Grasys 数据保密保护政策
JSC Grasys(以下简称 JSC Grasys,运营商)在个人数据处理方面的个人数据隐私政策(以下简称隐私政策)是根据第 1 段的要求制定的。 2,艺术第 1 部分。 2006 年 7 月 27 日《关于个人数据的联邦法》第 152-FZ 号(以下简称《联邦法》)第 18.1 条,旨在确保在个人数据处理中保护公民权利和政治权利及自由,包括保护 个人和家庭隐私权。
本隐私政策适用于运营商可能收到的有关用户的所有个人数据,特别是但不仅限于用户通过位于数据电信网络互联网 www.grasys.cn 访问的运营商数据资源获得的数据。
本隐私政策适用于运营商在本隐私政策批准之前建立的以及之后出现的个人数据处理关系。
在执行联邦法第 18.1 条第 2 部分的规定时,隐私政策可以在数据电信网络互联网上自由访问,特别是在运营商的官方网站 www.grasys.cn 上。
本隐私政策规定了 JSC Grasys 的个人数据收集、存储、传输和其他处理类型的一般条款和条件,以及有关适用和实施的个人数据保护要求的信息。 本隐私政策是根据俄罗斯联邦的有效法律制定的,旨在提高机密信息(特别是个人数据)的安全水平,旨在加强个人数据保护的监控策略和策略。
1. 术语和定义
本隐私政策对术语的描述如下:
1.1. 个人数据是指直接或间接涉及明确说明或定义的自然人(个人数据主体)的任何信息。
1.2. 个人信息主体允许分发的个人数据是指个人信息主体根据法律规定同意处理个人信息主体允许分发的个人数据,从而可供所有人访问的个人数据。
1.3. 运营者是指单独或与其他人共同组织和/或实施个人数据处理的政府机构、市政机构、法人或自然人,并明确个人数据处理的目的、个人数据的范围 涉及个人数据的处理和行动(操作)。 在本隐私政策中,运营商是指包括但不限于 JSC Grasys。
1.4. 个人数据处理是指通过自动化设施或不借助自动化设施实施的涉及个人数据的任何行为(操作)或一组行为(操作),包括收集、记录、系统化、积累、存储、更新(更新和更新) 更改)、检索、使用、传输(分发、提交和访问)、匿名化、联锁、删除和销毁个人数据。
1.5. 自动个人数据处理是指通过计算机工程手段处理个人数据。
1.6. 个人数据分发是指旨在向任意数量的不特定人员披露个人数据的行为。
1.7. 个人数据提交是指旨在向特定个人或特定群体披露个人数据的行为。
1.8. 个人数据联锁是指暂时终止个人数据处理(需要处理以纠正个人数据的情况除外)。
1.9. 个人数据销毁是指导致个人数据信息系统中的个人数据内容无法恢复和/或导致承载个人数据的物质介质遭到破坏的行为。
1.10. 个人数据的去个性化是指导致在不使用附加信息的情况下无法识别个人数据属于特定个人数据主体的行为。
1.11. 个人数据信息系统是指数据库中包含的个人数据以及保证其处理的信息技术、硬件和软件的总和。
1.12. 网站管理是指代表 JSC Grasys 负责网站管理的官员行事,负责安排和/或执行个人数据处理,并定义个人数据处理的目标、处理的数据范围、采取的行动(操作) 关于需要进一步执行的个人数据。
1.13。 个人数据保密性是指对运营商或有权访问个人数据的另一方的约束力,要求在未经个人数据主体同意或有其他合法理由的情况下不允许披露个人数据。
1.14. 网站用户(以下简称“用户”)是指通过互联网访问并使用本网站的人。
1.15。 Cookies是指每次尝试打开相关网站的页面时,由网络服务器提交并存储在用户计算机上的一小块数据,由网络客户端或网络浏览器作为HTTP请求发送到网络服务器。
1.16。 运营者的信息资源是指域名为www.grasys.cn的网站。
1.17。 IP地址是指采用IP协议构建的计算机网络中节点的唯一网络级地址。
1.18。 信息资源运营者是指拥有信息资源www.grasys.cn、对该资源实施控制、收集和处理个人数据的JSC Grasys。
2. 一般规定
2.1. 个人数据收集的目的
2.1.1. 个人数据处理应仅限于实现特定、预定和合法的目的。 与个人数据收集目的不相符的个人数据可能不会被处理。
2.1.2. 只有满足其处理目的的个人数据才会受到处理。
2.1.3. 运营商应进行个人数据处理,以达到以下效果:
确保遵守俄罗斯联邦宪法、联邦法律和俄罗斯联邦其他法律文书;
确保在个人数据处理中保护公民权利和政治权利及自由,包括保护个人和家庭隐私权;
