运营商的个人数据处理政策

本运营商的个人数据处理政策（以下简称“政策”）说明个人数据处理活动以及B1集团公司下列法人实体对个人数据保护的要求：B1商务咨询有限责任公司、B1信息技术有限责任公司、审计技术和解决方案中心—审计服务有限责任公司、B1咨询有限责任公司、审计技术和解决方案中心有限责任公司、B1商业学院有限责任公司、B1企业服务有限责任公司、审计技术和解决方案中心-咨询有限责任公司、业务支持的一站式解决方案-管理公司有限责任公司，其中每个公司都是独立的个人数据运营商，以下单独称为“运营商”。

B1集团股份公司、B1中心有限责任公司和B1财务有限责任公司向B1集团公司的客户不提供服务，并遵循其自身的个人数据处理政策。

该政策是为了满足俄罗斯联邦在个人数据领域的法律要求制定的，旨在确保在运营商组织和/或处理个人数据时保护人权、公民权利和自由，包括保护隐私权、个人和家庭保密权，告知个人数据主体运营商处理和保护其个人数据的操作。

本政策根据自2006年7月27日第152-FZ号《关于个人数据》联邦法律（以下简称 “第152-FZ号联邦法律”）制定，并根据第152-FZ号联邦法律第18.1条第2部分在运营商网站上强制公布。政策不受访问的限制。

本政策适用于运营商的所有构成部门。运营商的所有员工应按照运营商在地方法规里规定的方式熟悉本政策。

如果第三方计划获得临时或永久访问运营商处理的个人数据的访问权，运营商应在允许访问之前采取一切必要措施，确保这些实体承担的保护个人数据的义务不低于政策规定的义务。

本政策使用以下基本概念： 

• 个人数据的自动化处理--借助计算机设备处理个人数据
• 阻止个人数据--暂时停止个人数据处理（为澄清个人数据而必须进行的处理除外）
• 个人数据信息系统--数据库中包含的个人数据以及确保其处理的信息技术和技术设备的相结合
• 个人数据去个性化--在不使用额外信息的情况下，无法确定个人数据是否属于特定个人数据主体的操作
• 个人数据处理--在使用或不使用自动化设备的情况下对个人数据进行的任何操作（业务）或一系列操作（业务），包括收集、记录、系统化、积累、存储、澄清（更新、更改）、提取、使用、传输（传播、提供、访问）、去个性化、阻止、删除、销毁个人数据。
• 个人数据运营商--国家机关、地方行政机关、法人实体或自然人，独立或与他人共同组织和（或）实施个人数据处理，以及确定个人数据处理目的、用于处理的个人数据的内容、使用个人数据实施的操作（业务）。
• 个人数据--直接或间接识别或可识别的自然人（个人数据主体）相关的任何信息
• 提供个人数据--旨在向某个人士或某圈人的披露个人数据的操作
• 个人数据传播--旨在向不确定人群披露个人数据（个人数据的传输）或向不限人数的人熟悉个人数据的操作，包括在大众传媒中披露个人数据、在信息和电信网络中发布个人数据或以任何其他方式提供个人数据的获取途径。
• 网站--信息和电信网络“互联网”中的一个网站，通过该网站收集个人数据。
• 个人数据跨境传输--将个人数据传输到外国领土，传输给外国国家政权机关、外国自然人或外国法人实体
• 个人数据销毁--个人数据信息系统中的个人数据内容无法恢复，以及（或）个人数据的物质载体被销毁的行为

在处理个人数据时，运营商遵守以下原则：

• 合法性和公平基础原则
• 个人数据处理仅限于实现特定、预定和合法目的的原则
• 防止与个人数据收集目的不符的个人数据处理原则
• 防止合并包含为不相容目的处理的个人数据的数据库的原则
• 只处理符合处理目的的个人数据的原则
• 处理的个人数据的内容和范围符合所声明的处理目的的原则
• 防止处理与所声明处理目的相比多余的个人数据的原则
• 确保与个人数据处理目的相关的个人数据的准确性、充分性和相关性原则
• 除非联邦法律另有规定，否则在实现个人数据处理目的后，或在失去实现这些目的的必要性时，或在运营商无法消除所承认的对个人数据的犯规时，销毁个人数据或使其去个性化的原则。

如果存在以下至少一个条件（法律依据），运营商将处理个人数据：

• 个人数据处理是在个人数据主体同意处理其个人数据的情况下进行的
• 为实现俄罗斯联邦国际条约或法律规定的目的，以履行和完成俄罗斯联邦法律赋予运营商的职能、权利和义务，而有必要对个人数据进行处理
• 根据俄罗斯联邦有关执行程序的法律，为执行司法行为、其他机构或负责人的行为，有必要处理个人数据
• 为履行个人数据主体作为一方受益人或担保人的协议，以及在个人数据主体的倡议下签订协议或个人数据主体将作为受益人或担保人的协议，有必要对个人数据进行处理。
• 为保护个人数据主体的生命、健康或其他重要利益，在无法获得个人数据主体同意的情况下，有必要处理个人数据
• 为行使运营商的权利和合法利益，或为实现重要的社会目的，有必要对个人数据进行处理，但不得因此侵犯个人数据主体的权利和自由
• 根据联邦法律，对需公布或强制披露的个人数据进行处理。

