从莫斯科出发(Start In Moscow) 网站个人数据处理政策
1 总则
1.1 本个人数据处理政策(以下简称 "政策")根据《俄罗斯联邦宪法》、2001 年 12 月 30 日第 197-FZ 号《俄罗斯联邦劳动法典》、2006 年 7 月 27 日第 152-FZ 号《个人数据法》(以下简称第 152-FZ 号联邦法),以及个人数据领域的其他法规编制而成。1.2 本政策规定了 https://startin.moscow 网站(以下简称 "网站")处理个人数据的原则、条件、目的和程序,以及确保网站用户个人数据安全的措施,以便在处理个人数据时保护个人和公民的权利和自由。1.3 本政策的规定对非营利性人力资本开发自治组织的所有员工均具有约束力,根据非营利性人力资本开发自治组织的地方法规和工作说明,这些员工可以接触到网站用户的个人数据。1.4 根据《第152-FZ号联邦法》第18.1条第2部分,本政策将在网站上公布。1.5 非营利性人力资本开发自治组织的地址(法定地址和实际地址):莫斯科市普列斯年斯基市辖区, 克拉西娜巷16号,2栋 (纳税人识别码7710364647),邮编:123056,非营利性人力资本开发自治组织的电子邮件地址:info@develop.mos.ru。2. 术语及其定义
个人数据的自动处理——通过计算设备处理个人数据。冻结个人数据——暂时停止个人数据处理(为确认个人数据而必须进行的处理除外)。个人数据信息系统——数据库和信息技术中包含的一系列个人数据以及确保其处理的技术手段。个人数据去人格化——在不使用额外信息的情况下,无法确定个人数据的特定主体对个人数据的所有权的行为。个人数据处理——使用或不使用自动化手段对个人数据进行的操作或一系列操作,包括收集、记录、系统化、积累、存储、确认(更新、更改)、提取、使用、转移(分发、提供、访问)、去人格化、阻止、删除、销毁个人数据。操作者——国家机关、市政当局、法人或个人,独立或与其他人共同组织和/或进行个人数据处理,以及确定个人数据处理的目的、个人数据的构成处理、使用个人数据执行的操作(作业)。本政策中的个人数据操作者为非营利性人力资本开发自治组织。操作者合作伙伴——根据《联邦法》(第152-FZ号)第6条第3部分的规定,与非营利性人力资本开发自治组织达成协议/安排处理网站用户个人数据的法人实体和/或个体工商户。个人数据——与本政策第 7 条定义的特定或可定义的自然人(个人数据主体)直接或间接相关的任何信息。提供个人数据——向特定个人或特定人群披露个人数据的行为。用户——作为个人数据主体的自然人(互联网用户)或其法定代表人,自由访问操作者网站并有机会在网站上注册。传播个人数据——旨在向不确定人数的人披露个人数据的行为,包括在大众媒体上披露个人数据、在信息和电信网络上传个人数据,或以任何其他方式提供个人数据访问权限。网站——电脑/移动设备的一套硬件和软件,在互联网上公布数据供公众查阅。该网站在互联网上有唯一的网址或其字母组合,地址为:https://startin.moscow。网站可能包含图形、文本、音频、视频和其他可借助计算机/移动设备产生的信息。个人数据的销毁——在个人数据信息系统中无法恢复个人数据内容和/或个人数据的物质载体被销毁的行为。3. 收集个人数据的目的
收集和处理个人数据的目的如下:1. 为用户提供访问网站的机会。2. 允许用户在网站上注册。3. 向用户提供访问网站账户(个人数据)的机会。 4. 与用户联系,向其发送与网站和操作者合作伙伴网站的运营、操作者履行合同义务、处理用户请求和申请有关的通知、请求和信息。5. 操作者向用户提供服务的个性化提议。6. 操作者通过开展促销、调查、研究等活动提高网站使用的便利性。7. 保护用户和操作者的权益。4. 个人数据处理的法律依据