利用通信设施与潜在消费者直接接触,在市场上推广运营商的商品、工程和服务;
按照本章程的规定实施公司活动;
参与人力资源记录保存活动;
为劳动力就业、教育和职业发展提供帮助,确保员工的人身安全,监控工作量和绩效标准,保管财产;
向主管当局和其他机构报告和转交按规定格式填写的财务报表;
落实民事法律关系;
会计记录保存;
与个人数据主体建立反馈,包括发送通知、与运营商信息资源的使用、服务成就、处理查询和申请相关的请求;
本地化用户以提供安全预防措施并防止欺诈;
如果出现任何涉及运营商网站使用的问题,为用户提供高效的客户和技术支持。
2.1.4. 个人数据处理应由运营商进行,其唯一目的是确保遵守俄罗斯联邦法律。
2.1.5。 本隐私政策仅适用于运营商的信息资源,包括www.grasys.cn网站。 运营商不对个人数据主体通过运营商网站上的链接访问的任何第三方网站进行控制,也不承担任何责任。
3. 个人数据处理的法律框架
3.1. 个人数据处理的法律框架应是一套法定文书,运营商根据这些法律文书处理个人数据,包括:
俄罗斯联邦宪法;
俄罗斯联邦民法典;
俄罗斯联邦劳动法;
1995 年 12 月 26 日第 208-FZ 号联邦法,关于股份公司;
2011 年 12 月 6 日第 402-FZ 号联邦法,关于会计;
2001 年 12 月 15 日第 167-FZ 号联邦法,关于俄罗斯联邦强制养老金保险;
规范与运营商活动相关的关系的其他法定文书。
3.2. 除上述法定文书外,运营商处理个人数据的法律依据还应基于:
JSC Grasys 的公司章程;
运营商与随后作为个人数据主体的交易对手之间签订的协议;
与劳动力签订的劳动合同;
个人数据的同意 接受其个人数据处理,特别是通过填写设备请求、服务请求、培训请求、服务提供商回电请求、设备订单、运营商官方网站 www. 上发布的反馈表格来提供。 grasys.cn。
4. 双方的权利和义务
4.1. 运营商的权利和义务。
4.1.1. 经营者有权:
- 自行控制必要且充分的措施的组成和清单,以确保履行联邦法律及其通过的法定文书规定的义务,除非联邦法律或其他联邦法案另有规定;
- 经个人数据主体同意,将个人数据处理委托给他人,除非联邦法律根据与该人签订的协议另有规定。 代表运营商从事个人数据处理的人员有义务遵守联邦法律规定的个人数据处理政策和准则;
- 如果个人数据主体撤回对个人数据处理的同意,并且在联邦法律规定的理由适用的情况下,运营商有权在未经个人数据主体同意的情况下继续进行个人数据处理。
运营商有权在不通知授权机构的情况下进行个人数据处理,以保护以下个人数据主体的权利:
- 根据劳动法进行处理;
- 如果未经个人数据主体同意,个人数据未分发或提供给第三方,而是由运营商仅用于执行目的,则由运营商收到,与个人数据主体作为一方签订的协议有关 与个人数据主体达成的此类协议和合同的签订;
- 经个人数据主体允许分发,前提是运营商遵守联邦法律第 10.1 条规定的禁止活动和规定;
- 仅个人数据主体的姓氏、名字和父名;
- 为了一次性通过运营商所在地区的个人数据或其他类似目的而必需;
- 纳入个人数据信息系统且符合联邦法律具有国家自动化系统地位的,以及纳入为保护国家安全和公共和平而建立的国家个人数据信息系统;
- 根据俄罗斯联邦联邦法律或其他法定文书,在不使用自动化设施的情况下进行处理,这些法律或文书规定了确保处理过程中个人数据安全的要求以及尊重个人数据主体权利的要求;
- 在俄罗斯联邦运输安全法律规定的情况下进行处理,以确保运输业的可持续和无事故绩效,保护适用于运输业的个人、社会和国家的利益免受以下行为的影响: 非法干扰。
4.1.2. 经营者应承担以下职责:
- 根据法律要求安排个人数据处理;
- 根据法律要求回应个人数据主体及其法律代表的请求和提交的材料;
- 在收到此类信息之日起 30 天内,应要求向保护个人数据主体权利的授权机构(联邦通信、信息技术和大众传播监管局 (Roskomnadzor))报告必要的信息 要求。
4.2. 个人数据主体的权利:
4.2.1. 个人数据主体应有权:
- 接收与其个人数据处理相关的信息,联邦法律另有规定的除外。 运营商应以可访问的形式向个人数据主体提供信息,并且此类信息不应包含与其他个人数据主体相关的个人数据,除非有法律依据披露此类个人数据。 信息清单和采购程序由联邦法律规定。
