Moskau, 2017
1.ALLGEMEINES
Die Richtlinie zur Verarbeitung personenbezogener Daten (nachfolgend „Richtlinie“ genannt) wurde in Übereinstimmung mit dem Bundesgesetz Nr.152-FZ vom 27. Juli 2006 „Über personenbezogene Daten“ (im Folgenden: FZ-152) entwickelt.
Diese Richtlinie bestimmt das Verfahren für die Verarbeitung personenbezogener Daten und Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten in «Lex Optimum» GmbH (nachfolgend „Auftragsverarbeiter“ genannt), um die Rechte und Freiheiten einer Person und Bürger bei der Verarbeitung ihrer personenbezogenen Daten, einschließlich der Rechte der Privatsphäre, Privat- und Familiengeheimnisse zu schützen.
Die Richtlinie verwendet die folgenden Grundbegriffe:
Automatisierte Verarbeitung personenbezogener Daten eine Verarbeitung personenbezogener Daten mittels Computertechnologie;
Sperrung personenbezogener Daten eine zeitweilige Beendigung der Verarbeitung personenbezogener Daten (es sei denn, es ist notwendig, personenbezogene Daten zu klären);
Informationssystem personenbezogener Daten eine Sammlung von in Datenbanken enthaltenen personenbezogenen Daten sowie Informationstechnologien und technische Mittel zur Gewährleistung ihrer Verarbeitung;
Anonymisierung personenbezogener Daten das Verändern personenbezogener Daten derart, dass diese Daten nicht mehr einer Person ohne die Verwendung zusätzlicher Informationen zugeordnet werden können;
Verarbeitung personenbezogener Daten jede Maßnahme (Operation) oder jeder Komplex von Maßnahmen (Operationen), die unter Verwendung von Automatisierungsmitteln oder ohne Verwendung solcher Mittel mit personenbezogenen Daten, einschließlich Erhebung, Aufzeichnung, Systematisierung, Speicherung, Aufbewahrung, Klärung (Aktualisierung, Änderung), Extraktion, Benutzung, Weitergabe (Verbreitung, Erteilung, Zugriff), Anonymisierung, Sperrung, Löschung, Vernichtung personenbezogener Daten vorgenommen werden;
Auftragsverarbeiter ein Staatsorgan, Kommunalbehörde, eine natürliche oder juristische Person, unabhängig oder zusammen mit anderen Personen, die eine Verarbeitung personenbezogener Daten organisieren und (oder) diese Daten verarbeiten, sowie den Zweck der Verarbeitung personenbezogener Daten, die Zusammensetzung zu Verarbeitung der personenbezogener Daten, Maßnahmen (Operationen) mit persönlichbezogenen Daten definieren;
Personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) direkt oder indirekt beziehen;
Erteilung personenbezogener Daten Maßnahmen zur Offenlegung personenbezogener Daten gegenüber einer bestimmten Person oder einem bestimmten Personenkreis;
Verbreitung personenbezogener Daten Maßnahmen zur Offenlegung personenbezogener Daten gegenüber einem unbestimmten Personenkreis (Weitergabe personenbezogener Daten) oder zur Bekanntmachung mit personenbezogenen Daten einer unbegrenzten Anzahl von Personen, einschließlich der Offenlegung personenbezogener Daten in den Medien, Platzierung in Informations- und Telekommunikationsnetzen oder Zugriffszuteilung zu personenbezogenen Daten auf irgendwelche andere Weise;
Grenzüberschreitende Weitergabe personenbezogener Daten Weitergabe personenbezogener Daten auf das Territorium eines ausländischen Staates an die Behörde eines ausländischen Staates, einer ausländischen natürlichen oder juristischen Person;
Vernichtung personenbezogener Daten Maßnahmen, infolge derer es unmöglich ist, den Inhalt personenbezogener Daten im Informationssystem personenbezogener Daten wieder herzustellen und (oder) infolge derer die materiellen Informationsträger personenbezogener Daten zerstört werden.
