SCHUTZ UND VERARBEITUNG PERSONENBEZOGENER DATEN

DER HAFTUNGSBESCHRÄNKTEN GESELLSCHAFT "CARGOTENDER.RU"
OGRN 1167746995350, INN 9701051240

1. Allgemeine Bestimmungen
1.1. Die Richtlinie in Bezug auf die Verarbeitung personenbezogener Daten (im Folgenden - die Richtlinie) wurde erstellt gemäß Absatz 2 des Artikels 18.1 des Föderalen Gesetzes „über persönliche Daten“ Nr 152-FZ vom 27. Juli 2006 sowie anderer Rechtsakte der Russischen Föderation auf dem Gebiet des Schutzes und die Verarbeitung personenbezogener Daten und gilt in Bezug auf alle personenbezogenen Daten (im Folgenden als die Daten bezeichnet), die die Organisation (im Folgenden als der Betreiber, die Gesellschaft bezeichnet) von dem Gegenstand der personenbezogenen Daten erhalten kann, die eine Vertragspartei des zivilrechtlichen Vertrages ist, und ist auch von den personenbezogenen Daten mit dem Betreiber in der Beziehung, durch das Arbeitsrecht geregelt (im Folgenden als Arbeitnehmer bezeichnet).
1.2. Der Betreiber schützt die verarbeiteten personenbezogenen Daten vor unberechtigtem Zugriff und Offenlegung, Missbrauch oder Verlust in Übereinstimmung mit den Anforderungen des Bundesgesetzes Nr. 152-FZ vom 27. Juli 2006 "Über personenbezogene Daten".
1.3. Ändern der Richtlinie
1.3.1. Der Betreiber hat das Recht, Änderungen an dieser Richtlinie vorzunehmen. Wenn Änderungen am Richtlinienheader vorgenommen werden, wird das Datum der letzten Revision der Edition angezeigt. Die neue Version der Richtlinie tritt ab dem Zeitpunkt der Veröffentlichung auf der Website in Kraft, sofern in der neuen Version der Richtlinie nichts anderes vorgesehen ist.

2. Begriffe und akzeptierte Abkürzungen
Persönliche Daten (PD) - jede Information, die sich auf eine direkt oder indirekt definierte oder bestimmte Person bezieht (Gegenstand von persönlichen Daten).
Verarbeitung personenbezogener Daten - jeder Betrieb (Operation) oder eine Reihe von Aktionen (Operationen) durchgeführt mit dem Einsatz von Automatisierungstechnik oder ohne die Verwendung solcher Mittel mit persönlichen Daten, einschließlich der Erfassung, Aufzeichnung, Speicherung, Lagerung, Klärung (Aktualisierung, Modifizierung), Extraktion, Nutzung, Weitergabe (Verteilung, Bereitstellung, Zugang), Entpersönlichung, Sperrung, Löschung, Vernichtung von personenbezogenen Daten.
Automatisierte Verarbeitung personenbezogener Daten - Verarbeitung personenbezogener Daten mittels Computereinrichtungen. Personal Data Information System (ISDN) - eine Sammlung von personenbezogenen Daten in Datenbanken und deren Verarbeitung mit Informationstechnologie und technischen Mitteln.
Personenbezogene Daten, die vom Subjekt personenbezogener Daten öffentlich zugänglich gemacht werden, sind ein PD, dessen Zugang einer unbegrenzten Anzahl von Personen, die durch den Gegenstand personenbezogener Daten oder auf dessen Wunsch hin bereitgestellt wird. Sperrung personenbezogener Daten - vorübergehende Beendigung der Verarbeitung personenbezogener Daten (außer in Fällen, in denen die Verarbeitung zur Angabe personenbezogener Daten erforderlich ist).
Die Vernichtung personenbezogener Daten ist eine Handlung, die es unmöglich macht, den Inhalt personenbezogener Daten im persönlichen Dateninformationssystem wiederherzustellen, und/oder infolge dessen die materiellen Datenträger der personenbezogenen Daten zerstört werden.