- 如果个人数据不完整、过时、不准确、非法获取或对于所述处理目的而言并非必要,则要求运营商更新其个人数据、联锁或销毁其个人数据,并采取法律措施 保护他们的权利;
4.2.2. 个人数据主体有义务提供第 5.2 条中指定的个人数据信息。 本隐私政策,以及更新和补充所提供的个人数据(如有变更)。
5. 处理的个人数据范围和类别、个人数据主体类别
5.1. 处理的个人数据的内容和范围应符合所声明的处理目的。 处理的个人数据相对于其处理的所述目的而言不应是多余的。
5.2. 运营商可以处理以下类别的个人数据主体的个人数据:
- 运营商的雇员、前雇员、填补空缺的候选人以及雇员的大家庭;
- 运营商的客户和交易对手(个人);
- 运营商的客户和交易对手(法人实体)的代表/员工。
5.2.1. 经营者雇用的就业申请人:
姓氏、名字和父名;
性别;
国籍;
出生地点和日期;
护照数据;
兵役记录簿;
联系方式;
教育背景、工作经验说明、证书;
申请人在简历和求职信中提供的其他个人数据。
5.2.2. 运营商的员工(前员工):
姓氏、名字和父名;
性别;
国籍;
出生地点和日期;
图片照片);
护照数据;
兵役记录簿;
居住地的注册地址;
实际居住地址;
联系方式;
个人纳税人号码;
个人保险账号;
教育和资格背景、专业发展和充实细节;
婚姻状况;
工作经历;
婚姻记录详细信息;
兵役详情;
有关永久残疾的详细信息;
维护保养扣除详情;
前雇主的收入记录;
员工根据劳动法要求提供的其他个人数据。
5.2.3. 经营者雇员的直系亲属:
姓氏、名字和父名;
家庭关系;
出生日期;
员工根据劳动法要求提供的其他个人数据。
5.2.4. 运营商的客户和交易对手(个人):
姓氏、名字和父名;
出生地点和日期;
护照数据;
居住地的注册地址;
联系方式;
持有的立场;
个人纳税人号码;
当前帐号;
客户和交易对手(个人)提供的执行和履行协议所需的个人数据。
5.2.5。 运营商客户和交易对手(法人实体)的代表/员工:
姓氏、名字和父名;
护照数据;
联系方式;
持有的立场;
客户和交易对手的代表/员工提供的执行和履行协议所需的其他个人数据。
5.3. 除俄罗斯联邦适用法律规定的情况外,运营商不会处理与种族出身、民族身份、政治观点、宗教信仰或哲学信念、健康状况相关的特殊类别的个人数据。
6. 个人数据处理的程序和规定
6.1. 个人数据处理应由运营商按照俄罗斯联邦法律的要求进行。
6.2. 个人数据处理应在个人数据主体同意的情况下进行,在俄罗斯联邦法律规定的情况下也无需个人数据主体的同意。
6.3. 运营商应对个人数据进行自动和非自动处理。
6.4. 负责个人数据处理的运营商员工可以处理个人数据。
6.5. 个人数据处理应通过以下方式进行:
- 直接从个人数据主体处接收口头和书面形式的个人数据;
- 从公开来源获取个人数据;
- 将个人数据输入运营商的日志、登记册和信息系统;
- 使用其他个人数据处理程序。
6.6. 未经个人数据主体同意,任何时候都不得向第三方披露或分发个人数据,联邦法律另有规定的情况除外。 就其分发而言的个人数据处理同意书应与个人数据主体对个人数据处理给予的其他同意书分开签发。
对于受试者提交的数据,应予以保密,但受试者自愿报告特定信息以供公众查阅的情况除外。
6.7. 个人数据向调查和初步调查机构、联邦税务局、俄罗斯联邦养老基金、社会保险基金和其他主管执行机关和机构的转移应按照俄罗斯联邦法律的要求进行 。
6.8。 运营商应采取必要的法律、管理和技术措施,保护个人数据免遭未经授权或意外的访问、破坏、更改、联锁、分发和其他未经授权的行为,包括但不限于:
识别处理过程中对个人数据安全的威胁;
采用管理适用于个人数据处理和保护的关系的地方法规和其他文书;
指定运营商业务部门和信息系统中的个人数据安全负责人;
创造有利于个人数据管理的条件;
对包含个人数据的文件进行会计处理的安排;
个人数据的存储条件应确保其安全并排除未经授权的访问;
安排对从事个人数据处理的运营商员工进行培训。
6.9。 运营商应以允许在比个人数据处理目的所需的更短的时间内确定个人数据主体的形式存储个人数据,除非联邦法律或合同规定了个人数据的保留期限 。
6.10。 在收集个人数据(包括通过信息和电信网络互联网获得的个人数据)时,运营商应确保使用位于俄罗斯联邦境内的数据库记录、系统化、积累、存储、改进(更新、更改)、检索俄罗斯联邦公民的个人数据。 除非联邦法律另有规定。
