Գաղտնիության և անձնական տվյալների մշակման քաղաքականություն
1. Ընդհանուր դրույթներ
1.1. Սույն Քաղաքականությունը մշակվել է անձնական տվյալների մշակման ժամանակ մարդու և քաղաքացու իրավունքների ու ազատությունների պաշտպանությունն ապահովելու նպատակով, այդ թվում՝ մասնավոր կյանքի անձեռնմխելիության, անձնական և ընտանեկան գաղտնիքի իրավունքների պաշտպանության համար:
Քաղաքականության մեջ օգտագործվող հիմնական հասկացությունները.
անձնական տվյալներ — ցանկացած տեղեկություն, որը վերաբերում է ուղղակիորեն կամ անուղղակիորեն որոշված կամ որոշվող ֆիզիկական անձին (անձնական տվյալների սուբյեկտին);
անձնական տվյալների օպերատոր (օպերատոր) — պետական մարմին, մունիցիպալ մարմին, իրավաբանական կամ ֆիզիկական անձ, որոնք ինքնուրույն կամ այլ անձանց հետ համատեղ կազմակերպում և (կամ) իրականացնում են անձնական տվյալների մշակումը, ինչպես նաև որոշում են անձնական տվյալների մշակման նպատակները, մշակման ենթակա անձնական տվյալների կազմը, անձնական տվյալների հետ կատարվող գործողությունները (գործառնությունները);
անձնական տվյալների մշակում — անձնական տվյալների հետ կատարվող ցանկացած գործողություն (գործառնություն) կամ գործողությունների (գործառնությունների) համախումբ՝ ավտոմատացման միջոցների կիրառմամբ կամ առանց դրանց:
Անձնական տվյալների մշակումը ներառում է, ի թիվս այլոց.
անձնական տվյալների տարածում — գործողություններ, որոնք ուղղված են անձնական տվյալների բացահայտմանը անձանց անորոշ շրջանակի համար;
անձնական տվյալների տրամադրում — գործողություններ՝ ուղղված անձնական տվյալների բացահայտմանը որոշակի անձի կամ անձանց որոշակի շրջանակի համար;
անձնական տվյալների բլոկավորում — անձնական տվյալների մշակման ժամանակավոր դադարեցում (բացառությամբ այն դեպքերի, երբ մշակումն անհրաժեշտ է անձնական տվյալների ճշգրտման համար);
անձնական տվյալների ոչնչացում — գործողություններ, որոնց արդյունքում անհնար է դառնում վերականգնել անձնական տվյալների բովանդակությունը անձնական տվյալների տեղեկատվական համակարգում և (կամ) որոնց արդյունքում ոչնչացվում են անձնական տվյալների նյութական կրիչները;
անձնական տվյալների անանունացում — գործողություններ, որոնց արդյունքում անհնար է դառնում առանց լրացուցիչ տեղեկատվության օգտագործման որոշել անձնական տվյալների պատկանելությունը կոնկրետ անձնական տվյալների սուբյեկտին;
անձնական տվյալների տեղեկատվական համակարգ — տվյալների բազաներում պարունակվող անձնական տվյալների և դրանց մշակումն ապահովող տեղեկատվական տեխնոլոգիաների ու տեխնիկական միջոցների ամբողջություն:
1.3. Օպերատորի հիմնական իրավունքներն ու պարտականությունները։
1.3.1. Օպերատորն իրավունք ունի՝
1.1. Սույն Քաղաքականությունը մշակվել է անձնական տվյալների մշակման ժամանակ մարդու և քաղաքացու իրավունքների ու ազատությունների պաշտպանությունն ապահովելու նպատակով, այդ թվում՝ մասնավոր կյանքի անձեռնմխելիության, անձնական և ընտանեկան գաղտնիքի իրավունքների պաշտպանության համար:
Քաղաքականության մեջ օգտագործվող հիմնական հասկացությունները.
