Moskwa, 2017 r.
1.POSTANOWIENIA OGÓLNE
Polityka przetwarzania danych osobowych (zwana dalej „Polityką”) została opracowana zgodnie z ustawą federalną z dnia 27.07.2006. Nr 152-FZ „O danych osobowych” (dalej – FZ-152).
Niniejsza Polityka określa sposób przetwarzania danych osobowych i środki w celu zapewnienia bezpieczeństwa danych osobowych w spółce „Lex Optimum” Sp. z o.o. (dalej – Operator) w celu ochrony praw i wolności człowieka i obywatela w związku z przetwarzaniem jego danych osobowych, w tym ochrony praw do prywatności, osobistej i rodzinnej tajemnicy.
W Polityce stosowane są następujące podstawowe pojęcia:
automatyczne przetwarzanie danych osobowych – przetwarzanie danych osobowych za pomocą urządzeń komputerowych;
blokowanie danych osobowych – czasowe zakończenie przetwarzania danych osobowych (z wyjątkiem przypadków, gdy przetwarzanie danych jest konieczne do precyzowania danych osobowych);
informacyjny system danych osobowych – zestaw danych osobowych zawartych w bazach danych osobowych i zapewniający ich przetwarzanie za pomocą technologii informatycznych i środków technicznych;
depersonalizacja danych osobowych – czynności, w wyniku których niemożliwe jest określenie bez podania dodatkowych informacji przynależności danych osobowych do określonego podmiotu danych osobowych;
przetwarzanie danych osobowych – każda czynność (operacja) lub zestaw czynności (operacji) wykonywanych przy użyciu środków automatyki lub bez zastosowania takich środków z danymi osobowymi, w tym zbieranie, utrwalanie, systematyzacja, gromadzenie, przechowywanie, precyzowanie (aktualizacja, modyfikacja), wyciąganie, wykorzystanie, przekazywanie (dystrybucja, udostępnianie, dostęp), depersonalizacja, blokowanie, usuwanie, niszczenie danych osobowych;
operator – organ państwowy, organ municypalny, podmiot prawny lub osoba fizyczna, samodzielnie lub wspólnie z innymi osobami, organizujący i (lub) dokonujący przetwarzania danych osobowych, a także definiujący cele przetwarzania danych osobowych, skład danych osobowych podlegających przetworzeniu, czynności (operacje) dokonywane w odniesieniu do danych osobowych;
dane osobowe – wszelkie informacje bezpośrednio lub pośrednio dotyczące określonej lub określanej osoby fizycznej (podmiotu danych osobowych);
udostępnianie danych osobowych – działania mające na celu ujawnienie danych osobowych określonej osobie lub pewnemu kręgowi osób;
rozpowszechnianie danych osobowych – działania zmierzające do ujawnienia danych osobowych nieokreślonemu kręgowi osób (przekazywanie danych osobowych) lub zapoznania z danymi osobowymi nieograniczonego kręgu osób, łącznie z ujawnieniem danych osobowych w mediach, umieszczeniem w sieciach informatycznych i telekomunikacyjnych lub zapewnieniem dostępu do danych osobowych w jakikolwiek inny sposób;
transgraniczne przekazywanie danych osobowych – przekazywanie danych osobowych na terytorium obcego państwa do organu państwa obcego, zagranicznej osobie fizycznej lub zagranicznemu podmiotowi prawnemu;
niszczenie danych osobowych – działania, w wyniku których niemożliwe jest odtworzenie treści danych osobowych w systemie informatycznym danych osobowych i (lub) w wyniku którego zniszczone są materialne nośniki danych osobowych.
Spółka jest zobowiązana do publikowania lub zapewniania w inny sposób nieograniczonego dostępu do niniejszej Polityki przetwarzania danych osobowych zgodnie z postanowieniami cz. 2 art. 18.1. FZ-152.