7. 个人数据更新、更正、删除和销毁。 考虑主题访问请求
7.1. 运营商处理个人数据的证明、个人数据处理的法律依据和目的,以及联邦法律第 14 条第 7 部分提及的其他信息,由运营商在申请时向个人数据主体或其代表提供 或收到此类人士的请求后
与其他个人数据主体相关的个人数据不应包含在所提供的信息中,除非有法律依据披露此类数据。
7.2. 对数据访问请求的要求。
上述请求应包括:
- 证明个人数据主体或其代表身份的基础文件编号、发行日期和文件发行人的详细信息;
- 证明个人数据主体与运营商关系的信息(合同详细信息、有条件的口头标签和/或其他详细信息),或以其他方式证明运营商处理个人数据的信息;
- 个人数据主体或其代表的签名。
该请求可以以电子文件形式发送,并根据俄罗斯联邦法律的要求使用电子签名进行签署。
7.3. 如果个人数据主体提交(请求)未能提供联邦法律要求的所有必要信息,或者该主体不享有所请求的信息访问权,则运营商应发出经证实的拒绝。
个人数据主体访问其个人数据的权利可能受到联邦法律第 14 条第 8 部分的限制,特别是当数据主体访问个人数据侵犯了第三方的权利和受法律保护的利益时。
7.4. 如果个人数据主体或其代表在申请时或根据他们的要求或 Roskomnadzor 要求时发现不准确的个人数据,运营商应在提交后立即阻止与该个人数据主体相关的个人数据,或 在退房期间收到指定的请求,前提是执行此类个人数据阻止不损害个人数据主体或第三方的权利和受法律保护的利益。
如果证明个人数据不准确,运营商应根据个人数据主体或其代表或俄罗斯联邦通信局提供的信息或其他必要文件,在信息提交之日起七个工作日内更新个人数据并删除 个人数据封锁。
7.5。 如果个人数据主体或其代表或 Roskomnadzor 提交(请求)时发现非法处理个人数据,运营商应在提交或请求后立即阻止与该个人数据主体相关的非法处理的个人数据 。
7.6。 在达到处理个人数据的目的后,以及如果个人数据主体撤回对其处理的同意,个人数据将被销毁:
- 除非个人数据主体作为一方、受益人或担保人的协议另有规定;
- 根据联邦法律或其他联邦法案规定的理由,未经个人数据主体同意,运营商无权处理个人数据;
- 除非运营商与个人数据主体之间的其他协议另有规定。
8. 各方的责任和义务
8.1. 未履行义务的运营商应根据俄罗斯联邦法律对用户因非法使用个人数据而造成的损失承担责任。
8.2. 如果任何机密信息丢失或泄露,如果该机密信息有下列情况,网站管理部门不承担责任:
- 在丢失或披露之前已成为公共领域;
- 在提交给网站管理之前已从任何第三方收到;
- 已在用户同意的情况下披露。
9. 争议解决
9.1. 在向法庭提交因运营商与个人数据主体之间的关系引起的或与之相关的争议声明之前,个人数据主体必须提交索赔(自愿解决争端的书面建议)。
9.2. 自收到索赔之日起 30 个日历日内,索赔人应将其考虑结果以书面形式通知索赔人。
9.3. 如果双方未能达成协议,则应根据俄罗斯联邦适用的法律将争议提交法院。
10. 最终条款
10.1. 如果个人数据处理和保护法律法规发生修改,本隐私政策将进行更改和修订。
10.2. 除非更新后的隐私政策版本另有规定,新的隐私政策自在网站上发布之日起生效。
10.3. 与本隐私政策相关的任何建议和问题应通过电子邮件 info@grasys.com 报告。
10.4. 有效的隐私政策发布在运营商的官方网站上,网址为:www.grasys.cn。
10.5。 www.grasys.cn 网站仅供参考,在任何情况下均不构成俄罗斯联邦民法典第 437 条第(2)款规定的公开要约。
如果任何第三方用户注册或开始使用 www.grasys.cn 网站,即表示完全且无条件地同意本网站使用指南。 如果网站用户不同意上述准则,他/她必须离开网站。
继续使用我们的网站,即表示您同意处理 cookie(包括 Yandex.Metrica 服务)和用户数据(有关位置、操作系统类型和版本、浏览器类型和版本、设备类型和屏幕版本、来源的详细信息) 用户进入网站、关注哪个网站或通过哪个广告、操作系统和浏览器语言、用户打开哪些网页以及用户点击哪些按钮、IP地址),重点关注网站运行、重定向、统计研究和评论。
www.grasys.cn 网站使用指南无限期地或直到下一次网站修订版出现之前仍然完全有效。