操作者处理个人数据主体的个人数据时遵循以下原则:- 俄罗斯联邦宪法- 第 152-FZ 号联邦法、俄罗斯联邦和国家监管机构在个人数据领域的其他监管法律,以及保护个人数据主体权利的授权机构(以下简称 "Roskomnadzor");- 俄罗斯联邦劳动法;- 非营利性人力资本开发自治组织章程;- 本政策;- 操作者及其合作伙伴为促进本政策而制定的地方法律法规;- 个人数据主体对个人数据处理的同意。5. 个人数据处理原则
操作者根据以下原则处理个人数据:1. 预先确定的特定目的和个人数据处理方法的合法性。2. 个人数据处理的范围、性质和方法是否符合个人数据处理的目的。3. 个人数据处理仅限于实现特定的、预先确定的合法目的。4. 确保与个人数据处理目的相关的个人数据的可靠性、充分性和相关性。5. 可识别个人数据主体的形式存储个人数据的时间不得超过个人数据处理目的所需的时间。6. 防止处理与收集个人数据的目的不符的个人数据。7. 防止对个人数据进行超出收集个人数据时所述目的的处理。8. 防止合并数据的处理目的彼此不兼容的个人数据的数据库。9. 防止为商业目的提取和使用个人数据。10. 确保所处理个人数据的保密性、保护性和安全性。11. 如果《联邦法》(第 152-FZ 号)未规定其他情况,则在实现个人数据处理目的后,或在实现这些目的的必要性丧失的情况下,或在操作者无法消除所承认的侵犯个人数据行为的情况下,销毁个人数据或使其去人格化。6. 个人数据处理条件
操作者在以下条件下处理个人数据:1. 个人数据处理是在个人数据主体同意处理其个人数据的情况下进行的。2. 个人数据的处理是履行操作者对网站用户(个人数据主体)的合同义务所必需的,包括确保网站的运行,确保操作者及其合作伙伴向网站用户提供服务的可能性。3. 为保护用户、操作者及其合作伙伴的权利和合法利益,有必要对个人数据进行处理。4. 为满足联邦法律规定的要求,有必要处理个人数据。7. 处理的个人数据的范围和类别、个人数据主体的类别
7.1 当用户在本网站注册并创建账户(个人数据、办公室)时,以及在未注册并创建用户账户的情况下访问本网站时,操作者处理的数据范围和类别可能有所不同7.2 操作者处理的个人数据的个人数据主体类别:1) 在网站上注册的自然人及其法定代表人;2) 自然人,组织(法人实体)的代表;3)从事服务工作并与操作者签订民法合同的自然人(个体工商户)。7.3 操作者处理以下类别的个人数据: - 网站用户(个人数据主体)的姓、名、父称、电话号码、出生日期;- 网站用户在其账户(个人数据)中的图像(包括头像);- 网站用户的电子邮件地址;- 网站用户在网站注册时创建的账户(个人数据)密码- 用户在使用网站期间的活动信息,包括通过使用网站界面与操作者通信的内容、使用网站订购服务的清单和规格表、网站用户对所提供服务质量的反馈内容和元数据;- 用户和/或其代理人的居住地信息(基于地理位置数据);- 用户和/或其代表的兴趣(爱好)信息;- 操作者根据与合作伙伴签订的个人数据处理协议/安排的条款和条件,从合作伙伴处获得的有关个人数据主体(网站用户)的信息;- 使用操作者网站上指定的电子邮件地址 info@startin.moscow 与用户通信。- 操作者为实现第 3 节所述目的而必须处理的其他个人数据。7.4 操作者不收集也不处理用户的生物识别个人数据以及有关其种族、国籍、政治观点、宗教或哲学信仰、健康状况、私生活的特殊个人数据。7.5 操作者不会亲自核实网站用户的个人数据,用户只在注册时提供可靠的个人数据。用户对提供给操作者的个人数据的准确性负责(在创建个人账户、编辑或添加个人账户数据时等)。7.6 任何接受本政策条款和条件的用户向操作者证明,根据俄罗斯联邦法律,他/她是一个完全有行为能力的人。7.7 用户在网站上留下有关自己的数据,即表示同意操作者处理所提供的个人数据,包括个人数据的收集、记录、系统化、积累、存储、确认(更新、更改)、提取、提供、访问、去人格化、阻止、删除和销毁个人数据、自动处理的结果、将这些个人数据传输给操作者的合作伙伴和其他人,以及从操作者的合作伙伴收集(接收)个人数据并与他们共同处理。