu pārrobežu nodošana - personas datu nosūtīšana uz ārvalsts teritoriju ārvalsts iestādei, ārvalsts fiziskai vai ārvalstu juridiskai personai;

personas datu iznīcināšana - darbības, kuru rezultātā nav iespējams atjaunot personas datu saturu personas datu informācijas sistēmā un (vai) kuru rezultātā tiek iznīcināti personas datu materiālie nesēji.

Uzņēmumam ir pienākums publicēt vai citādi nodrošināt neierobežotu piekļuvi šai Politikai personas datu apstrādei saskaņā ar Art. 18.1. FZ152.

2. PERSONAS DATU APSTRĀDES PRINCIPI UN NOSACĪJUMI

2.1. Personas datu apstrādes principi
Operatora personas datu apstrādi veic, pamatojoties uz šādiem principiem:
likumība un taisnīgs pamats; personas datu apstrādes ierobežojumi konkrētu, iepriekš noteiktu un leģitīmu mērķu sasniegšanai; nepieļautu personas datu apstrādi, kas nav savienojama ar personas datu vākšanas mērķiem; nepieļaut to datubāzu apvienošanu, kas satur personas datus, kuru apstrāde tiek veikta savstarpēji nesaderīgiem mērķiem; apstrādāt tikai tos personas datus, kas atbilst to apstrādes mērķiem; apstrādāto personas datu satura un apjoma atbilstība noteiktajiem apstrādes mērķiem; novērst tādu personas datu apstrādi, kas ir lieki saistībā ar norādītajiem to apstrādes mērķiem; personas datu precizitātes, pietiekamības un atbilstības nodrošināšana saistībā ar personas datu apstrādes mērķiem; personas datu iznīcināšana vai depersonalizācija, sasniedzot to apstrādes mērķus vai ja tiek zaudēta nepieciešamība sasniegt šos mērķus, ja Operatoram nav iespējams novērst personas datu pārkāpumus, ja vien federālajos likumos nav noteikts citādi.

2.2. Personas datu apstrādes nosacījumi
Operators apstrādā personas datus, ja ir izpildīts vismaz viens no šiem nosacījumiem:
personas datu apstrāde tiek veikta ar personas datu subjekta piekrišanu viņa personas datu apstrādei; personas datu apstrāde ir nepieciešama, lai sasniegtu mērķus, kas noteikti Krievijas Federācijas starptautiskajā līgumā vai likumā, lai īstenotu un īstenotu funkcijas, pilnvaras un pienākumus, kas operatoram uzlikti Krievijas Federācijas tiesību aktos; personas datu apstrāde ir nepieciešama tiesas izpildei, tiesas akta, citas struktūras vai amatpersonas akta izpildei, kas izpildāms saskaņā ar Krievijas Federācijas tiesību aktiem par izpildes procedūrām; personas datu apstrāde ir nepieciešama, lai izpildītu līgumu, kura puse vai labuma guvējs vai galvotājs ir personas datu subjekts, kā arī lai noslēgtu līgumu, ko ierosinājis personas datu subjekts vai līgumu, saskaņā ar kuru personas datu subjekts ir personas datu saņēmējs vai galvotājs; personas datu apstrāde ir nepieciešama, lai īstenotu operatora vai trešo personu tiesības un likumīgās intereses vai sasniegtu sabiedriski nozīmīgus mērķus, ja tas nepārkāpj personas datu subjekta tiesības un brīvības; tiek veikta personas datu apstrāde, piekļuvi neierobežotam personu skaitam, kurai nodrošina personas datu subjekts vai pēc viņa pieprasījuma (turpmāk - publiski pieejami personas dati); personas datu apstrāde, kas ir jāpublicē vai obligāti jāizpauž saskaņā ar federālo likumu.

2.3. Personas datu konfidencialitāte
Operatoram un citām personām, kuras ir ieguvušas piekļuvi personas datiem, ir pienākums neizpaust trešajām personām un neizplatīt personas datus bez personas datu subjekta piekrišanas, ja vien federālajā likumā nav noteikts citādi.