网站管理员有权对本指南进行调整,为此,如果用户继续使用本网站,即表示他/她自动同意所做的修改。
12006 年 7 月 27 日第 152-FZ 号联邦法关于个人数据的第 3 条。
本隐私政策适用于运营商可能收到的有关用户的所有个人数据,特别是但不仅限于用户通过位于数据电信网络互联网 www.grasys.cn 访问的运营商数据资源获得的数据。
本隐私政策适用于运营商在本隐私政策批准之前建立的以及之后出现的个人数据处理关系。
在执行联邦法第 18.1 条第 2 部分的规定时,隐私政策可以在数据电信网络互联网上自由访问,特别是在运营商的官方网站 www.grasys.cn 上。
本隐私政策规定了 JSC Grasys 的个人数据收集、存储、传输和其他处理类型的一般条款和条件,以及有关适用和实施的个人数据保护要求的信息。 本隐私政策是根据俄罗斯联邦的有效法律制定的,旨在提高机密信息(特别是个人数据)的安全水平,旨在加强个人数据保护的监控策略和策略。
1. 术语和定义
本隐私政策对术语的描述如下:
1.1. 个人数据是指直接或间接涉及明确说明或定义的自然人(个人数据主体)的任何信息。
1.2. 个人信息主体允许分发的个人数据是指个人信息主体根据法律规定同意处理个人信息主体允许分发的个人数据,从而可供所有人访问的个人数据。
1.3. 运营者是指单独或与其他人共同组织和/或实施个人数据处理的政府机构、市政机构、法人或自然人,并明确个人数据处理的目的、个人数据的范围 涉及个人数据的处理和行动(操作)。 在本隐私政策中,运营商是指包括但不限于 JSC Grasys。
1.4. 个人数据处理是指通过自动化设施或不借助自动化设施实施的涉及个人数据的任何行为(操作)或一组行为(操作),包括收集、记录、系统化、积累、存储、更新(更新和更新) 更改)、检索、使用、传输(分发、提交和访问)、匿名化、联锁、删除和销毁个人数据。
1.5. 自动个人数据处理是指通过计算机工程手段处理个人数据。
1.6. 个人数据分发是指旨在向任意数量的不特定人员披露个人数据的行为。
1.7. 个人数据提交是指旨在向特定个人或特定群体披露个人数据的行为。
1.8. 个人数据联锁是指暂时终止个人数据处理(需要处理以纠正个人数据的情况除外)。
1.9. 个人数据销毁是指导致个人数据信息系统中的个人数据内容无法恢复和/或导致承载个人数据的物质介质遭到破坏的行为。
1.10. 个人数据的去个性化是指导致在不使用附加信息的情况下无法识别个人数据属于特定个人数据主体的行为。
1.11. 个人数据信息系统是指数据库中包含的个人数据以及保证其处理的信息技术、硬件和软件的总和。
1.12. 网站管理是指代表 JSC Grasys 负责网站管理的官员行事,负责安排和/或执行个人数据处理,并定义个人数据处理的目标、处理的数据范围、采取的行动(操作) 关于需要进一步执行的个人数据。
1.13。 个人数据保密性是指对运营商或有权访问个人数据的另一方的约束力,要求在未经个人数据主体同意或有其他合法理由的情况下不允许披露个人数据。
1.14. 网站用户(以下简称“用户”)是指通过互联网访问并使用本网站的人。
1.15。 Cookies是指每次尝试打开相关网站的页面时,由网络服务器提交并存储在用户计算机上的一小块数据,由网络客户端或网络浏览器作为HTTP请求发送到网络服务器。
1.16。 运营者的信息资源是指域名为www.grasys.cn的网站。
1.17。 IP地址是指采用IP协议构建的计算机网络中节点的唯一网络级地址。
1.18。 信息资源运营者是指拥有信息资源www.grasys.cn、对该资源实施控制、收集和处理个人数据的JSC Grasys。
2. 一般规定
2.1. 个人数据收集的目的
2.1.1. 个人数据处理应仅限于实现特定、预定和合法的目的。 与个人数据收集目的不相符的个人数据可能不会被处理。
2.1.2. 只有满足其处理目的的个人数据才会受到处理。
2.1.3. 运营商应进行个人数据处理,以达到以下效果:
确保遵守俄罗斯联邦宪法、联邦法律和俄罗斯联邦其他法律文书;
确保在个人数据处理中保护公民权利和政治权利及自由,包括保护个人和家庭隐私权;
利用通信设施与潜在消费者直接接触,在市场上推广运营商的商品、工程和服务;
按照本章程的规定实施公司活动;
参与人力资源记录保存活动;
