商务技术建议书
dzer有限公司个人数据处理和保护政策
1 适用范围
1.1 本《个人数据处理和保护政策》(以下简称“政策”)旨在:
− 确定dzer有限公司(以下简称“公司”、“运营商”)员工及其他数据主体的个人数据(需经dzer授权处理)的处理和保护程序;
− 保障人权和公民权利与自由;
− 保护隐私权、个人和家庭秘密不受侵犯,以及对有权访问个人数据的管理人员在违反dzer有关处理和保护个人数据的规定要求时承担的责任予以规定。
1.2 本政策适用于dzer处理的所有个人数据。
1.3 dzer内部由个人数据处理负责人监督个人数据领域法规的规定执行情况。
1.4 若违反个人数据领域法规要求,将依法追究违规者责任。
2 术语和缩写
ИСПДн——个人数据信息系统;
дзер——dzer有限公司;
НСД——未经授权访问;
ПДн——个人数据。
3 个人数据处理和保护原则
3.1. dzer在处理个人数据时遵循以下原则:
− 个人数据处理在合法和公平的基础上进行;
− 仅为实现特定的、预先明确的的合法目的而处理个人数据;
− 禁止处理与收集目的不相符的个人数据;
− 禁止合并其内个人数据的处理用途相冲突的数据库;
− 仅处理符合处理目的的个人数据;
− 处理的个人数据的内容和范围需符合预先说明的处理目的;
− 个人数据应以可识别数据主体的形式存储,存储时间不得超过处理目的所需时间;
− 在数据主体撤回处理同意、处理目的已达成或不再需要实现该目的时,应销毁处理过的个人数据,法律另有规定的除外;
− 个人数据处理不得用于对个人数据主体造成财产和/或精神损害,或妨碍其行使权利和自由。
4 个人数据处理的法律依据
4.1. dzer个人数据处理的法律依据是:
− 个人数据主体同意处理其个人数据;
− dzer公司章程;
− 合同;
− 规定dzer经营活动及个人数据处理与保护流程关系的规范性法案。
5 所处理个人数据的范围、类别,及个人数据主体的类别
5.1. 所处理的个人数据的内容和范围必须符合政策第7节中规定的处理目的。
5.2. dzer处理个人数据的目的仅限于数据收集或获得时的目的。
5.3. 所处理的个人数据不得超出声明的处理目的。如果数据主体提供了多余的数据,dzer有权:
− 拒绝接收此类数据;
− 在个人数据主体在场时销毁此类数据。
5.4. dzer处理已列入个人数据运营商登记簿的个人数据主体的个人数据:https://pd.rkn.gov.ru/operators-registry/operators-list/?id=52-23-195044。
5.5. dzer不处理生物识别个人数据。
5.6. dzer依法处理与个人数据主体健康状况相关的特殊类别的个人数据。
6 个人数据处理目的
6.1. 运营商根据个人数据运营商登记簿中规定的目的处理个人数据:https://pd.rkn.gov.ru/operators-registry/operators-list/?id=52-23-195044。
6.2. 个人数据的处理应严格限于实现个人数据处理的目的。个人数据处理不允许超出第6.1条规定的目的范围。
6.3. 根据第6.1条中规定的每种目的建立个人数据清单,并在个人数据运营商登记簿中注明。
7 个人数据处理程序和条件
7.1. 在个人数据信息系统中处理的电子数据的保留期限与纸质版个人数据的存储期限一致。
7.2. 在下列情况下,dzer将停止处理个人数据:
− 发现数据被非法处理;
− 处理目的已达成,或不再需要实现该目的;
− 当数据主体对处理这些上述数据的同意已过期或已被撤销时,在只有获得同意才能进行处理的情况下。
7.3. 当个人数据的处理目的已达成,或不再需要实现该目的,以及在个人数据主体撤销处理同意的情况下,dzer应在下列情况下停止处理数据:
− 法律未规定的允许未经数据主体同意处理个人数据的情况;