4.1. 对于运营商处理个人数据的每个目的，《政策》第4.5条规定：

• 处理个人数据的类别和列表
• 个人数据主体类别，其个人数据由运营商处理
• 个人数据处理和存储的方法和期间
• 个人数据销毁程序

4.2. 为实现个人数据处理的各项目的，运营商以下列方式处理个人数据：混合处理，即通过法人实体的内部网络和互联网进行传输的自动化和非自动化方法处理。

运营商为实现个人数据处理的各项目的而对个人数据采取的操作（业务）：收集、记录、系统化、积累、存储、澄清（更新、更改）、提取、使用、传输（提供、访问）、阻止、删除、销毁个人数据。

4.3. 为实现个人数据处理的各项目的而处理和存储个人数据的条件，应根据第152-FZ号联邦法律规定的个人数据处理条件、个人数据主体为一方、受益人或担保人的合同条款和/或个人数据主体的同意来确定。除非第152-FZ号联邦法律另有规定，处理和存储个人数据的时间不得超过个人数据处理目的所需的时间。

4.4. 除非第152-FZ号联邦法律另有规定，为实现个人数据处理的各项目的而处理的个人数据应按以下顺序销毁：

• 当个人数据处理的目的已经实现或个人数据处理的目的不再必要时
• 当揭露非法处理个人数据事实时
• 当个人数据主体撤销对个人数据处理的同意时
• 当个人数据主体要求停止处理个人数据时。

个人数据销毁方法应由运营商地方法规决定，具体取决于处理方法、个人数据信息系统的能力以及个人数据物质载体的类型。

4.5. 运营商处理个人数据是为了实现以下目的：

个人数据主体享有第152-FZ号联邦法律赋予的权利。个人数据主体可通过“地址和联系方式”中指定的书面或电子邮箱地址与运营商联系，以行使这些权利。向运营商提交的申请应采用自由格式，但必须包含以下信息：申请人信息（姓名、父称（如有））；联系方式--电子邮箱地址或邮政地址，以及使运营商根据现有信息确定处理申请人个人数据事实的信息。如果行使了澄清、阻止和/或删除信息的权利，申请中还必须包含一份需澄清、阻止和/或删除的个人数据列表。

除非联邦法律另有规定，运营商和其他获得个人数据的人有义务不向第三方披露个人数据，未经个人数据主体同意不得传播个人数据。

在以下情况下，运营商可以处理有关人种、国籍、政治观点、宗教或哲学信仰、健康状况、私生活的特殊类别个人数据：

• 个人数据主体已书面同意处理其个人数据
• 在符合第152-FZ号联邦法律的禁令和条件的情况下，处理个人数据主体授权传播的个人数据
• 个人数据处理根据国家社会救助法、劳动法、俄罗斯联邦国家养老金法、劳动养老金法进行。
• 为保护个人数据主体的生命、健康或其他重要利益，或他人的生命、健康或其他重要利益，有必要处理个人数据，且无法获得个人数据主体的同意
• 为医疗和预防目的、为确定医疗诊断、为提供医疗和医疗社会服务而进行的个人数据处理，条件是个人数据处理由专业从事医疗业务并有义务根据俄罗斯联邦法律保守医疗秘密的人进行
• 为了确立或行使个人数据主体或第三方的权利，以及为了行使司法权，有必要对个人数据进行处理
• 个人数据的处理是根据有关强制保险类型的法律和保险法律进行的。

除非联邦法律另有规定，否则在第152-FZ号联邦法律第10款第4段规定的情况下处理特殊类别个人数据时，如果处理的原因已消除，则应立即停止处理

运营商只能在联邦法律规定的情况下，以联邦法律规定的方式处理有关违法行为记录的个人数据。

只有在个人数据主体书面同意的情况下，运营商才可处理可以根据一个人生理和生物特征确定其身份的数据（生物识别个人数据）。

运营商处理个人数据时，必须获得个人数据主体的授权，以便在与个人数据主体对处理其个人数据的其他同意分开获得的基础上传输个人数据。运营商有义务向个人数据主体提供机会，以确定个人数据主体授权传输的个人数据处理同意书中指定的每一类个人数据的个人数据列表。

在个人数据主体授权处理个人数据以进行传播的同意书中，个人数据主体有权规定禁止运营商将此类个人数据传输给不限人数的人（访问除外），以及禁止不限人数的人处理此类个人数据或规定处理条件（访问除外）。运营商不得拒绝个人数据主体规定的禁令和条件。

只有在运营商能够证明处理此类个人数据的合法性的情况下，运营商才可处理个人数据主体向不确定人数的人自己披露的个人数据。

除非联邦法律另有规定，运营商有权在获得个人数据主体同意的情况下，根据与他人签订的合同，委托他人处理个人数据。 代表运营商处理个人数据的人有义务遵守个人数据处理和保密的原则和规则，并采取第152-FZ号联邦法律和本政策规定的措施。