2.ZASADY I WARUNKI PRZETWARZANIA DANYCH OSOBOWYCH
2.1. Zasady przetwarzania danych osobowych
Przetwarzanie danych osobowych przez Operatora odbywa się w oparciu o następujące zasady:
– legalność i uczciwość;
– ograniczenie przetwarzania danych osobowych wraz z osiągnięciem konkretnych, wcześniej ustalonych i zgodnych z prawem celów;
– zapobieganie przetwarzaniu danych osobowych w sposób niezgodny z celami gromadzenia danych osobowych;
– zapobieganie unifikacji baz danych zawierających dane osobowe, których przetwarzanie odbywa się w celach niezgodnych ze sobą;
– przetwarzanie tylko tych danych osobowych, które spełniają cele ich przetwarzania;
– zgodność treści i objętości przetwarzanych danych osobowych z deklarowanymi celami przetwarzania;
– zapobieganie przetwarzaniu danych osobowych, które są nadmierne w stosunku do deklarowanych celów ich przetwarzania;
– zapewnienie dokładności, kompletności i aktualności danych osobowych w stosunku do celów przetwarzania danych osobowych;
– zniszczenie lub depersonalizacja danych osobowych po osiągnięciu celów ich przetwarzania, lub w przypadku utraty konieczności osiągnięcia tych celów, w przypadku niemożliwości wyeliminowania przez Operatora dopuszczonych naruszeń danych osobowych, chyba że ustawa federalna stanowi inaczej.
2.2. Warunki przetwarzania danych osobowych
Operator przetwarza dane osobowe w obecności co najmniej jednego z następujących warunków:
– przetwarzanie danych osobowych odbywa się za zgodą podmiotu danych osobowych na przetwarzanie jego danych osobowych;
– przetwarzanie danych osobowych jest niezbędne do osiągnięcia celów określonych w międzynarodowym traktacie Federacji Rosyjskiej lub w ustawie, w celu realizacji i wykonywania funkcji, uprawnień i obowiązków nałożonych przez ustawodawstwo Federacji Rosyjskiej na Operatora;
– przetwarzanie danych osobowych jest niezbędne do wymierzania sprawiedliwości, wykonania aktu sądowego, aktu innego organu lub urzędnika podlegających egzekucji zgodnie z prawem Federacji Rosyjskiej w sprawie postępowania egzekucyjnego;
– przetwarzanie danych osobowych jest konieczne dla realizacji umowy, której stroną lub beneficjentem lub gwarantem na mocy której jest podmiot danych osobowych, jak również do zawarcia umowy z inicjatywy podmiotu danych osobowych lub umowy, zgodnie z którą podmiot danych osobowych będzie beneficjentem lub gwarantem;
– przetwarzanie danych osobowych jest niezbędne do wykonywania praw i uzasadnionych interesów operatora lub podmiotów trzecich, lub do osiągnięcia celów interesu ogólnego, pod warunkiem, że nie narusza praw i wolności podmiotu danych osobowych;
– dokonywane jest przetwarzanie danych osobowych, dostęp nieograniczonego kręgu osób do których jest zapewniony przez podmiot danych osobowych lub na jego wniosek (dalej: – publicznie dostępne dane osobowe);
– dokonywane jest przetwarzanie danych osobowych podlegających publikacji lub obowiązkowemu ujawnieniu zgodnie z ustawą federalną.
2.3. Poufność danych osobowych
Operator i inne osoby, które mają dostęp do danych osobowych, są zobowiązani do nieujawniania osobom trzecim i nierozpowszechniania danych osobowych bez zgody podmiotu danych osobowych, chyba że ustawa federalna stanowi inaczej.
2.4. Publicznie dostępne źródła danych osobowych
W celu dostarczenia informacji Operator może tworzyć publiczne źródła danych osobowych podmiotów, w tym katalogi i książki adresowe. Źródła publicznych danych osobowych, za pisemną zgodą podmiotu, mogą zawierać jego imię, nazwisko, datę i miejsce urodzenia, stanowisko, numery telefonów kontaktowych, adres e-mail i inne dane osobowe przekazywane przez podmiot danych osobowych.
Informacje o podmiocie muszą zostać usunięte w dowolnym momencie z publicznie dostępnych źródeł danych osobowych na wniosek podmiotu lub zgodnie z decyzją sądu lub innych upoważnionych organów państwowych.