Operator - eine Organisation, die unabhängig oder gemeinsam mit anderen Personen die Verarbeitung personenbezogener Daten organisiert, sowie den Zweck der Verarbeitung personenbezogener Daten, die verarbeitet werden, bestimmt, bei den die Aktionen (Operationen) mit personenbezogenen Daten durchgeführt werden.

3. Verarbeitung personenbezogener Daten
3.1. Erhaltung der PD.
3.1.1. Alle PD sollten vom Subjekt selbst erhalten werden. Wenn die PD des Subjekts nur von einem Dritten bezogen werden kann, muss der Betreffende darüber informiert werden oder eine Zustimmung von ihm eingeholt werden.
3.1.2. Der Operator muss den Betreffenden über die Ziele, die vorgeschlagenen Quellen und Methoden zur Erlangung der PD, die Art der zu erhaltenden PD, die Liste der Aktionen mit den PD, den Zeitraum, in dem die Zustimmung in Kraft ist, sowie die Folgen der Weigerung des Subjektes, die schriftliche Zustimmung zu erhalten, informieren.
3.1.3. Dokumente, die PD enthalten, werden erstellt durch:
- Kopieren der Originaldokumente (Reisepass, Ausbildungsnachweis, INN-Bescheinigung, Rentenbescheinigung usw.);
- Eingabe von Informationen in Buchungsformulare;
- Erhalten der Originale der notwendigen Dokumente (Arbeitsbuch, medizinischer Bericht, Eigenschaften, etc.).
3.2. Verarbeitung von PD.
3.2.1. Die Verarbeitung personenbezogener Daten erfolgt:
- mit Zustimmung des Betreffenden personenbezogener Daten zur Verarbeitung seiner personenbezogenen Daten;
- in Fällen, in denen die Verarbeitung personenbezogener Daten für die Durchführung und Erfüllung der Funktionen, Befugnisse und Pflichten erforderlich ist, die durch die Gesetzgebung der Russischen Föderation auferlegt werden;
- in Situationen, in denen die Verarbeitung personenbezogener Daten, den Zugriff auf die breite Öffentlichkeit, die die persönlichen Daten unterliegen oder auf Antrag gewährt wurde (im Folgenden - personenbezogene Daten, die vom Subjekt personenbezogener Daten öffentlich gemacht wurden).
3.2.2. Ziele der Verarbeitung personenbezogener Daten:
- Umsetzung der Arbeitsbeziehungen;
- Umsetzung der zivilrechtlichen Beziehungen.
3.2.3. Kategorien von Subjekten von persönlichen Daten.
Die PD folgender Subjekte werden bearbeitet:
- Personen, die mit dem Unternehmen in Arbeitsbeziehungen stehen;
- Personen, die aus dem Verband ausgeschieden sind;
- Personen, die Arbeitskandidaten sind;
- Personen, die mit dem Unternehmen in zivilrechtlichen Beziehungen stehen.
3.2.4. Vom Operator verarbeitete PD:
- Daten, die bei der Durchführung der Arbeitsbeziehungen gewonnen wurden;
- Daten, die für die Auswahl von Arbeitskandidaten gewonnen wurden;
- Daten, die während der Umsetzung der zivilrechtlichen Beziehungen gewonnen wurden.
3.2.5. Die Verarbeitung personenbezogener Daten erfolgt:
- mit Verwendung von Automatisierungswerkzeugen;
- ohne den Einsatz von Automatisierung.
3.3. Speicherung von PD.
3.3.1. PD von Subjekten können erhalten, weiterverarbeitet und auf Papier oder in elektronischer Form gespeichert werden.
3.3.2. PD, die auf Papierträgern festgehalten sind, werden in verschließbaren Schränken oder in verschließbaren Räumen mit eingeschränkten Zugriffsrechten aufbewahrt.
3.3.3. PD von Subjekten, die mit Automatisierungswerkzeugen für verschiedene Zwecke bearbeitet werden, werden in verschiedenen Ordnern gespeichert.