7.8 网站用户同意其图像可被用于操作者及其合作伙伴的社交网络和信息社区、非营利性人力资本开发自治组织的网站,用于宣传和展示节目和活动,以及用于准备操作者向上级部门提交的报告文件。7.9 个人数据由操作者自动处理,操作者的雇员和/或承包商不得直接访问这些数据,除非上述人员为履行与操作者签订的合同规定的公务或义务而必须访问这些数据,且上述人员有义务遵守操作者规定的安全要求。在访问网站用户的个人数据时,必须确保安全。7.10.当用户在未注册的情况下访问网站时,操作者将收集通过处理cookies文件获得的技术数据,通过这些信息可以确定浏览器版本、IP地址、用户设备的硬件和软件、地理位置、用户在查看和浏览网站上发布的资料时的活动等。7.11 Cookies 的收集从用户访问网站时开始。Cookies 保存在用户的电脑或移动设备上,也保存在操作者的网站上。Cookies 可简化用户在网站上的工作,确定用户的偏好(例如,根据用户浏览的广告,有针对性地提供商品和服务)、用户在网站上停留的日期和时间等。 7.12 操作者利用外部网络分析服务 "Mail.ru Rating"、"Yandex.Metrika "和网站内部服务处理基于 cookies 接收的技术数据,对网站访问量、用户地理位置、用户数量、网站停留时间、偏好等进行分析和统计研究。7.13.用户有权通过在其电脑或移动设备上进行额外的浏览器设置来禁用本网站的cookies,但在这种情况下,用户将无法使用本网站的全部功能和服务和/或正确显示这些功能和服务。8. 个人数据的处理、传输和存储程序
8.1 自用户在网站上注册并填写注册表起,即开始收集用户的个人数据。8.2 用户填写注册表并勾选 "熟悉个人数据处理政策并同意个人数据处理 "复选框,即表示同意个人数据处理。8.3 用户同意,在网站注册表中勾选复选框即表示用户在完全知情的情况下同意根据第 152-FZ 号联邦法向操作者提供个人数据。8.4 用户在注册时填写相应表格并向操作者提供个人数据,即表示完全同意本政策。8.5 在任何情况下,网站用户的个人数据只能由操作者按照本政策第 3 条规定的目的进行处理8.6. 用户的个人数据不得转让给第三方,本政策以及联邦个人数据立法明确规定的情况除外。8.7. 操作者有权出于本政策规定的目的和条件将用户的个人数据转移给运营商的其他合作伙伴8.8. 第三方(操作者的合作伙伴)代表操作者处理个人数据时,只能根据操作者与第三方之间签订的协议进行,协议应明确规定以下内容:- 由处理个人数据的第三方执行的个人数据操作(业务)清单;- 处理个人数据的目的;- 第三方对个人数据保密并确保处理过程中的安全,以及保护已处理的个人数据的要求。8.9 如果用户违反本政策或与其他操作者签订的协议条款,或存在违反协议的威胁,操作者有权将个人数据传输给第三方,以确保操作者的权利和合法利益得到保护。8.10 应国家机构(地方自治机构)的要求,网站用户的个人数据可根据联邦法律规定的程序进行转移。8.11 个人数据的处理应在达到处理目的,以及法律、合同或个人数据主体同意处理其个人数据的期限届满时终止。当个人数据的处理目的达到时,操作者将按照第 152-FZ 号联邦法规定的方式停止处理用户数据。8.12 个人数据存储在电子媒体(机器数据载体)上,并使用自动个人数据系统进行处理,除非在履行操作者对用户的合同义务以及与执行联邦法律直接相关的情况下,包括应操作者对用户的合同义务要求向州(市)当局提供个人数据的情况下,必须使用其他个人数据处理方法。8.13 个人数据应保存至其处理目的实现为止。根据《第 152-FZ 号联邦法》第 5 条第 7 部分,个人数据的保存形式应能识别个人数据主体,保存时间不得超过个人数据处理目的所需的时间,除非联邦法律、个人数据主体作为一方当事人、受益人或担保人的合同规定了个人数据的保存期限。除非联邦法律另有规定,否则处理过的个人数据应在达到处理目的或在达到这些目的的必要情况下进行销毁或去人格化处理。8.14 用户同意,他/她在网站注册时对个人数据处理的同意在按照本政策第 9 条规定的方式撤销之前有效。8.15 通过网站收集个人数据时,操作者应确保使用位于俄罗斯联邦境内的数据库处理从用户处收到的个人数据。9. 个人数据主体的权利