− 个人数据主体作为当事人、受益人或担保人一方的合同未另行规定;
− dzer与个人数据主体之间未通过其他协议另行规定。
7.4. 仅在出于履行工作职责所需和遵守个人责任原则时,员工可访问处理的个人数据。
7.5. dzer有权委托第三方处理个人数据,并依据第6.1条规定的目的从第三方接收个人数据。
7.6. dzer采取必要的法律、组织和技术措施或确保采取这些措施,以防止个人数据被非法或意外访问、销毁、修改、锁定、复制、提供、传播以及与个人数据有关的其他非法行为。
7.7. dzer不跨境传输个人数据。
8 个人数据更新、修正、删除、销毁、锁定及主体查阅需求回复
8.1. dzer应在个人数据主体或其代理人提出申请或收到请求后10个工作日内,向其提供有关dzer处理个人数据的事实确认、法律依据和目的以及其他信息。
8.2. 如果个人数据主体提交的申请(请求)必要信息填写不完整,或主体无权获取所请求的信息,dzer向主体出具说明理由的拒绝函。
8.3. 如果在个人数据主体或其代表提出申请时或回应其要求时发现不准确的个人数据,dzer应锁定与该数据主体有关的个人数据,或从提出申请之时或收到申请时起在核实期间锁定这些数据。
8.4. 如果确认个人数据不准确,dzer应根据个人数据主体或其代表提供的信息或其他必要文件,在此类文件提交之日起7个工作日内修正个人数据或确保其修正,并取消对个人数据的锁定。
8.5. 如果发现dzer非法处理个人数据,dzer应在发现之日起3个工作日内终止个人数据非法处理或保证终止处理。
8.6. 当个人数据主体向dzer提出终止处理个人数据的要求时,dzer应在收到要求后10个工作日内终止处理或保证停止处理,法律法规另有规定除外。
8.7. dzer个人数据销毁的条件和期限:
− 个人数据处理目的已达成或不再需要实现该目的——30日内;
− 个人数据主体(或其代表)证明个人数据通过非法手段获取或出于非必要处理目的——7个工作日内;
− 个人数据主体撤回个人数据处理同意,如果无需为处理目的保留个人数据——30日内。
8.8. 如果个人数据处理目的已达成,或者个人数据主体撤回个人数据处理同意,则应根据当地规范性文件销毁个人数据,如果:
− 个人数据主体作为当事人、受益人或担保人一方的合同未另行规定;
− dzer不得在未经个人数据主体同意的情况下以法律规定的理由进行处理;
− dzer与个人数据主体之间未通过其他协议另行规定。
9 处理电子用户数据,包括Cookie文件
9.1. 为实现本政策规定的处理目的,dzer可通过其网站自动收集电子用户数据,包括Cookie文件,无需网站访问者参与和执行任何发送数据的操作。这些数据的处理对于推广dzer的商品和服务,包括优化网站是必要的。
9.2. 处理(含传输)包括Cookie在内的电子用户数据的依据是,网站访问者通过下列默认行为同意个人数据处理:
− 点击按钮,如“接受”;
− 关闭此类数据收集和处理的通知弹窗;
− 继续使用此类网站。
9.3. 根据第6.1条规定的目的,dzer可能记录用户访问信息及网站操作并将其传输给专业分析服务工具。此类服务工具可能包括Yandex.Metrica、Yandex SmartCaptcha、Tilda统计工具等。此类服务工具收集的数据也可能由第三方接收和处理,如央捷科斯有限责任公司(Yandex LLC)(隐私政策:https://yandex.ru/legal/confidential/),蒂尔达出版有限公司(Tilda Publishing Ltd)(隐私政策:https://tilda.cc/ru/privacy/)。
10 数据主体的权利
10.1. 数据主体有权:
− 获取有关其个人数据处理情况的信息,法律限制的情况除外;
− 就dzer在处理其个人数据时的非法行为或疏忽向法院提起诉讼;
− 保护自己的权利和合法利益,包括通过司法程序主张赔偿损失和(或)精神损害赔偿;