为劳动力就业、教育和职业发展提供帮助,确保员工的人身安全,监控工作量和绩效标准,保管财产;
向主管当局和其他机构报告和转交按规定格式填写的财务报表;
落实民事法律关系;
会计记录保存;
与个人数据主体建立反馈,包括发送通知、与运营商信息资源的使用、服务成就、处理查询和申请相关的请求;
本地化用户以提供安全预防措施并防止欺诈;
如果出现任何涉及运营商网站使用的问题,为用户提供高效的客户和技术支持。
2.1.4. 个人数据处理应由运营商进行,其唯一目的是确保遵守俄罗斯联邦法律。
2.1.5。 本隐私政策仅适用于运营商的信息资源,包括www.grasys.cn网站。 运营商不对个人数据主体通过运营商网站上的链接访问的任何第三方网站进行控制,也不承担任何责任。
3. 个人数据处理的法律框架
3.1. 个人数据处理的法律框架应是一套法定文书,运营商根据这些法律文书处理个人数据,包括:
俄罗斯联邦宪法;
俄罗斯联邦民法典;
俄罗斯联邦劳动法;
1995 年 12 月 26 日第 208-FZ 号联邦法,关于股份公司;
2011 年 12 月 6 日第 402-FZ 号联邦法,关于会计;
2001 年 12 月 15 日第 167-FZ 号联邦法,关于俄罗斯联邦强制养老金保险;
规范与运营商活动相关的关系的其他法定文书。
3.2. 除上述法定文书外,运营商处理个人数据的法律依据还应基于:
JSC Grasys 的公司章程;
运营商与随后作为个人数据主体的交易对手之间签订的协议;
与劳动力签订的劳动合同;
个人数据的同意 接受其个人数据处理,特别是通过填写设备请求、服务请求、培训请求、服务提供商回电请求、设备订单、运营商官方网站 www. 上发布的反馈表格来提供。 grasys.cn。
4. 双方的权利和义务
4.1. 运营商的权利和义务。
4.1.1. 经营者有权:
- 自行控制必要且充分的措施的组成和清单,以确保履行联邦法律及其通过的法定文书规定的义务,除非联邦法律或其他联邦法案另有规定;
- 经个人数据主体同意,将个人数据处理委托给他人,除非联邦法律根据与该人签订的协议另有规定。 代表运营商从事个人数据处理的人员有义务遵守联邦法律规定的个人数据处理政策和准则;
- 如果个人数据主体撤回对个人数据处理的同意,并且在联邦法律规定的理由适用的情况下,运营商有权在未经个人数据主体同意的情况下继续进行个人数据处理。
运营商有权在不通知授权机构的情况下进行个人数据处理,以保护以下个人数据主体的权利:
- 根据劳动法进行处理;
- 如果未经个人数据主体同意,个人数据未分发或提供给第三方,而是由运营商仅用于执行目的,则由运营商收到,与个人数据主体作为一方签订的协议有关 与个人数据主体达成的此类协议和合同的签订;
- 经个人数据主体允许分发,前提是运营商遵守联邦法律第 10.1 条规定的禁止活动和规定;
- 仅个人数据主体的姓氏、名字和父名;
- 为了一次性通过运营商所在地区的个人数据或其他类似目的而必需;
- 纳入个人数据信息系统且符合联邦法律具有国家自动化系统地位的,以及纳入为保护国家安全和公共和平而建立的国家个人数据信息系统;
- 根据俄罗斯联邦联邦法律或其他法定文书,在不使用自动化设施的情况下进行处理,这些法律或文书规定了确保处理过程中个人数据安全的要求以及尊重个人数据主体权利的要求;
- 在俄罗斯联邦运输安全法律规定的情况下进行处理,以确保运输业的可持续和无事故绩效,保护适用于运输业的个人、社会和国家的利益免受以下行为的影响: 非法干扰。
4.1.2. 经营者应承担以下职责:
- 根据法律要求安排个人数据处理;
- 根据法律要求回应个人数据主体及其法律代表的请求和提交的材料;
- 在收到此类信息之日起 30 天内,应要求向保护个人数据主体权利的授权机构(联邦通信、信息技术和大众传播监管局 (Roskomnadzor))报告必要的信息 要求。
4.2. 个人数据主体的权利:
4.2.1. 个人数据主体应有权:
- 接收与其个人数据处理相关的信息,联邦法律另有规定的除外。 运营商应以可访问的形式向个人数据主体提供信息,并且此类信息不应包含与其他个人数据主体相关的个人数据,除非有法律依据披露此类个人数据。 信息清单和采购程序由联邦法律规定。
- 如果个人数据不完整、过时、不准确、非法获取或对于所述处理目的而言并非必要,则要求运营商更新其个人数据、联锁或销毁其个人数据,并采取法律措施 保护他们的权利;