个人数据主体有权- 按照第 152-FZ 号联邦法规定的方式、形式和条款,获得有关其个人数据在网站上处理情况的信息;- 如果个人数据不完整、过时、不准确、非法获取或并非为所述处理目的所必需,则有权要求操作者澄清其个人数据、阻止或销毁该数据,以及采取法律规定的措施保护其权利;- 自由查阅有关自己的个人数据;- 就操作者的行为或不作为向俄罗斯国家通讯社或法院提出申诉;- 保护自己在个人数据保护方面的权利和合法利益,包括在法庭上赔偿损失和(或)精神损害赔偿;- 按照本政策第 1 条规定的操作者地址向操作者发送书面申请,撤回对其个人数据处理的同意。撤回个人数据处理同意的申请应包含个人数据主体或其法定代表人的主要证明文件的编号、上述文件的签发日期和签发机构的信息、确认个人数据主体参与操作者关系的信息(合同编号、合同签订日期、常规用语名称和/或其他信息),或以其他方式确认操作者处理个人数据事实的信息、个人数据主体的签名,以及确认个人数据处理事实的其他信息。10. 个人数据操作者的权利
个人数据操作者享有以下基本权利:- 根据个人数据主体提供的信息、同意和目的处理其个人数据;- 根据与个人数据主体签订的协议或合同(操作员委托),在征得个人数据主体同意的情况下,委托他人处理个人数据;- 在第 152-FZ 号联邦法规定的情况下,拒绝向个人数据主体提供其个人数据;- 追究违反处理和保护个人数据要求的操作者员工的责任。在处理和保护个人数据方面,其职务说明规定了处理和保护个人数据的相应职责。11. 个人数据主体同意接收信息和广告信息
11.1 通过使用本网站并留下有关自己的数据,网站用户根据自己的自由意愿和自身利益,同意操作者通过电子地址接收信息。操作者向用户在使用本网站时指定的电子邮件地址和(或)用户电话号码发送信息。11.2 根据《联邦广告法》第18条第1部分的规定,用户在使用本网站的同时,也同意接收由其本人及其代表的人发送的广告信息(在注册个人账户时勾选相应的复选框)。11.3 用户有权通过点击来信的相应链接(退订选项卡)拒绝接收广告信息,或将拒绝接收广告的通知发送至操作者的电子邮件地址 info@startin.moscow,该电子邮件地址由用户在网站注册时指定。12. 个人数据的保密
除非第 152-FZ 号联邦法另有规定,否则操作者和其他获得网站用户个人数据的人员有义务不向第三方披露个人数据,未经个人数据主体同意不得传播个人数据。13. 确保个人数据安全
13.1 操作者的所有员工应遵守个人数据领域的联邦法律规定的个人数据安全要求、操作者的内部规则和程序,规范个人数据的处理和保护程序。13.2 操作者应采取必要的法律、组织和技术措施,确保个人数据安全,以满足个人数据领域联邦立法的要求。13.3 为确保操作者履行第 152-FZ 号联邦法规定的义务而采取的措施包括:- 任命个人数据处理组织负责人;- 操作者颁布文件,确定个人数据处理政策、关于个人数据处理的地方法规,以及制定旨在防止和发现违反个人数据立法行为的程序的地方法规;- 对操作者处理的个人数据是否符合第 152-FZ 号联邦法和国家监管机构(俄罗斯联邦技术与出口监督局、俄罗斯联邦安全局、Roskomnadzor)的监管法令、个人数据保护要求、操作者的个人数据处理政策、操作者的地方监管法令进行内部控制(审计);- 评估在违反第 152-FZ 号联邦法的情况下可能对个人数据主体造成的损害,上述损害与为确保操作者履行义务而采取的措施之间的相关性;- 使处理个人数据的操作者员工熟悉个人数据领域的联邦法律规定,包括保护个人数据的要求,以及操作者确定个人数据处理政策的文件、个人数据处理的地方法律法规,并对上述员工进行培训。