անձնական տվյալներ — ցանկացած տեղեկություն, որը վերաբերում է ուղղակիորեն կամ անուղղակիորեն որոշված կամ որոշվող ֆիզիկական անձին (անձնական տվյալների սուբյեկտին);
անձնական տվյալների օպերատոր (օպերատոր) — պետական մարմին, մունիցիպալ մարմին, իրավաբանական կամ ֆիզիկական անձ, որոնք ինքնուրույն կամ այլ անձանց հետ համատեղ կազմակերպում և (կամ) իրականացնում են անձնական տվյալների մշակումը, ինչպես նաև որոշում են անձնական տվյալների մշակման նպատակները, մշակման ենթակա անձնական տվյալների կազմը, անձնական տվյալների հետ կատարվող գործողությունները (գործառնությունները);
անձնական տվյալների մշակում — անձնական տվյալների հետ կատարվող ցանկացած գործողություն (գործառնություն) կամ գործողությունների (գործառնությունների) համախումբ՝ ավտոմատացման միջոցների կիրառմամբ կամ առանց դրանց:
Անձնական տվյալների մշակումը ներառում է, ի թիվս այլոց.
- հավաքագրում;
- ձայնագրում;
- համակարգում;
- կուտակում;
- պահպանում;
- ճշգրտում (թարմացում, փոփոխում);
- դուրսբերում;
- օգտագործում;
- փոխանցում (տարածում, տրամադրում, հասանելիություն);
- անանունացում;
- կասեցում;
- հեռացում;
- ոչնչացում;
անձնական տվյալների տարածում — գործողություններ, որոնք ուղղված են անձնական տվյալների բացահայտմանը անձանց անորոշ շրջանակի համար;
անձնական տվյալների տրամադրում — գործողություններ՝ ուղղված անձնական տվյալների բացահայտմանը որոշակի անձի կամ անձանց որոշակի շրջանակի համար;
անձնական տվյալների բլոկավորում — անձնական տվյալների մշակման ժամանակավոր դադարեցում (բացառությամբ այն դեպքերի, երբ մշակումն անհրաժեշտ է անձնական տվյալների ճշգրտման համար);
անձնական տվյալների ոչնչացում — գործողություններ, որոնց արդյունքում անհնար է դառնում վերականգնել անձնական տվյալների բովանդակությունը անձնական տվյալների տեղեկատվական համակարգում և (կամ) որոնց արդյունքում ոչնչացվում են անձնական տվյալների նյութական կրիչները;
անձնական տվյալների անանունացում — գործողություններ, որոնց արդյունքում անհնար է դառնում առանց լրացուցիչ տեղեկատվության օգտագործման որոշել անձնական տվյալների պատկանելությունը կոնկրետ անձնական տվյալների սուբյեկտին;
անձնական տվյալների տեղեկատվական համակարգ — տվյալների բազաներում պարունակվող անձնական տվյալների և դրանց մշակումն ապահովող տեղեկատվական տեխնոլոգիաների ու տեխնիկական միջոցների ամբողջություն:
1.3. Օպերատորի հիմնական իրավունքներն ու պարտականությունները։
1.3.1. Օպերատորն իրավունք ունի՝
- ինքնուրույն որոշել «Անձնական տվյալների մասին» օրենքով և դրան համապատասխան ընդունված նորմատիվ իրավական ակտերով նախատեսված պարտականությունների կատարումն ապահովելու համար անհրաժեշտ և բավարար միջոցների կազմն ու ցանկը, եթե այլ բան նախատեսված չէ «Անձնական տվյալների մասին» օրենքով կամ այլ դաշնային օրենքներով;
- անձնական տվյալների սուբյեկտի համաձայնությամբ անձնական տվյալների մշակումը հանձնարարել այլ անձի, եթե այլ բան նախատեսված չէ դաշնային օրենքով, այդ անձի հետ կնքվող պայմանագրի հիման վրա։ Օպերատորի հանձնարարությամբ անձնական տվյալների մշակում իրականացնող անձը պարտավոր է պահպանել «Անձնական տվյալների մասին» օրենքով նախատեսված անձնական տվյալների մշակման սկզբունքներն ու կանոնները, պահպանել անձնական տվյալների գաղտնիությունը, ձեռնարկել անհրաժեշտ միջոցներ՝ ուղղված «Անձնական տվյալների մասին» օրենքով նախատեսված պարտականությունների կատարման ապահովմանը;