4.2.2. 个人数据主体有义务提供第 5.2 条中指定的个人数据信息。 本隐私政策,以及更新和补充所提供的个人数据(如有变更)。
5. 处理的个人数据范围和类别、个人数据主体类别
5.1. 处理的个人数据的内容和范围应符合所声明的处理目的。 处理的个人数据相对于其处理的所述目的而言不应是多余的。
5.2. 运营商可以处理以下类别的个人数据主体的个人数据:
- 运营商的雇员、前雇员、填补空缺的候选人以及雇员的大家庭;
- 运营商的客户和交易对手(个人);
- 运营商的客户和交易对手(法人实体)的代表/员工。
5.2.1. 经营者雇用的就业申请人:
姓氏、名字和父名;
性别;
国籍;
出生地点和日期;
护照数据;
兵役记录簿;
联系方式;
教育背景、工作经验说明、证书;
申请人在简历和求职信中提供的其他个人数据。
5.2.2. 运营商的员工(前员工):
姓氏、名字和父名;
性别;
国籍;
出生地点和日期;
图片照片);
护照数据;
兵役记录簿;
居住地的注册地址;
实际居住地址;
联系方式;
个人纳税人号码;
个人保险账号;
教育和资格背景、专业发展和充实细节;
婚姻状况;
工作经历;
婚姻记录详细信息;
兵役详情;
有关永久残疾的详细信息;
维护保养扣除详情;
前雇主的收入记录;
员工根据劳动法要求提供的其他个人数据。
5.2.3. 经营者雇员的直系亲属:
姓氏、名字和父名;
家庭关系;
出生日期;
员工根据劳动法要求提供的其他个人数据。
5.2.4. 运营商的客户和交易对手(个人):
姓氏、名字和父名;
出生地点和日期;
护照数据;
居住地的注册地址;
联系方式;
持有的立场;
个人纳税人号码;
当前帐号;
客户和交易对手(个人)提供的执行和履行协议所需的个人数据。
5.2.5。 运营商客户和交易对手(法人实体)的代表/员工:
姓氏、名字和父名;
护照数据;
联系方式;
持有的立场;
客户和交易对手的代表/员工提供的执行和履行协议所需的其他个人数据。
5.3. 除俄罗斯联邦适用法律规定的情况外,运营商不会处理与种族出身、民族身份、政治观点、宗教信仰或哲学信念、健康状况相关的特殊类别的个人数据。
6. 个人数据处理的程序和规定
6.1. 个人数据处理应由运营商按照俄罗斯联邦法律的要求进行。
6.2. 个人数据处理应在个人数据主体同意的情况下进行,在俄罗斯联邦法律规定的情况下也无需个人数据主体的同意。
6.3. 运营商应对个人数据进行自动和非自动处理。
6.4. 负责个人数据处理的运营商员工可以处理个人数据。
6.5. 个人数据处理应通过以下方式进行:
- 直接从个人数据主体处接收口头和书面形式的个人数据;
- 从公开来源获取个人数据;
- 将个人数据输入运营商的日志、登记册和信息系统;
- 使用其他个人数据处理程序。
6.6. 未经个人数据主体同意,任何时候都不得向第三方披露或分发个人数据,联邦法律另有规定的情况除外。 就其分发而言的个人数据处理同意书应与个人数据主体对个人数据处理给予的其他同意书分开签发。
对于受试者提交的数据,应予以保密,但受试者自愿报告特定信息以供公众查阅的情况除外。
6.7. 个人数据向调查和初步调查机构、联邦税务局、俄罗斯联邦养老基金、社会保险基金和其他主管执行机关和机构的转移应按照俄罗斯联邦法律的要求进行 。
6.8。 运营商应采取必要的法律、管理和技术措施,保护个人数据免遭未经授权或意外的访问、破坏、更改、联锁、分发和其他未经授权的行为,包括但不限于:
识别处理过程中对个人数据安全的威胁;
采用管理适用于个人数据处理和保护的关系的地方法规和其他文书;
指定运营商业务部门和信息系统中的个人数据安全负责人;
创造有利于个人数据管理的条件;
对包含个人数据的文件进行会计处理的安排;
个人数据的存储条件应确保其安全并排除未经授权的访问;
安排对从事个人数据处理的运营商员工进行培训。
6.9。 运营商应以允许在比个人数据处理目的所需的更短的时间内确定个人数据主体的形式存储个人数据,除非联邦法律或合同规定了个人数据的保留期限 。
6.10。 在收集个人数据(包括通过信息和电信网络互联网获得的个人数据)时,运营商应确保使用位于俄罗斯联邦境内的数据库记录、系统化、积累、存储、改进(更新、更改)、检索俄罗斯联邦公民的个人数据。 除非联邦法律另有规定。
7. 个人数据更新、更正、删除和销毁。 考虑主题访问请求