13.4 操作者为确保个人数据处理过程中的安全和保护而采取的法律、组织和技术措施清单应包括:- 在网站上处理个人数据时,识别对个人数据安全的威胁;- 采取必要的组织和技术措施,确保个人数据在网站处理过程中的安全,以满足保护个人数据的要求,确保执行俄罗斯联邦政府规定的个人数据保护水平;- 根据既定程序,采用通过符合性评估程序的信息保护手段;- 在网站投入运行前,评估为确保个人数据安全所采取的措施的有效性;- 对个人数据的机器载体进行清点;- 发现未经授权访问个人数据的事实,并采取措施,包括发现、预防和消除网站遭受计算机攻击的后果,以及应对网站发生的计算机事故;- 恢复因未经授权访问而被修改或销毁的个人数据;- 制定访问网站处理的个人数据的规则,并确保对使用网站用户个人数据的所有行为进行登记和说明;- 控制为确保个人数据安全和网站保护水平而采取的措施。13.5 操作者采取必要且充分的组织和技术措施,确保网站用户个人数据的安全,遵守个人数据领域的联邦立法以及国家监管机构(俄罗斯联邦技术与出口监督局、俄罗斯联邦安全局、Roskomnadzor)有关个人数据处理和保护的监管法律法规的要求:– 以命令书的形式任命负责组织个人数据处理和确保信息安全的人员(安全管理员);– 发布有关个人数据处理和信息安全的地方法律法规;– 确保场所和处理个人数据的方式的物理安全,实行通行证、安保制度并安装视频监控; – 员工和其他人对个人数据的访问和处理方式受到限制,用户使用个人数据的行为受到监控; - 在操作者的个人数据信息系统和网站上处理个人数据时,查明对个人数据安全的威胁;- 使用根据安全要求认证的信息保护手段(防病毒保护手段、防火墙、防止未经授权访问的保护手段、信息加密保护手段);- 对个人数据的机器载体(机器数据载体)进行清点和存储,以防止其被盗、被替换、被擅自复制和销毁;- 对信息进行备份,以备不时之需;- 对遵守既定程序的情况进行内部监控,以核实所采取的个人数据保护措施的有效性并应对信息安全事件;- 检查与交易方签订的合同中是否包含条款,规定交易方有义务遵守联邦法律的要求,确保个人数据的保密性、保护性以及处理过程中的安全性;- 规划和实施改善操作者信息基础设施的措施,包括考虑信息安全要求。14. 操作者的责任
14.1 对于受操作者委托处理个人数据当事人的个人的行为,操作者应对个人数据当事人负责。14.2 只有操作者的员工在履行公务和遵守个人责任原则的情况下,才可查阅所处理的个人数据。14.3 操作者的工作人员如违反有关处理和保护个人数据的规定,应根据联邦法律规定的程序承担物质、纪律、行政、民事或刑事责任。14.4 若网站的其他用户或其他人士因用户违反其个人数据的保密性而取得用户的个人数据,操作者对该等人士披露及传播的用户的个人数据概不负责。14.5 如果用户(个人数据的主体)提供或应用户的要求(意愿)获取用户的个人数据,包括用户在网站上发布关于操作者的合作伙伴及其提供的服务的公开反馈,则操作者对用户个人数据的披露和传播不承担任何责任。15. 用户请求
15.1 有关操作者处理的用户个人数据的信息应根据第 152-FZ 号联邦法律规定的程序提供给用户或其法律代表。15.2 用户和/或其法定代表应以书面形式向操作者所在地的地址发送有关操作者处理的个人数据的请求。16. 本政策的修改和补充
16.1 操作者有权单方面自行决定对本政策进行修改,包括但不限于因联邦法律变更而进行的相关修改,以及因网站运营变更而进行的修改。16.2 操作者可通过在网站上发布新版政策对政策进行修订。操作者对政策的修改从在网站上发布新版政策之时起生效。16.3 用户承诺独立检查本政策的任何变更。如果用户未能熟悉上述变更,则不得以此为由向操作者提出任何要求和/或索赔。16.4 用户有权行使本政策第 9 条规定的权利,从而拒绝接受对本政策的更改和修正。17. 最终条款
非营利性人力资本开发自治组织作为个人数据操作者的其他权利和义务由俄罗斯联邦个人数据领域的法律规定。