2.5. Specjalne kategorie danych osobowych
Przetwarzanie przez Operatora specjalnych kategorii danych osobowych dotyczących pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, zdrowia, życia seksualnego, jest dozwolone w następujących przypadkach:
– przedmiot danych osobowych wyraził zgodę na piśmie na przetwarzanie jego danych osobowych;
– dane osobowe zostały udostępnione szerokiej publiczności przez podmiot danych osobowych;
– przetwarzanie danych osobowych odbywa się zgodnie z ustawodawstwem dotyczącym państwowej pomocy społecznej, prawem pracy, ustawodawstwem Federacji Rosyjskiej w sprawie emerytur państwowych, w sprawie emerytur pracowniczych;
– przetwarzanie danych osobowych jest niezbędne do ochrony życia, zdrowia lub innych żywotnych interesów podmiotu danych osobowych lub życia, zdrowia lub innych żywotnych interesów innych osób, a uzyskanie zgody podmiotu danych osobowych nie jest możliwe;
– przetwarzanie danych osobowych dokonywane jest w celach leczniczych i zapobiegawczych, w celu ustalenia diagnozy medycznej, świadczenia opieki zdrowotnej i usług medycznych i społecznych, pod warunkiem, że przetwarzanie danych osobowych prowadzone jest przez osoby zawodowo zaangażowane w działalności medycznej i zobowiązane, zgodnie z ustawodawstwem Federacji Rosyjskiej, do zachowania tajemnicy lekarskiej;
– przetwarzanie danych osobowych niezbędne jest do ustanowienia lub realizacji praw podmiotu danych osobowych lub osób trzecich, jak również w związku z wymierzeniem sprawiedliwości;
– przetwarzanie danych osobowych odbywa się zgodnie z przepisami dotyczącymi obowiązkowych ubezpieczeń, zgodnie z ustawodawstwem ubezpieczeniowym.
Przetwarzanie szczególnych kategorii danych osobowych musi zostać natychmiast zakończone, jeżeli przyczyny ich przetwarzania zostaną wyeliminowane, chyba że ustawa federalna stanowi inaczej.
Przetwarzanie danych osobowych dotyczących karalności może być dokonywane przez Operatora tylko w przypadkach i w sposób określony zgodnie z ustawami federalnymi.
2.6. Biometryczne dane osobowe
Informacje, które charakteryzują fizjologiczne i biologiczne cechy człowieka, na podstawie którego możliwe jest ustalenie jego tożsamości – biometryczne dane osobowe – mogą być przetwarzane przez Operatora wyłącznie za pisemną zgodą podmiotu.
2.7. Powierzenie przetwarzania danych osobowych innej osobie
Operator ma prawo powierzyć przetwarzanie danych osobowych innej osobie, za zgodą podmiotu danych osobowych, o ile nie wskazano inaczej w ustawie federalnej, na podstawie zawartej umowy z tą osobą. Osoba wykonująca przetwarzanie danych osobowych w imieniu Operatora jest zobowiązana do przestrzegania zasad i przepisów dotyczących przetwarzania danych osobowych przewidzianych przez FZ-152.
2.8. Transgraniczne przekazywanie danych osobowych
Operator powinien przekonać się, że obce państwo, na terytorium którego planowane jest przekazanie danych osobowych, zapewniło odpowiednią ochronę praw podmiotów danych osobowych przed rozpoczęciem takiego przekazania.
Transgraniczne przekazywanie danych osobowych na terytorium państw obcych, które nie zapewniają odpowiedniej ochrony praw podmiotów danych osobowych, może być przeprowadzane w następujących przypadkach:
– obecność zgody na piśmie podmiotu danych osobowych na transgraniczne przekazywanie jego danych osobowych;
– wykonanie umowy, której stroną jest podmiot danych osobowych.
3. PRAWA PODMIOTU DANYCH OSOBOWYCH
3.1. Zgoda podmiotu danych osobowych na przetwarzanie jego danych osobowych z
Podmiot danych osobowych podejmuje decyzję o podaniu jego danych osobowych i wyraża zgodę na ich przetwarzanie w sposób wolny, z własnej woli i we własnym interesie. Zgodę na przetwarzanie danych osobowych może wyrazić podmiot danych osobowych lub jego pełnomocnik w dowolnej postaci, która pozwala potwierdzić fakt jej otrzymania, chyba że ustawa federalna stanowi inaczej.
Obowiązek przedstawienia dowodu otrzymania zgody podmiotu danych osobowych na przetwarzanie jego danych osobowych lub dowodu obecności podstaw określonych w FZ-152 spoczywa na Operatorze.