Das Unternehmen ist verpflichtet, diese Richtlinie für die Verarbeitung personenbezogener Daten gemäß Teil II Art.18.1 FZ-152 zu veröffentlichen oder anderweitig uneingeschränkt zugänglich zu machen.
2.GRUNDSÄTZE UND BEDINGUNGEN DER VERARBEITUNG PERSONENBEZOGENER DATEN
2.1. Grundsätze der Verarbeitung personenbezogener Daten
Der Auftragsverarbeiter verarbeitet personenbezogene Daten auf der Grundlage der folgenden Prinzipien:
— Rechtmäßigkeit und gerechte Grundlage;
— Beschränkungen der Verarbeitung personenbezogener Daten zur Erreichung bestimmter, vorher festgelegter und legitimer Zwecke;
— Verhinderung der Verarbeitung personenbezogener Daten, die mit der Zwecke der Erhebung personenbezogener Daten nicht vereinbar sind;
— Verhinderung der Zusammenführung von Datenbanken mit personenbezogenen Daten, derer Verarbeitung die miteinander unvereinbare Zwecke hat;
— Verarbeitung nur personenbezogener Daten, die den Zwecken ihrer Verarbeitung entsprechen;
— Übereinstimmung von Inhalt und Umfang der verarbeiteten personenbezogenen Daten mit den angegebenen Verarbeitungszwecken;
— Verhinderung der Verarbeitung personenbezogener Daten, die für die angegebenen Zwecke ihrer Verarbeitung redundant sind;
— Gewährleistung der Genauigkeit, Hinlänglichkeit und Relevanz personenbezogener Daten in Bezug auf die Zwecke der Verarbeitung personenbezogener Daten;
— Vernichtung oder Anonymisierung personenbezogener Daten bei der Erreichung der Zwecke ihrer Verarbeitung oder im Falle des Verlusts der Notwendigkeit, diese Zwecke zu erreichen, wenn es dem Auftragsverarbeiter unmöglich ist, die Verletzungen personenbezogener Daten zu korrigieren, sofern nichts Gegenteiliges durch Bundesgesetz bestimmt ist.
2.2. Bedingungen der Verarbeitung personenbezogener Daten
Der Auftragsverarbeiter verarbeitet personenbezogene Daten, wenn es mindestens einer der folgenden Bedingungen gibt:
— Die Verarbeitung personenbezogener Daten erfolgt mit Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten;
— Die Verarbeitung personenbezogener Daten ist notwendig, um die Zwecke zu erreichen, die im internationalen Vertrag der Russischen Föderation oder im Gesetz vorgesehen sind, um die Funktionen, Befugnisse und Pflichten, die die Gesetzgebung der Russischen Föderation dem Auftragsverarbeiter auferlegt, zu erfüllen;
— Die Verarbeitung personenbezogener Daten ist erforderlich für die Rechtspflege, die Vollstreckung gerichtlicher Handlungen, Handlungen einer anderen Dienststelle oder eines Beamten, die laut Gesetzgebung der Russischen Föderation an Verwaltungszwangsverfahren vollstreckbar sind;
— Die Verarbeitung personenbezogener Daten ist für die Ausführung des Vertrags notwendig, von denen entweder der Begünstigte oder der Sicherheitengeber die betroffene Person ist, sowie für einen Vertragsabschluß auf Initiative der betroffenen Person oder eines Vertrags, auf dem die betroffene Person der Begünstigte oder die Sicherheitengeber ist;
— Die Verarbeitung personenbezogener Daten ist für die Ausübung der Rechte und legitimen Interessen des Auftragsverarbeiter oder Dritter oder zur Erreichung gesellschaftlich bedeutsamer Ziele erforderlich, sofern dies nicht die Rechte und Freiheiten der betroffenen Person verletzt;
— Die Verarbeitung personenbezogener Daten, zu deren die betroffenen Person einen Zugriff für einer unbegrenzten Anzahl von Personen gewährt hat, oder der Zugriff auf ihren Wunsch gewährt ist (im Folgenden — allgemein zugängliche personenbezogene Daten);
— Verarbeitung personenbezogener Daten, die veröffentlicht oder notwendigerweise im Einklang mit dem Bundesgesetz offengelegt werden müssen.