3.3.4. Es ist nicht erlaubt, Dokumente, die PD enthalten, in offenen elektronischen Katalogen (Filesharing) im ISDN zu speichern und zu platzieren.
3.3.5. Speicherung der PD in einer Form, die das Subjekt der PD bestimmen lässt, wird nicht länger ausgeführt, als der Zweck ihrer Verarbeitung es erfordert, und sie unterliegen der Zerstörung bei der Erreichung der Behandlungsziele oder im Falle eines Verlustes der Notwendigkeit, sie zu erreichen.
3.4. Zerstörung von PD.
3.4.1. Die Zerstörung von Dokumenten (Trägern), die PD enthalten, erfolgt durch Verbrennen, Zerkleinern (Zerkleinern), chemische Zersetzung, Umwandlung in eine formlose Masse oder ein Pulver. Für die Zerstörung von Papierdokumenten ist ein Aktenvernichter erlaubt.
3.4.2. PD auf elektronischen Medien werden durch Löschen oder Formatieren der Medien zerstört.
3.4.3. Die Tatsache der Zerstörung der PD wird durch ein Gesetz über die Zerstörung von Trägern dokumentiert.
3.5. Übertragung von PD.
3.5.1. Der Operator überträgt das PD in folgenden Fällen an Dritte:
- das Subjekt erklärt seine Zustimmung zu solchen Aktionen;
- Die Übertragung ist im Rahmen des gesetzlich festgelegten Verfahrens durch russische oder andere anwendbare Rechtsvorschriften vorgesehen.
3.5.2. Liste der Personen, an die die PD übertragen wird.
Dritte, an die PD übertragen werden:
- Pensionskasse der Russischen Föderation für die Buchhaltung (rechtlich);
- Steuerbehörden der Russischen Föderation (gesetzlich);
- Der Sozialversicherungsfonds der Russischen Föderation (gesetzlich);
- Territorialer Fonds der obligatorischen Krankenversicherung (gesetzlich);
- Krankenversicherungsorganisationen für obligatorische und freiwillige Krankenversicherung (gesetzlich);
- Banken für die Berechnung der Löhne (auf der Grundlage des Vertrags);
- Organe des Ministeriums von Inneren Angelegenheiten Russlands in den durch die Gesetzgebung festgelegten Fällen.

4. Schutz personenbezogener Daten
4.1. Gemäß den Anforderungen der behördlichen Dokumente hat der Betreiber ein System zum Schutz personenbezogener Daten (SZPD) geschaffen, das aus rechtlichen, organisatorischen und technischen Schutzsystemen besteht.
4.2. Das Subsystem für den Rechtsschutz ist ein Komplex von rechtlichen, organisatorischen und regulatorischen Dokumenten, die die Erstellung, Funktionsweise und Verbesserung des SZPD sicherstellen.
4.3. Das organisatorische Schutzsubsystem umfasst die Organisation der Verwaltungsstruktur des SZPD, das Genehmigungssystem und den Schutz von Informationen bei der Zusammenarbeit mit Mitarbeitern, Partnern und Dritten.
4.4. Das Subsystem des technischen Schutzes enthält eine Reihe von technischer Software und Firmware, die den Schutz von PD gewährleisten.
4.4. Die wichtigsten Schutzmaßnahmen für PD, die vom Betreiber verwendet werden, sind:
4.5.1. Ernennung des Verantwortlichen für den Umgang mit PD, der die Bearbeitung von PD organisiert, Schulung und Information, interne Kontrolle über die Compliance der Institution und ihrer Mitarbeiter mit den Anforderungen für den Schutz von PD.
4.5.2. Bestimmung der tatsächlichen Bedrohungen für die Sicherheit von PD während ihrer Verarbeitung im ISDN und Entwicklung von Maßnahmen zum Schutz der PD.
4.5.3. Entwicklung einer Richtlinie für die Verarbeitung personenbezogener Daten.
4.5.4. Festlegung von Regeln für den Zugriff auf im ISDN verarbeitete PD sowie Sicherstellung der Registrierung und Aufzeichnung aller Aktionen, die mit PD im ISDN durchgeführt werden.