- անձնական տվյալների սուբյեկտի կողմից անձնական տվյալների մշակման համաձայնությունը հետ կանչելու դեպքում Օպերատորն իրավունք ունի շարունակել անձնական տվյալների մշակումն առանց անձնական տվյալների սուբյեկտի համաձայնության՝ «Անձնական տվյալների մասին» օրենքով սահմանված հիմքերի առկայության դեպքում։
- կազմակերպել անձնական տվյալների մշակումը «Անձնական տվյալների մասին» օրենքի պահանջներին համապատասխան;
- պատասխանել անձնական տվյալների սուբյեկտների և նրանց օրինական ներկայացուցիչների դիմումներին ու հարցումներին՝ «Անձնական տվյալների մասին» օրենքի պահանջներին համապատասխան;
- անձնական տվյալների սուբյեկտների իրավունքների պաշտպանության լիազոր մարմնին (Կապի, տեղեկատվական տեխնոլոգիաների և զանգվածային հաղորդակցության ոլորտում վերահսկողության դաշնային ծառայությանը (Ռոսկոմնադզոր)) այդ մարմնի հարցմամբ տրամադրել անհրաժեշտ տեղեկատվությունը նման հարցումը ստանալու օրվանից 10 աշխատանքային օրվա ընթացքում։ Այս ժամկետը կարող է երկարաձգվել, բայց ոչ ավելի, քան հինգ աշխատանքային օրով։ Դրա համար Օպերատորը պետք է Ռոսկոմնադզոր ուղարկի հիմնավորված ծանուցում՝ նշելով հայցվող տեղեկատվության տրամադրման ժամկետի երկարաձգման պատճառները;
- անվտանգության ապահովման բնագավառում լիազորված դաշնային գործադիր մարմնի կողմից սահմանված կարգով ապահովել փոխգործակցությունը ՌԴ տեղեկատվական ռեսուրսների վրա համակարգչային հարձակումների հայտնաբերման, կանխարգելման և հետևանքների վերացման պետական համակարգի հետ, ներառյալ նրան տեղեկացնելը համակարգչային միջադեպերի մասին, որոնք հանգեցրել են անձնական տվյալների անօրինական փոխանցմանը (տրամադրմանը, տարածմանը, հասանելիությանը)։
- ստանալ տեղեկատվություն իր անձնական տվյալների մշակման վերաբերյալ, բացառությամբ դաշնային օրենքներով նախատեսված դեպքերի: Տեղեկությունները Օպերատորի կողմից անձնական տվյալների սուբյեկտին տրամադրվում են հասանելի ձևով, և դրանք չպետք է պարունակեն այլ սուբյեկտներին վերաբերող անձնական տվյալներ, բացառությամբ այն դեպքերի, երբ առկա են նման անձնական տվյալների բացահայտման օրինական հիմքեր: Տեղեկատվության ցանկը և դրա ստացման կարգը սահմանված են «Անձնական տվյալների մասին» օրենքով;
- օպերատորից պահանջել ճշգրտել իր անձնական տվյալները, դրանք արգելափակել կամ ոչնչացնել այն դեպքում, եթե անձնական տվյալները թերի են, հնացած, անճիշտ, ապօրինի ստացված կամ անհրաժեշտ չեն մշակման հայտարարված նպատակի համար, ինչպես նաև ձեռնարկել իր իրավունքների պաշտպանության համար օրենքով նախատեսված միջոցներ;
- տալ նախնական համաձայնություն անձնական տվյալների մշակման համար՝ շուկայում ապրանքների, աշխատանքների և ծառայությունների առաջխաղացման նպատակով;
- բողոքարկել Ռոսկոմնադզորում կամ դատական կարգով Օպերատորի անօրինական գործողությունները կամ անգործությունը իր անձնական տվյալների մշակման ժամանակ:
2. Անձնական տվյալների մշակման նպատակները
2.1. Անձնական տվյալների մշակումը սահմանափակվում է կոնկրետ, նախապես որոշված և օրինական նպատակների իրագործմամբ։ Չի թույլատրվում անձնական տվյալների մշակում, որն անհամատեղելի է անձնական տվյալների հավաքագրման նպատակների հետ։
2.2. Մշակման ենթակա են միայն այն անձնական տվյալները, որոնք համապատասխանում են դրանց մշակման նպատակներին։
2.3. Օպերատորի կողմից անձնական տվյալների մշակումն իրականացվում է հետևյալ նպատակներով՝