− 其他法定权利。
1.1 本《个人数据处理和保护政策》(以下简称“政策”)旨在:
− 确定dzer有限公司(以下简称“公司”、“运营商”)员工及其他数据主体的个人数据(需经dzer授权处理)的处理和保护程序;
− 保障人权和公民权利与自由;
− 保护隐私权、个人和家庭秘密不受侵犯,以及对有权访问个人数据的管理人员在违反dzer有关处理和保护个人数据的规定要求时承担的责任予以规定。
1.2 本政策适用于dzer处理的所有个人数据。
1.3 dzer内部由个人数据处理负责人监督个人数据领域法规的规定执行情况。
1.4 若违反个人数据领域法规要求,将依法追究违规者责任。
2 术语和缩写
ИСПДн——个人数据信息系统;
дзер——dzer有限公司;
НСД——未经授权访问;
ПДн——个人数据。
3 个人数据处理和保护原则
3.1. dzer在处理个人数据时遵循以下原则:
− 个人数据处理在合法和公平的基础上进行;
− 仅为实现特定的、预先明确的的合法目的而处理个人数据;
− 禁止处理与收集目的不相符的个人数据;
− 禁止合并其内个人数据的处理用途相冲突的数据库;
− 仅处理符合处理目的的个人数据;
− 处理的个人数据的内容和范围需符合预先说明的处理目的;
− 个人数据应以可识别数据主体的形式存储,存储时间不得超过处理目的所需时间;
− 在数据主体撤回处理同意、处理目的已达成或不再需要实现该目的时,应销毁处理过的个人数据,法律另有规定的除外;
− 个人数据处理不得用于对个人数据主体造成财产和/或精神损害,或妨碍其行使权利和自由。
4 个人数据处理的法律依据
4.1. dzer个人数据处理的法律依据是:
− 个人数据主体同意处理其个人数据;
− dzer公司章程;
− 合同;
− 规定dzer经营活动及个人数据处理与保护流程关系的规范性法案。
5 所处理个人数据的范围、类别,及个人数据主体的类别
5.1. 所处理的个人数据的内容和范围必须符合政策第7节中规定的处理目的。
5.2. dzer处理个人数据的目的仅限于数据收集或获得时的目的。
5.3. 所处理的个人数据不得超出声明的处理目的。如果数据主体提供了多余的数据,dzer有权:
− 拒绝接收此类数据;
− 在个人数据主体在场时销毁此类数据。
5.4. dzer处理已列入个人数据运营商登记簿的个人数据主体的个人数据:https://pd.rkn.gov.ru/operators-registry/operators-list/?id=52-23-195044。
5.5. dzer不处理生物识别个人数据。
5.6. dzer依法处理与个人数据主体健康状况相关的特殊类别的个人数据。
6 个人数据处理目的
6.1. 运营商根据个人数据运营商登记簿中规定的目的处理个人数据:https://pd.rkn.gov.ru/operators-registry/operators-list/?id=52-23-195044。
6.2. 个人数据的处理应严格限于实现个人数据处理的目的。个人数据处理不允许超出第6.1条规定的目的范围。
6.3. 根据第6.1条中规定的每种目的建立个人数据清单,并在个人数据运营商登记簿中注明。
7 个人数据处理程序和条件
7.1. 在个人数据信息系统中处理的电子数据的保留期限与纸质版个人数据的存储期限一致。
7.2. 在下列情况下,dzer将停止处理个人数据:
− 发现数据被非法处理;
− 处理目的已达成,或不再需要实现该目的;
− 当数据主体对处理这些上述数据的同意已过期或已被撤销时,在只有获得同意才能进行处理的情况下。
7.3. 当个人数据的处理目的已达成,或不再需要实现该目的,以及在个人数据主体撤销处理同意的情况下,dzer应在下列情况下停止处理数据:
− 法律未规定的允许未经数据主体同意处理个人数据的情况;
− 个人数据主体作为当事人、受益人或担保人一方的合同未另行规定;