3.2. Prawa podmiotu danych osobowych
Podmiot danych osobowych ma prawo do otrzymania od Operatora informacji dotyczących przetwarzania jego danych osobowych, jeżeli prawo to nie jest ograniczone zgodnie z ustawami federalnymi. Podmiot danych osobowych ma prawo wymagać od Operatora precyzowania swoich danych osobowych, ich blokowania lub zniszczenia w przypadku, gdy dane osobowe są niekompletne, nieaktualne, nieprawdziwe, nielegalnie uzyskane lub nie są konieczne do wnioskowanego celu przetwarzania, a także podejmować przewidziane przez prawo środki w zakresie ochrony swoich praw .
Przetwarzanie danych osobowych w celu promowania towarów, robót i usług na rynku poprzez bezpośredni kontakt z potencjalnym klientem za pomocą środków komunikacji, jak również dla celów propagandy politycznej jest dozwolone wyłącznie za uprzednią zgodą podmiotu danych osobowych. Wymienione przetwarzanie danych osobowych uznaje się za dokonane bez uprzedniej zgody podmiotu danych osobowych, chyba że Spółka udowodni, że uzyskano taką zgodę.
Operator musi natychmiast zaprzestać na żądanie podmiotu danych osobowych przetwarzania jego danych osobowych w wyżej wymienionych celach.
Zabronione jest podjęcie oparte wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych decyzji, które wywołują skutki prawne w odniesieniu do podmiotu danych osobowych lub w inny sposób wpływają na jego prawa i słuszne interesy, z wyjątkiem przypadków przewidzianych przez ustawy federalne lub z pisemnej zgody podmiotu danych osobowych.
Jeżeli podmiot danych osobowych uważa, że Operator dokonuje przetwarzania jego danych osobowych z naruszeniem ustawy federalnej FZ-152, lub w inny sposób narusza jego prawa i wolności, podmiot danych osobowych ma prawo do odwołania się od działania lub zaniechania Operatora do Upoważnionego organu ds. ochrony praw podmiotów danych osobowych lub do sądu.
Podmiot danych osobowych ma prawo do ochrony swoich praw i uzasadnionych interesów, w tym odszkodowania strat i (lub) odszkodowania za szkody moralne na drodze sądowej.
4.ZAPEWNIENIE BEZPIECZEŃSTWA DANYCH OSOBOWYCH
Bezpieczeństwo danych osobowych przetwarzanych przez Operatora zapewniane jest poprzez wdrożenie prawnych, organizacyjnych i technicznych środków niezbędnych do zapewnienia wymogów przepisów federalnych w zakresie ochrony danych osobowych.
Aby zapobiec nieautoryzowanemu dostępowi do danych osobowych, Operator stosuje następujące środki organizacyjne i techniczne:
– mianowanie urzędników odpowiedzialnych za organizację przetwarzania i ochrony danych osobowych;
– ograniczenie składu osób mających dostęp do danych osobowych;
– zapoznanie podmiotów z wymogami ustawodawstwa federalnego i dokumentów regulacyjnych Operatora dotyczącymi przetwarzania i ochrony danych osobowych;
– organizacja ewidencji, przechowywania i obiegu nośników informacji;
– identyfikacja zagrożeń dla bezpieczeństwa danych osobowych podczas przetwarzania, tworzenie opartych na nich modeli zagrożeń;
– opracowanie systemu ochrony danych osobowych w oparciu o model zagrożenia;
– sprawdzenie gotowości i skuteczności korzystania z narzędzi ochrony informacji;
– zróżnicowanie dostępu użytkowników do zasobów informacyjnych oraz oprogramowania i sprzętu do przetwarzania informacji;
– rejestracja i ewidencja działań użytkowników systemów informacyjnych danych osobowych;
– wykorzystanie antywirusa i środków przywracania systemu ochrony danych osobowych;
– zastosowanie w niezbędnych przypadkach zapory sieciowej, środków wykrywania włamań, analizy bezpieczeństwa i środków kryptograficznej ochrony informacji ;
– organizacja systemu dostępu na terytorium Operatora, ochrony pomieszczeń za pomocą środków technicznych do przetwarzania danych osobowych.
5. POSTANOWIENIA KOŃCOWE
Inne prawa i obowiązki Operatora jako operatora danych osobowych są określone przez ustawodawstwo Federacji Rosyjskiej w zakresie danych osobowych.
Urzędnicy Operatora, którzy są winni naruszenia zasad regulujących przetwarzanie i ochronę danych osobowych, ponoszą odpowiedzialność materialną, dyscyplinarną, administracyjną, cywilnoprawną lub karną zgodnie z procedurą ustanowioną przez ustawy federalne.