7.1. 运营商处理个人数据的证明、个人数据处理的法律依据和目的,以及联邦法律第 14 条第 7 部分提及的其他信息,由运营商在申请时向个人数据主体或其代表提供 或收到此类人士的请求后
与其他个人数据主体相关的个人数据不应包含在所提供的信息中,除非有法律依据披露此类数据。
7.2. 对数据访问请求的要求。
上述请求应包括:
- 证明个人数据主体或其代表身份的基础文件编号、发行日期和文件发行人的详细信息;
- 证明个人数据主体与运营商关系的信息(合同详细信息、有条件的口头标签和/或其他详细信息),或以其他方式证明运营商处理个人数据的信息;
- 个人数据主体或其代表的签名。
该请求可以以电子文件形式发送,并根据俄罗斯联邦法律的要求使用电子签名进行签署。
7.3. 如果个人数据主体提交(请求)未能提供联邦法律要求的所有必要信息,或者该主体不享有所请求的信息访问权,则运营商应发出经证实的拒绝。
个人数据主体访问其个人数据的权利可能受到联邦法律第 14 条第 8 部分的限制,特别是当数据主体访问个人数据侵犯了第三方的权利和受法律保护的利益时。
7.4. 如果个人数据主体或其代表在申请时或根据他们的要求或 Roskomnadzor 要求时发现不准确的个人数据,运营商应在提交后立即阻止与该个人数据主体相关的个人数据,或 在退房期间收到指定的请求,前提是执行此类个人数据阻止不损害个人数据主体或第三方的权利和受法律保护的利益。
如果证明个人数据不准确,运营商应根据个人数据主体或其代表或俄罗斯联邦通信局提供的信息或其他必要文件,在信息提交之日起七个工作日内更新个人数据并删除 个人数据封锁。
7.5。 如果个人数据主体或其代表或 Roskomnadzor 提交(请求)时发现非法处理个人数据,运营商应在提交或请求后立即阻止与该个人数据主体相关的非法处理的个人数据 。
7.6。 在达到处理个人数据的目的后,以及如果个人数据主体撤回对其处理的同意,个人数据将被销毁:
- 除非个人数据主体作为一方、受益人或担保人的协议另有规定;
- 根据联邦法律或其他联邦法案规定的理由,未经个人数据主体同意,运营商无权处理个人数据;
- 除非运营商与个人数据主体之间的其他协议另有规定。
8. 各方的责任和义务
8.1. 未履行义务的运营商应根据俄罗斯联邦法律对用户因非法使用个人数据而造成的损失承担责任。
8.2. 如果任何机密信息丢失或泄露,如果该机密信息有下列情况,网站管理部门不承担责任:
- 在丢失或披露之前已成为公共领域;
- 在提交给网站管理之前已从任何第三方收到;
- 已在用户同意的情况下披露。
9. 争议解决
9.1. 在向法庭提交因运营商与个人数据主体之间的关系引起的或与之相关的争议声明之前,个人数据主体必须提交索赔(自愿解决争端的书面建议)。
9.2. 自收到索赔之日起 30 个日历日内,索赔人应将其考虑结果以书面形式通知索赔人。
9.3. 如果双方未能达成协议,则应根据俄罗斯联邦适用的法律将争议提交法院。
10. 最终条款
10.1. 如果个人数据处理和保护法律法规发生修改,本隐私政策将进行更改和修订。
10.2. 除非更新后的隐私政策版本另有规定,新的隐私政策自在网站上发布之日起生效。
10.3. 与本隐私政策相关的任何建议和问题应通过电子邮件 info@grasys.com 报告。
10.4. 有效的隐私政策发布在运营商的官方网站上,网址为:www.grasys.cn。
10.5。 www.grasys.cn 网站仅供参考,在任何情况下均不构成俄罗斯联邦民法典第 437 条第(2)款规定的公开要约。
如果任何第三方用户注册或开始使用 www.grasys.cn 网站,即表示完全且无条件地同意本网站使用指南。 如果网站用户不同意上述准则,他/她必须离开网站。
继续使用我们的网站,即表示您同意处理 cookie(包括 Yandex.Metrica 服务)和用户数据(有关位置、操作系统类型和版本、浏览器类型和版本、设备类型和屏幕版本、来源的详细信息) 用户进入网站、关注哪个网站或通过哪个广告、操作系统和浏览器语言、用户打开哪些网页以及用户点击哪些按钮、IP地址),重点关注网站运行、重定向、统计研究和评论。
www.grasys.cn 网站使用指南无限期地或直到下一次网站修订版出现之前仍然完全有效。
网站管理员有权对本指南进行调整,为此,如果用户继续使用本网站,即表示他/她自动同意所做的修改。
12006 年 7 月 27 日第 152-FZ 号联邦法关于个人数据的第 3 条。