2.1. Անձնական տվյալների մշակումը սահմանափակվում է կոնկրետ, նախապես որոշված և օրինական նպատակների իրագործմամբ։ Չի թույլատրվում անձնական տվյալների մշակում, որն անհամատեղելի է անձնական տվյալների հավաքագրման նպատակների հետ։
2.2. Մշակման ենթակա են միայն այն անձնական տվյալները, որոնք համապատասխանում են դրանց մշակման նպատակներին։
2.3. Օպերատորի կողմից անձնական տվյալների մշակումն իրականացվում է հետևյալ նպատակներով՝
- իր գործունեության իրականացումը «Բերգաուֆ Ստրոիտելնիե Տեխնոլոգիի» ՍՊԸ-ի կանոնադրությանը համապատասխան, այդ թվում՝ պայմանագրերի կնքումը և կատարումը գործընկերների հետ;
- աշխատանքային օրենսդրության կատարումը աշխատանքային և դրանց հետ անմիջականորեն կապված այլ հարաբերությունների շրջանակներում, այդ թվում՝ աշխատակիցների աջակցությունը աշխատանքի տեղավորման, կրթություն ստանալու և ծառայողական առաջխաղացման հարցում, Օպերատորի մոտ աշխատանքի թեկնածուների ներգրավումը և ընտրությունը, աշխատակիցների անձնական անվտանգության ապահովումը, կատարվող աշխատանքի քանակի և որակի վերահսկողությունը, գույքի պահպանվածության ապահովումը, կադրային և հաշվապահական հաշվառման վարումը, հաշվետվության պահանջվող ձևերի լրացումը և փոխանցումը լիազորված մարմիններին, պարտադիր կենսաթոշակային ապահովագրության և պարտադիր սոցիալական ապահովագրության համակարգերում աշխատակիցների անհատական (անձնավորված) հաշվառման կազմակերպումը;
- գովազդային և մարքեթինգային ակցիաներ;
- անցագրային ռեժիմի իրականացում։
3. Անձնական տվյալների մշակման իրավական հիմքերը
3.1. Անձնական տվյալների մշակման իրավական հիմքը հանդիսանում է նորմատիվ իրավական ակտերի ամբողջությունը, ի կատարումն որոնց և որոնց համապատասխան Օպերատորն իրականացնում է անձնական տվյալների մշակումը, այդ թվում՝
3.1. Անձնական տվյալների մշակման իրավական հիմքը հանդիսանում է նորմատիվ իրավական ակտերի ամբողջությունը, ի կատարումն որոնց և որոնց համապատասխան Օպերատորն իրականացնում է անձնական տվյալների մշակումը, այդ թվում՝
- Ռուսաստանի Դաշնության Սահմանադրությունը;
- Ռուսաստանի Դաշնության Քաղաքացիական օրենսգիրքը;
- Ռուսաստանի Դաշնության Աշխատանքային օրենսգիրքը;
- Ռուսաստանի Դաշնության Հարկային օրենսգիրքը;
- 08.02.1998թ. N 14-ФЗ «Սահմանափակ պատասխանատվությամբ ընկերությունների մասին» Դաշնային օրենքը;
- 06.12.2011թ. N 402-ФЗ «Հաշվապահական հաշվառման մասին» Դաշնային օրենքը;
- 15.12.2001թ. N 167-ФЗ «Ռուսաստանի Դաշնությունում պարտադիր կենսաթոշակային ապահովագրության մասին» Դաշնային օրենքը;
- այլ նորմատիվ իրավական ակտեր, որոնք կարգավորում են Օպերատորի գործունեության հետ կապված հարաբերությունները։
- «Բերգաուֆ Շինարարական Տեխնոլոգիաներ» ՍՊԸ-ի կանոնադրությունը;
- Օպերատորի և անձնական տվյալների սուբյեկտների միջև կնքվող պայմանագրերը;
- անձնական տվյալների սուբյեկտների համաձայնությունը իրենց անձնական տվյալների մշակման համար:
4. Մշակվող անձնական տվյալների ծավալը և կատեգորիաները, անձնական տվյալների սուբյեկտների կատեգորիաները
4.1. Մշակվող անձնական տվյալների բովանդակությունը և ծավալը պետք է համապատասխանեն սույն Քաղաքականության 2-րդ բաժնում նախատեսված մշակման հայտարարված նպատակներին: Մշակվող անձնական տվյալները չպետք է ավելորդ լինեն դրանց մշակման հայտարարված նպատակների նկատմամբ:
4.2. Օպերատորը կարող է մշակել անձնական տվյալների սուբյեկտների հետևյալ կատեգորիաների անձնական տվյալները.