2.4. Publiski pieejami personas datu avoti
Lai sniegtu informāciju, Operators var izveidot publiski pieejamus personas datu subjektu personas datu avotus, tostarp uzziņu sarakstus un adrešu grāmatas. Ar personas datu subjekta rakstisku piekrišanu publiski pieejami personas datu avoti var ietvert viņa uzvārdu, vārdu, uzvārdu, dzimšanas datumu un vietu, amatu, kontakttālruņa numurus, e-pasta adresi un citus personas datus, ko sniedz personas datu subjekts.

Informācija par personas datu subjektu jebkurā laikā ir jāizslēdz no publiski pieejamiem personas datu avotiem pēc personas datu subjekta, personas datu subjektu tiesību aizsardzības pilnvarotas iestādes pieprasījuma vai ar tiesas lēmumu. .

2.5. Īpašas personas datu kategorijas
Operatora veiktā īpašu kategoriju personas datu apstrāde saistībā ar rasi, tautību, politiskajiem uzskatiem, reliģisko vai filozofisko pārliecību, veselības stāvokli, intīmo dzīvi ir atļauta gadījumos, kad:
personas datu subjekts ir devis rakstisku piekrišanu savu personas datu apstrādei; personas datus dara publiski pieejamus personas datu subjekts; personas datu apstrāde tiek veikta saskaņā ar tiesību aktiem par valsts sociālo palīdzību, darba likumdošanu, Krievijas Federācijas tiesību aktiem par valsts pensiju pensijām, par darba pensijām; personas datu apstrāde ir nepieciešama, lai aizsargātu personas datu subjekta dzīvību, veselību vai citas svarīgas intereses vai citu personu dzīvību, veselību vai citas svarīgas intereses, un nav iespējams saņemt personas datu subjekta piekrišanu; personas datu apstrāde tiek veikta medicīniskiem un profilaktiskiem nolūkiem, lai noteiktu medicīnisko diagnozi, sniegtu medicīniskos un medicīniskos un sociālos pakalpojumus, ja personas datu apstrādi veic persona, kas profesionāli nodarbojas ar medicīnisko aprūpi. darbības un saskaņā ar Krievijas Federācijas tiesību aktiem ir pienākums saglabāt medicīnisko noslēpumu; personas datu apstrāde ir nepieciešama, lai konstatētu vai īstenotu personas datu subjekta vai trešo personu tiesības, kā arī saistībā ar tiesas spriešanu; personas datu apstrāde tiek veikta saskaņā ar tiesību aktiem par obligātajiem apdrošināšanas veidiem, ar apdrošināšanas likumdošanu. Īpašu kategoriju personas datu apstrāde, kas veikta FZ-152 10. panta 4. punktā paredzētajos gadījumos, nekavējoties jāpārtrauc, ja tiek novērsti iemesli, kuru dēļ tie tika apstrādāti, ja vien federālajā likumā nav noteikts citādi.

Personas datu apstrādi sodāmības reģistrā Operators var veikt tikai tajos gadījumos un veidā, kas noteikti saskaņā ar federālajiem likumiem.

2.6. Biometriskie personas dati
Informāciju, kas raksturo personas fizioloģiskās un bioloģiskās īpašības, uz kuras pamata iespējams noteikt tās identitāti - biometriskos personas datus - Operators var apstrādāt tikai ar personas datu subjekta rakstisku piekrišanu.

2.7. Personas datu apstrādes pasūtīšana citai personai
Operatoram ir tiesības uzticēt personas datu apstrādi citai personai ar personas datu subjekta piekrišanu, ja vien federālajā likumā nav noteikts citādi, pamatojoties uz līgumu, kas noslēgts ar šo personu. Personai, kas apstrādā personas datus Operatora vārdā, ir pienākums ievērot personas datu apstrādes principus un noteikumus, kas paredzēti federālajā likumā 152 un šajā politikā.