2.3. Datenschutz personenbezogener Daten
Der Auftragsverarbeiter und andere Personen, die Zugriff zu personenbezogenen Daten erhalten haben, sind verpflichtet, keine personenbezogenen Daten an Dritte weiterzugeben und ohne Zustimmung der betroffenen Person zu verbreiten, sofern nichts Gegenteiliges durch Bundesgesetz bestimmt ist.
2.4. Allgemein zugängliche Quellen personenbezogener Daten
Zur Bereitstellung von Informationen kann der Auftragsverarbeiter allgemein zugängliche Quellen personenbezogener Daten von Personen, einschließlich Referenzbüchern und Adressbüchern, erstellen. Allgemein zugängliche Quellen personenbezogener Daten können den Nachnamen, Vornamen, zweiten Vornamen, Geburtsdatum und -ort, Position, Kontakttelefonnummern, E-Mail-Adresse und andere persönliche Daten mit der schriftlichen Einwilligung der betroffenen Person enthalten, die vom betroffenen Person zur Verfügung gestellt werden.
Informationen über die betroffene Person sollten auf ihre Anfrage oder aufgrund eines Gerichtsurteils oder andere autorisierte Regierungsbehörden jederzeit aus allgemein zugänglichen Quellen personenbezogener Daten ausgeschlossen werden.
2.5. Spezielle Kategorien personenbezogener Daten
Der Auftragsverarbeiter darf besonderer Kategorien personenbezogener Daten in Bezug auf Rasse, Nationalität, politische Ansichten, religiöse oder philosophische Überzeugungen, Gesundheitszustand, Intimleben verarbeiten, wenn
— die betroffene Person eine schriftliche Einwilligung für die Verarbeitung ihrer personenbezogenen Daten gegeben hat;
— personenbezogene Daten von der betroffenen Person allgemein zugänglich gemacht werden;
— die Verarbeitung personenbezogener Daten in Übereinstimmung mit den Rechtsvorschriften über staatliche Sozialhilfe, Arbeitsgesetzgebung, Gesetzgebung der Russischen Föderation über Renten, über Arbeitsrenten erfolgt;
— die Verarbeitung personenbezogener Daten notwendig ist, um das Leben, die Gesundheit oder andere lebenswichtige Interessen der betroffenen Person oder des Lebens, der Gesundheit oder anderer lebenswichtiger Interessen anderer Personen zu schützen und es it unmöglich die Einwilligung der betroffenen Person zu erhalten;
— die Verarbeitung personenbezogener Daten zu medizinischen und präventiven Zwecken erfolgt, um eine medizinische Diagnose, die medizinischen und medizinisch-sozialen Dienstleistungen zu erbringen, sofern die Verarbeitung personenbezogener Daten von einer Person durchgeführt wird, die ärztlich tätig ist und die gemäß den Gesetzen der Russischen Föderation der ärztlichen Schweigepflicht untersteht;
— die Verarbeitung personenbezogener Daten erforderlich ist, um die Rechte der betroffenen Person oder Dritter sowie im Zusammenhang mit der Rechtspflege zu begründen oder auszuüben;
— die Verarbeitung personenbezogener Daten in Übereinstimmung mit den Rechtsvorschriften über obligatorische Versicherungsarten mit der Versicherungsgesetzgebung erfolgt.
Die Verarbeitung besonderer Kategorien personenbezogener Daten ist unverzüglich zu beenden, wenn die Gründe für ihre Verarbeitung ausgeschlossen sind, sofern nichts Gegenteiliges durch Bundesgesetz bestimmt ist.
Die Verarbeitung personenbezogener Daten im Strafregister darf vom Auftragsverarbeiter nur in den Fällen und in der Weise durchgeführt werden, die in Übereinstimmung mit den Bundesgesetzen festgelegt sind.