4.5.5. Einrichtung individueller Passwörter für Mitarbeiter, die entsprechend ihrer Produktionsverantwortung auf das Informationssystem zugreifen.
4.5.6. Die Anwendung des Verfahrens zur Bewertung der Einhaltung der Informationssicherheit bedeutet, dass diese gemäß dem festgelegten Verfahren angenommen wurde.
4.5.7. Zertifizierte Antivirussoftware mit regelmäßig aktualisierten Datenbanken.
4.5.8. Einhaltung der Bedingungen, die die Sicherheit des PD gewährleisten und den unbefugten Zugriff darauf ausschließen.
4.5.9. Aufdeckung der Fakten über unbefugten Zugriff auf personenbezogene Daten und Ergreifung von Maßnahmen.
4.5.10. Wiederherstellung von PD, die modifiziert oder zerstört wurden, aufgrund von unbefugtem Zugriff auf sie.
4.5.11. Schulung von Mitarbeitern des Operators, die direkt personenbezogene Daten verarbeiten, die Bestimmungen der Gesetzgebung der Russischen Föderation zu personenbezogenen Daten, einschließlich der Anforderungen zum Schutz personenbezogener Daten, Dokumente, die die Politik des Betreibers in Bezug auf die Verarbeitung personenbezogener Daten bestimmen, lokale Handlungen zur Verarbeitung personenbezogener Daten.
4.5.12. Implementierung von interner Kontrolle und Audit.

5. Die Grundrechte des Gegenstands der PD und die Pflichten des Operators
5.1. Grundrechte des PD-Subjekts.
Der Betreffende hat das Recht, auf seine persönlichen Daten und die folgenden Informationen zuzugreifen:
- Bestätigung der Tatsache der Verarbeitung der PD durch den Operator;
- rechtliche Gründe und Ziele für die Bearbeitung von PD;
- Ziele und Methoden der Bearbeitung der vom Operator verwendeten PD;
- Name und Standort des Operators, Informationen über die Personen (mit Ausnahme der Mitarbeiter des Betreibers), die Zugang zu PD haben oder die von PD auf der Grundlage eines Vertrags mit dem Operator oder auf der Grundlage eines Bundesgesetzes offengelegt werden können;
- die Bedingungen für die Verarbeitung personenbezogener Daten, einschließlich der Bedingungen ihrer Speicherung;
- das Verfahren für das Subjekt der PD, um die in diesem Bundesgesetz vorgesehenen Rechte auszuüben;
- Name und Anschrift der Person, die die Bearbeitung der PD im Auftrag des Operators durchführt, wenn die Verarbeitung dieser Person anvertraut oder beauftragt wurde;
- Kontaktaufnahme mit dem Operator und Senden von Anfragen;
- gegen die Handlungen oder Unterlassungen des Operators Berufung einlegen.
5.2. Pflichten des Operators
Der Operator ist verpflichtet:
- beim Sammeln von PD Informationen über die Verarbeitung von PD bereitstellen;
- in Fällen, in denen die PD nicht von der Person der PD erhalten wurde, die Person zu benachrichtigen;
- Im Falle der Weigerung, die PD zu liefern, den Grund einer solchen Weigerung zu erklären;
- zu veröffentlichen oder anderweitig unbeschränkten Zugriff auf das Dokument zu gewähren, das seine Richtlinie bezüglich der Verarbeitung von PD zu Informationen über die aktuellen Anforderungen für den Schutz von AP definiert;
- die notwendigen rechtlichen, organisatorischen und technischen Maßnahmen zu ergreifen oder ihre Annahme zum Schutz der PD vor unberechtigtem oder versehentlichem Zugriff, Vernichtung, Änderung, Blockierung, Vervielfältigung, Bereitstellung, Verbreitung von PD sowie anderen rechtswidrigen Handlungen gegen PD sicherzustellen;
- auf Anfragen und Appelle der Subjekte der PD, ihrer Vertreter und der autorisierten Stelle für den Schutz der Rechte der Untertanen der PD Antwort zu geben.