2.8. Krievijas Federācijas pilsoņu personas datu apstrāde
Saskaņā ar 2014. gada 21. jūlija federālā likuma N 242-FZ "Par grozījumiem atsevišķos Krievijas Federācijas tiesību aktos attiecībā uz personas datu apstrādes informācijas un telekomunikāciju tīklos procedūras precizēšanu" 2. pantu, vācot personas datus, tai skaitā, izmantojot informācijas un telekomunikāciju tīklu "Internets", operatoram ir pienākums nodrošināt Krievijas Federācijas pilsoņu personas datu reģistrēšanu, sistematizēšanu, uzkrāšanu, glabāšanu, precizēšanu (atjaunināšanu, mainīšanu), izgūšanu, izmantojot datu bāzes, kas atrodas Krievijas Federācijas teritorijā. Krievijas Federācija, izņemot gadījumus:

personas datu apstrāde ir nepieciešama, lai sasniegtu mērķus, kas noteikti Krievijas Federācijas starptautiskajā līgumā vai likumā, lai īstenotu un īstenotu funkcijas, pilnvaras un pienākumus, kas operatoram uzlikti Krievijas Federācijas tiesību aktos; personas datu apstrāde ir nepieciešama tiesas spriešanai, tiesas akta, citas struktūras vai amatpersonas akta izpildei, kas ir izpildāms saskaņā ar Krievijas Federācijas tiesību aktiem par izpildes procedūrām (turpmāk – izpilde). par tiesas aktu); personas datu apstrāde ir nepieciešama, lai izpildītu federālo izpildinstitūciju, valsts ārpusbudžeta fondu iestāžu, Krievijas Federācijas veidojošo vienību valsts varas izpildinstitūciju, pašvaldību iestāžu un nodrošināšanā iesaistīto organizāciju funkcijas. valsts un pašvaldību pakalpojumu, attiecīgi, ko paredz 2010. gada 27. jūlija federālais likums N 210-FZ "Par valsts un pašvaldību pakalpojumu sniegšanas organizēšanu", tostarp personas datu subjekta reģistrācija vienā portālā. valsts un pašvaldību dienesti un (vai) valsts un pašvaldību pakalpojumu reģionālie portāli; personas datu apstrāde ir nepieciešama žurnālista profesionālās darbības un (vai) plašsaziņas līdzekļu leģitīmās darbības vai zinātniskās, literārās vai citādas radošās darbības īstenošanai, ja tas nepārkāpj subjekta tiesības un leģitīmās intereses. personas dati.

2.9. Personas datu pārrobežu pārsūtīšana
Operatoram ir pienākums pirms šādas nosūtīšanas sākuma pārliecināties, ka ārvalsts, uz kuras teritoriju ir paredzēts personas datu pārsūtīšana, nodrošina atbilstošu personas datu subjektu tiesību aizsardzību.

Personas datu pārrobežu nosūtīšana ārvalstu teritorijā, kas nenodrošina pietiekamu personas datu subjektu tiesību aizsardzību, var tikt veikta šādos gadījumos:

personas datu subjekta rakstiskas piekrišanas pieejamība viņa personas datu pārrobežu pārsūtīšanai; tāda līguma izpilde, kurā personas datu subjekts ir puse.

3. PERSONAS DATU SUBJEKTA TIESĪBAS

3.1. Personas datu subjekta piekrišana viņa personas datu apstrādei

Personas datu subjekts pieņem lēmumu par savu personas datu sniegšanu un piekrīt to apstrādei brīvi, pēc paša vēlēšanās un savās interesēs. Personas datu subjekts vai viņa pārstāvis var sniegt piekrišanu personas datu apstrādei jebkurā formā, kas ļauj apstiprināt tā saņemšanas faktu, ja vien federālajā likumā nav noteikts citādi.