2.6. Biometrische personenbezogene Daten
Daten zu den physiologischen oder biologischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen — biometrische personenbezogene Daten — können vom Auftragsverarbeiter nur mit der schriftlichen Einwilligung der betroffenen Person verarbeitet werden.
2.7. Einbindung des Dritten für die Verarbeitung personenbezogener Daten
Der Auftragsverarbeiter hat das Recht, die Verarbeitung personenbezogener Daten mit Einwilligung der betroffenen Person einer anderen Person anzuvertrauen, sofern nichts Gegenteiliges durch Bundesgesetz, aufgrund eines Vertrags mit diesem Dritten, bestimmt ist. Der Dritte, der personenbezogene Daten im Auftrag des Auftragsverarbeiters
verarbeitet, ist verpflichtet, die im Bundesgesetz vorgesehenen Grundsätze und Regeln für die Verarbeitung personenbezogener Daten einzuhalten.
2.8. Grenzüberschreitende Weitergabe personenbezogener Daten
Der Auftragsverarbeiter ist vor Beginn der Weitergabe der Daten verpflichtet, sich davon zu überzeugen, dass der ausländische Staat, auf dessen Territorium die Weitergabe personenbezogener Daten erfolgt, einen angemessenen Schutz der Rechte der betroffenen Person gewährleisten soll.
Die grenzüberschreitende Weitergabe personenbezogener Daten auf das Territorium eines ausländischen Staates, die keinen angemessenen Schutz der Rechte personenbezogener Daten gewährleisten, kann in folgenden Fällen durchgeführt werden:
— die schriftliche Einwilligung der betroffenen Person zur grenzüberschreitenden Weitergabe ihrer personenbezogenen Daten;
— Ausführung des Vertrags, für den die betroffene Person Partei ist.
3. WELCHE RECHTE HABEN SIE BEZÜGLICH IHRER DATEN?
3.1. Einwilligung der betroffenen Person zur Datenverarbeitung
Die betroffene Person entscheidet über die Bereitstellung ihrer personenbezogenen Daten und erteilt die Einwilligung zu deren Verarbeitung frei, nach ihrem eigenen Willen und aus eigenem Interesse. Die Einwilligung zur Verarbeitung personenbezogener Daten kann von den betroffenen Person oder ihrem Vertreter in einer Form erteilt werden, die es erlaubt, die Tatsache ihres Empfangs zu bestätigen, sofern nichts Gegenteiliges durch Bundesgesetz bestimmt ist.
Der Auftragsverarbeiter ist verpflichtet, den Nachweis der Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten oder den Nachweis der Gründe zu erbringen, die im FZ-152 angegeben sind.
3.2. Welche Rechte haben Sie bezüglich Ihrer Daten?
Die betroffene Person hat das Recht, Informationen vom Auftragsverarbeiter bezüglich der Verarbeitung ihrer personenbezogenen Daten zu erhalten, wenn ein solches Recht nicht durch Bundesgesetzen eingeschränkt ist. Die betroffene Person hat das Recht, vom Auftragsverarbeiter zu verlangen, ihre personenbezogenen Daten zu klären, zu sperren oder zu vernichten, wenn die personenbezogenen Daten unvollständig, veraltet, ungenau, illegal oder nicht für den angegebenen Zweck der Verarbeitung erhoben sind, sowie die gesetzlich vorgesehenen Maßnahmen zu ergreifen, um ihre Rechte zu schützen .
Die Verarbeitung personenbezogener Daten zur Promotion der Ware, Werken, Dienstleistungen auf dem Markt durch direkte Kontakte mit einem potentiellen Verbraucher über Kommunikationsmittel sowie für politische Kampagnen ist nur mit vorheriger Einwilligung der betroffenen Person erlaubt. Diese Verarbeitung personenbezogener Daten gilt als ohne die vorherige Einwilligung der betroffenen Person durchgeführt, es sei denn, das Unternehmen beweist, dass eine solche Einwilligung erteilt wurde.