运营商委托应规定个人数据列表、处理个人数据的人应执行的个人数据处理操作列表、处理个人数据的目的、该人遵守个人数据保密的义务、第152-FZ号联邦法律规定的要求，即在运营商委托有效期内（包括在处理个人数据之前）应个人数据运营商的要求提供文件和其他信息以确认所采取的措施和遵守运营商委托的义务，以便履行运营商委托。

代表运营商处理个人数据的人没有义务在处理个人数据时获得个人数据主体的同意。

运营商应对代表运营商处理个人数据的人的行为负责。代表运营商处理个人数据的人应对运营商负责。

根据自2014年7月21日第242-FZ号联邦法律第2条“关于修正在电信网络中明确个人数据处理程序的若干俄罗斯联邦法令”，在收集个人数据时，包括通过信息和电信网络 “互联网 ”收集个人数据时，运营商应确保利用俄罗斯境内信息和电信网络上的数据库记录、系统化、积累、存储、澄清（更新、变更）和提取俄罗斯公民的个人数据。在以下情况下利用俄罗斯境内信息和电信网络上的数据库记录、系统化、积累、存储、澄清（更新、变更）和提取俄罗斯公民的个人数据不是强制性的：

• 为实现俄罗斯国际条约或法律规定的目的，履行和完成俄罗斯联邦法律赋予运营商的职能、权利和义务，有必要对个人数据进行处理
• 根据俄罗斯执行程序相关的法律，为执行司法行为、其他机构或负责人的行为，有必要处理个人数据
• 根据自2010年7月27日第210-FZ号联邦法律《关于提供国家和市政服务的组织》的规定，为履行联邦执行权力机关、国家预算外基金、俄罗斯联邦各主体国家执行权力机关、地方自治机构以及参与提供国家和市政服务的组织的职能，必须对个人数据进行处理，个人数据主体在国家和市政服务统一门户网站和（或）国家和市政服务地区门户网站上登记。
• 在不侵犯个人数据主体的权利和合法利益的前提下，处理个人数据对于从业记者工作和（或）大众媒体的合法业务或科学、文学或其他创作业务是必要的。

网站无意处理未成年人的个人数据。如果您有理由认为未成年人的个人数据已通过网站提供给运营商，请通过 “地址和联系方式 ”栏目指定的电子邮箱地址通知我们。

个人数据的跨境传输须遵守第152-FZ号联邦法律规定的条件和限制。

在开始跨境传输个人数据之前，运营商：

• 从计划跨境传输个人数据的外国政权机关、外国自然人和外国法人实体获得关于为保护所传输的个人数据而采取的措施以及终止处理这些数据的条件的信息
• 在向外国政权机关、外国自然人、外国法人实体跨境传输个人数据时，并且该外国政权机关、外国自然人、外国法人实体不属于欧洲委员会《个人数据自动化处理中的个人保护公约》缔约国的管辖范围，且未被列入为个人数据主体的权利提供充分保护的外国列表，运营商从计划跨境传输个人数据的外国政权机关、外国自然人、外国法人体获得有关其所在外国在个人数据领域的法律规定的信息
• 运营商从计划跨境传输个人数据的外国国家政权机关、外国自然人、外国法人实体获取他们的以下信息：名称或姓名和父称，以及联系电话、邮政地址和电子邮箱地址
• 根据收到的信息，评估计划跨境传输个人数据的外国政权机关、外国自然人、外国法人实体是否遵守个人数据保密规定，并确保个人数据在处理过程中的安全
• 按照第152-FZ号联邦法律规定的方式，将其进行个人数据跨境传输的意向通知保护个人数据主体权利的授权机构。

Cookie技术使网站在设备的浏览器上保存一些数据，这些数据将在用户再次访问网站时使用。Cookie文件用于使网站更高效地运行，并向网站所有者提供某些信息。运营商对Cookie技术的使用在《关于cookie小型文本文件的政策》中进行了说明

运营商处理的个人数据的安全是通过采取必要的法律、组织和技术措施来确保的，以满足联邦法律在个人数据保护领域的要求。

为防止未经授权访问个人数据，运营商采取以下组织和技术措施：

• 任命负责组织个人数据处理和保护的负责人；
• 限制获准处理个人数据的人士范围
• 使主体熟悉联邦法律和运营商关于处理和保护个人数据的规范性文件的要求
• 组织含有个人数据信息的载体的记录、存储和流通
• 在处理过程中识别对个人数据安全的威胁，并在此基础上建立威胁模型
• 根据威胁模型开发个人数据保护系统
• 检查信息保护措施的准备情况和效率
• 限制用户使用信息资源以及信息处理的软件
• 登记和记录个人数据信息系统用户的操作
• 使用个人数据保护系统的防病毒和恢复工具
• 酌情应用防火墙、入侵检测、安全分析和加密保护工具
• 组织对运营商区域的出入管理制度，使用技术手段处理个人数据的场所的安全。

如有个人数据处理和保护相关的问题，可以通过以下地址联系我们： 

书面申请：莫斯科市园丁沿岸街75号，邮编：115035

电子邮箱地址： data.privacy@b1.ru