3.2. Personas datu subjekta tiesības Personas datu subjektam ir tiesības saņemt informāciju no Operatora par viņa personas datu apstrādi, ja šādas tiesības nav ierobežotas saskaņā ar federālajiem likumiem. Personas datu subjektam ir tiesības pieprasīt, lai Operators precizē viņa personas datus, tos bloķē vai iznīcina, ja personas dati ir nepilnīgi, novecojuši, neprecīzi, nelikumīgi iegūti vai nav nepieciešami norādītajam apstrādes mērķim, kā arī veikt pasākumus. likumā paredzēts, lai aizsargātu viņu tiesības ...

Personas datu apstrāde, lai reklamētu tirgū preces, darbus, pakalpojumus, veidojot tiešus kontaktus ar personas datu subjektu (potenciālo patērētāju), izmantojot saziņas līdzekļus, kā arī politiskās aģitācijas nolūkos ir atļauta tikai ar iepriekšēju personas datu subjekta piekrišana.

Operatoram ir pienākums pēc personas datu subjekta pieprasījuma nekavējoties pārtraukt viņa personas datu apstrādi iepriekšminētajiem nolūkiem.

Aizliegts pieņemt lēmumus, pamatojoties tikai uz automatizētu personas datu apstrādi, kas rada tiesiskas sekas attiecībā uz personas datu subjektu vai citādi ietekmē viņa tiesības un leģitīmās intereses, izņemot gadījumus, kas paredzēti federālajos likumos, vai ar personas datu subjekta rakstisku piekrišanu.

Ja personas datu subjekts uzskata, ka operators apstrādā viņa personas datus, pārkāpjot FZ-152 prasības vai citādi pārkāpj viņa tiesības un brīvības, personas datu subjektam ir tiesības pārsūdzēt Operatora darbību vai bezdarbību. Personas datu subjektu tiesību aizsardzības pilnvarotajai iestādei vai tiesā ...

Personas datu subjektam ir tiesības aizsargāt savas tiesības un likumīgās intereses, tostarp atlīdzināt zaudējumus un (vai) atlīdzināt morālo kaitējumu.

4. PERSONAS DATU DROŠĪBAS NODROŠINĀŠANA Operatora apstrādāto personas datu drošība tiek nodrošināta, īstenojot juridiskos, organizatoriskos un tehniskos pasākumus, kas nepieciešami, lai izpildītu federālo tiesību aktu prasības personas datu aizsardzības jomā.

Lai novērstu nesankcionētu piekļuvi personas datiem, Operators piemēro šādus organizatoriskos un tehniskos pasākumus:

par personas datu apstrādes un aizsardzības organizēšanu atbildīgo amatpersonu iecelšana; personas datu apstrādei atļauto personu saraksta ierobežošana; subjektu iepazīstināšana ar federālo tiesību aktu prasībām un operatora normatīvajiem dokumentiem par personas datu apstrādi un aizsardzību; informāciju ar personas datiem saturošu nesēju uzskaites, uzglabāšanas un aprites organizēšana; personas datu drošības apdraudējumu identificēšana to apstrādes laikā, draudu modeļu veidošana uz to pamata; uz apdraudējuma modeli balstītas personas datu aizsardzības sistēmas izstrāde; informācijas drošības rīku izmantošanas gatavības un efektivitātes pārbaude; lietotāju piekļuves diferencēšana informācijas resursiem un programmatūras un aparatūras informācijas apstrādei; personas datu informācijas sistēmu lietotāju darbību reģistrācija un uzskaite; pretvīrusu rīku un personas datu aizsardzības sistēmas atjaunošanas līdzekļu izmantošana; ugunsmūra, ielaušanās atklāšanas, drošības analīzes un kriptogrāfiskās informācijas aizsardzības līdzekļu izmantošana, ja nepieciešams; piekļuves kontroles organizēšana Operatora teritorijai, telpu aizsardzība ar tehniskajiem līdzekļiem personas datu apstrādei.

5. NOBEIGUMA NOTEIKUMI
Citas Operatora tiesības un pienākumus saistībā ar personas datu apstrādi nosaka Krievijas Federācijas tiesību akti personas datu jomā.