Der Auftragsverarbeiter ist verpflichtet, die Verarbeitung der personenbezogenen Daten für die oben genannten Zwecke auf Anfrage der betroffenen Person unverzüglich zu löschen.
Es ist verboten, Entscheidungen zu treffen, die ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten basieren, die juristischen Folgen in Bezug auf die betroffene Person hervorrufen oder ihre Rechte und berechtigten Interessen anderweitig verletzen, außer in Fällen, die durch Bundesgesetz bestimmt sind mit der schriftlichen Einwilligung der betroffenen Person.
Wenn die betroffene Person der Ansicht ist, dass der Auftragsverarbeiter ihre personenbezogenen Daten entgegen den Anforderungen von FZ-152 verarbeitet oder anderweitig ihre Rechte und Freiheiten verletzt, hat die betroffene Person das Recht, gegen die Handlung oder Unterlassung des Auftragsverarbeiter beim zuständigen Behörde zu protestieren, um ihre Rechte zu schützen.
Die betroffene Person hat das Recht, ihre Rechte und berechtigte Interessen zu schützen, einschließlich Schadensersatz und (oder) Entschädigung für immaterielle Schäden durch das Gericht.
4.SICHERHEIT PERSONENBEZOGENER DATEN
Die Sicherheit der vom Auftragsverarbeiter verarbeiteten personenbezogenen Daten wird durch die Umsetzung gesetzlicher, organisatorischer und technischer Maßnahmen sichergestellt, die erforderlich sind, um die Anforderungen der Bundesgesetzgebung im Bereich des Schutzes personenbezogener Daten zu erfüllen.
Um unbefugten Zugriff zur personenbezogenen Daten zu verhindern, wendet der Auftragsverarbeiter folgende organisatorische und technische Maßnahmen an:
— Ernennung von Beamten, die für die Organisation der Verarbeitung und des Schutzes personenbezogener Daten verantwortlich sind;
— Begrenzung der Anzahl der Personen, die Zugriff zu personenbezogenen Daten haben;
— Einarbeitung der Teilnehmer in die Anforderungen der Bundesgesetzgebung und der behördlichen Dokumente des Auftragsverarbeiters zur Verarbeitung und zum Schutz personenbezogener Daten;
— Organisation der Registrierung, Speicherung und Verbreitung von Informationsträger;
— Identifizierung von Gefährdung der Sicherheit personenbezogener Daten während ihrer Verarbeitung, die Bildung von Gefährdungsmodellen auf deren Grundlage;
— Entwicklung eines auf einem Gefährdungsmodell basierenden Systems zum Schutz personenbezogener Daten;
— Überprüfung der Bereitschaft und Wirksamkeit der Verwendung von Informationssicherheitsmitteln;
— Abgrenzung des Benutzerzugriffs zu Informationsressourcen und Firmware für die Informationsverarbeitung;
— Registrierung und Aufzeichnung von Aktionen der Benutzer von Informationssystem personenbezogener Daten;
— die Verwendung von Virenschutz- und Rettungmittel für System zum Schutz personenbezogener Daten;
— Einsatz von Firewall-, Intrusion Detection-, Sicherheitsanalyse- und kryptografischen Verschlüsselungsverfahren, wo dies erforderlich ist;
— Organisation der Zugangskontrolle zu den Geschäftsräumen des Auftragsverarbeiters, Schutz der Räumlichkeiten mit technischen Mitteln zur Verarbeitung personenbezogener Daten.
5.SCHLUSSBESTIMMUNGEN
Andere Rechte und Pflichten des Auftragsverarbeiters personenbezogener Daten ergeben sich aus den Rechtsvorschriften der Russischen Föderation im Bereich personenbezogener Daten.
Beamten des Auftragsverarbeiters, die sich der Verletzung der Vorschriften über die Verarbeitung und den Schutz personenbezogener Daten schuldig gemacht haben, tragen in der von den Bundesgesetzen vorgeschriebenen Weise materielle, disziplinarische, administrative, zivilrechtliche oder strafrechtliche Verantwortung.