4.2.1. Օպերատորի մոտ աշխատանքի ընդունվելու թեկնածուներ՝ աշխատանքային օրենսդրության կատարման նպատակով՝ աշխատանքային և դրանց հետ անմիջականորեն կապված այլ հարաբերությունների շրջանակներում, անցագրային ռեժիմի իրականացման համար:
4.4. Օպերատորի կողմից չի իրականացվում անձնական տվյալների հատուկ կատեգորիաների մշակում, որոնք վերաբերում են ռասայական, ազգային պատկանելությանը, քաղաքական հայացքներին, կրոնական կամ փիլիսոփայական համոզմունքներին, առողջական վիճակին, ինտիմ կյանքին, բացառությամբ ՌԴ օրենսդրությամբ նախատեսված դեպքերի։
4.1. Մշակվող անձնական տվյալների բովանդակությունը և ծավալը պետք է համապատասխանեն սույն Քաղաքականության 2-րդ բաժնում նախատեսված մշակման հայտարարված նպատակներին: Մշակվող անձնական տվյալները չպետք է ավելորդ լինեն դրանց մշակման հայտարարված նպատակների նկատմամբ:
4.2. Օպերատորը կարող է մշակել անձնական տվյալների սուբյեկտների հետևյալ կատեգորիաների անձնական տվյալները.
4.2.1. Օպերատորի մոտ աշխատանքի ընդունվելու թեկնածուներ՝ աշխատանքային օրենսդրության կատարման նպատակով՝ աշխատանքային և դրանց հետ անմիջականորեն կապված այլ հարաբերությունների շրջանակներում, անցագրային ռեժիմի իրականացման համար:
- ազգանուն, անուն, հայրանուն;
- սեռ;
- քաղաքացիություն;
- ծննդյան ամսաթիվ և վայր;
- կոնտակտային տվյալներ;
- տեղեկություններ կրթության, աշխատանքային փորձի, որակավորման մասին;
- այլ անձնական տվյալներ, որոնք հայտնվում են թեկնածուների կողմից ինքնակենսագրականներում (CV) և ուղեկցող նամակներում:
- ազգանուն, անուն, հայրանուն;
- սեռ;
- քաղաքացիություն;
- ծննդյան ամսաթիվ և վայր;
- պատկեր (լուսանկար);
- անձնագրային տվյալներ;
- գրանցման հասցե ըստ բնակության վայրի;
- փաստացի բնակության հասցե;
- կոնտակտային տվյալներ;
- հարկ վճարողի անհատական համար;
- անհատական անձնական հաշվի ապահովագրական համարը (СНИЛС);
- տեղեկություններ կրթության, որակավորման, մասնագիտական պատրաստվածության և որակավորման բարձրացման մասին;
- ընտանեկան դրություն, երեխաների առկայություն, ազգակցական կապեր;
- տեղեկություններ աշխատանքային գործունեության մասին, այդ թվում՝ խրախուսանքների, պարգևատրումների և (կամ) կարգապահական տույժերի առկայությունը;
- ամուսնության գրանցման տվյալներ;
- տեղեկություններ զինվորական հաշվառման մասին;
- տեղեկություններ հաշմանդամության մասին;
- տեղեկություններ ալիմենտների պահման մասին;
- տեղեկություններ նախորդ աշխատավայրից ստացված եկամտի մասին;
- այլ անձնական տվյալներ, որոնք տրամադրվում են աշխատակիցների կողմից՝ աշխատանքային օրենսդրության պահանջներին համապատասխան։
- ազգանուն, անուն, հայրանուն;
- ազգակցական կապի աստիճանը;
- ծննդյան տարեթիվը;
- այլ անձնական տվյալներ, որոնք տրամադրվում են աշխատակիցների կողմից՝ աշխատանքային օրենսդրության պահանջներին համապատասխան։
- ազգանուն, անուն, հայրանուն;
- ծննդյան ամսաթիվ և վայր;
- անձնագրային տվյալներ;
- գրանցման հասցե ըստ բնակության վայրի;
- կոնտակտային տվյալներ (այդ թվում՝ հեռախոսահամար, էլեկտրոնային փոստի հասցե, մեսենջերների տվյալներ);
- զբաղեցրած պաշտոն;
- հարկ վճարողի անհատական համար;
- հաշվարկային հաշվի համար;