− dzer与个人数据主体之间未通过其他协议另行规定。
7.4. 仅在出于履行工作职责所需和遵守个人责任原则时,员工可访问处理的个人数据。
7.5. dzer有权委托第三方处理个人数据,并依据第6.1条规定的目的从第三方接收个人数据。
7.6. dzer采取必要的法律、组织和技术措施或确保采取这些措施,以防止个人数据被非法或意外访问、销毁、修改、锁定、复制、提供、传播以及与个人数据有关的其他非法行为。
7.7. dzer不跨境传输个人数据。
8 个人数据更新、修正、删除、销毁、锁定及主体查阅需求回复
8.1. dzer应在个人数据主体或其代理人提出申请或收到请求后10个工作日内,向其提供有关dzer处理个人数据的事实确认、法律依据和目的以及其他信息。
8.2. 如果个人数据主体提交的申请(请求)必要信息填写不完整,或主体无权获取所请求的信息,dzer向主体出具说明理由的拒绝函。
8.3. 如果在个人数据主体或其代表提出申请时或回应其要求时发现不准确的个人数据,dzer应锁定与该数据主体有关的个人数据,或从提出申请之时或收到申请时起在核实期间锁定这些数据。
8.4. 如果确认个人数据不准确,dzer应根据个人数据主体或其代表提供的信息或其他必要文件,在此类文件提交之日起7个工作日内修正个人数据或确保其修正,并取消对个人数据的锁定。
8.5. 如果发现dzer非法处理个人数据,dzer应在发现之日起3个工作日内终止个人数据非法处理或保证终止处理。
8.6. 当个人数据主体向dzer提出终止处理个人数据的要求时,dzer应在收到要求后10个工作日内终止处理或保证停止处理,法律法规另有规定除外。
8.7. dzer个人数据销毁的条件和期限:
− 个人数据处理目的已达成或不再需要实现该目的——30日内;
− 个人数据主体(或其代表)证明个人数据通过非法手段获取或出于非必要处理目的——7个工作日内;
− 个人数据主体撤回个人数据处理同意,如果无需为处理目的保留个人数据——30日内。
8.8. 如果个人数据处理目的已达成,或者个人数据主体撤回个人数据处理同意,则应根据当地规范性文件销毁个人数据,如果:
− 个人数据主体作为当事人、受益人或担保人一方的合同未另行规定;
− dzer不得在未经个人数据主体同意的情况下以法律规定的理由进行处理;
− dzer与个人数据主体之间未通过其他协议另行规定。
9 处理电子用户数据,包括Cookie文件
9.1. 为实现本政策规定的处理目的,dzer可通过其网站自动收集电子用户数据,包括Cookie文件,无需网站访问者参与和执行任何发送数据的操作。这些数据的处理对于推广dzer的商品和服务,包括优化网站是必要的。
9.2. 处理(含传输)包括Cookie在内的电子用户数据的依据是,网站访问者通过下列默认行为同意个人数据处理:
− 点击按钮,如“接受”;
− 关闭此类数据收集和处理的通知弹窗;
− 继续使用此类网站。
9.3. 根据第6.1条规定的目的,dzer可能记录用户访问信息及网站操作并将其传输给专业分析服务工具。此类服务工具可能包括Yandex.Metrica、Yandex SmartCaptcha、Tilda统计工具等。此类服务工具收集的数据也可能由第三方接收和处理,如央捷科斯有限责任公司(Yandex LLC)(隐私政策:https://yandex.ru/legal/confidential/),蒂尔达出版有限公司(Tilda Publishing Ltd)(隐私政策:https://tilda.cc/ru/privacy/)。
10 数据主体的权利
10.1. 数据主体有权:
− 获取有关其个人数据处理情况的信息,法律限制的情况除外;
− 就dzer在处理其个人数据时的非法行为或疏忽向法院提起诉讼;
− 保护自己的权利和合法利益,包括通过司法程序主张赔偿损失和(或)精神损害赔偿;
− 其他法定权利。