- հաճախորդների և կոնտրագենտների (ֆիզիկական անձանց) կողմից տրամադրվող այլ անձնական տվյալներ, որոնք անհրաժեշտ են պայմանագրերի կնքման և կատարման համար:
- ազգանուն, անուն, հայրանուն;
- անձնագրային տվյալներ;
- կոնտակտային տվյալներ;
- զբաղեցրած պաշտոն;
- այլ անձնական տվյալներ, որոնք տրամադրվում են հաճախորդների և գործընկերների ներկայացուցիչների (աշխատակիցների) կողմից և անհրաժեշտ են պայմանագրերի կնքման ու կատարման համար։
4.4. Օպերատորի կողմից չի իրականացվում անձնական տվյալների հատուկ կատեգորիաների մշակում, որոնք վերաբերում են ռասայական, ազգային պատկանելությանը, քաղաքական հայացքներին, կրոնական կամ փիլիսոփայական համոզմունքներին, առողջական վիճակին, ինտիմ կյանքին, բացառությամբ ՌԴ օրենսդրությամբ նախատեսված դեպքերի։
5. Անձնական տվյալների մշակման կարգը և պայմանները
5.1. Անձնական տվյալների մշակումն իրականացվում է Օպերատորի կողմից՝ Ռուսաստանի Դաշնության օրենսդրության պահանջներին համապատասխան:
5.2. Անձնական տվյալների մշակումն իրականացվում է անձնական տվյալների սուբյեկտների համաձայնությամբ՝ իրենց անձնական տվյալների մշակման համար, ինչպես նաև առանց դրա՝ Ռուսաստանի Դաշնության օրենսդրությամբ նախատեսված դեպքերում:
5.3. Օպերատորն իրականացնում է անձնական տվյալների մշակումը յուրաքանչյուր նպատակի համար հետևյալ եղանակներով.
5.5. Անձնական տվյալների մշակումը Քաղաքականության 2.3 կետում նշված մշակման յուրաքանչյուր նպատակի համար իրականացվում է հետևյալ կերպ.
5.7. Անձնական տվյալների փոխանցումը հետաքննության և քննչական մարմիններին, Դաշնային հարկային ծառայությանը, Ռուսաստանի Սոցիալական հիմնադրամին և գործադիր իշխանության այլ լիազորված մարմիններին ու կազմակերպություններին իրականացվում է Ռուսաստանի Դաշնության օրենսդրության պահանջներին համապատասխան:
5.8. Օպերատորը ձեռնարկում է անհրաժեշտ իրավական, կազմակերպչական և տեխնիկական միջոցներ՝ անձնական տվյալները դրանց նկատմամբ անօրինական կամ պատահական հասանելիությունից, ոչնչացումից, փոփոխումից, արգելափակումից, տարածումից և այլ չարտոնված գործողություններից պաշտպանելու համար, այդ թվում՝
5.10. Օպերատորը դադարեցնում է անձնական տվյալների մշակումը հետևյալ դեպքերում՝
5.13. Անձնական տվյալների հավաքագրման ժամանակ, այդ թվում՝ ինտերնետ տեղեկատվական-հեռահաղորդակցական ցանցի միջոցով, Օպերատորն ապահովում է Ռուսաստանի Դաշնության քաղաքացիների անձնական տվյալների ձայնագրումը, համակարգումը, կուտակումը, պահպանումը, ճշգրտումը (թարմացումը, փոփոխումը), արդյունահանումը՝ օգտագործելով Ռուսաստանի Դաշնության տարածքում գտնվող տվյալների բազաները, բացառությամբ «Անձնական տվյալների մասին» օրենքում նշված դեպքերի:
5.1. Անձնական տվյալների մշակումն իրականացվում է Օպերատորի կողմից՝ Ռուսաստանի Դաշնության օրենսդրության պահանջներին համապատասխան:
5.2. Անձնական տվյալների մշակումն իրականացվում է անձնական տվյալների սուբյեկտների համաձայնությամբ՝ իրենց անձնական տվյալների մշակման համար, ինչպես նաև առանց դրա՝ Ռուսաստանի Դաշնության օրենսդրությամբ նախատեսված դեպքերում:
5.3. Օպերատորն իրականացնում է անձնական տվյալների մշակումը յուրաքանչյուր նպատակի համար հետևյալ եղանակներով.
- անձնական տվյալների ոչ ավտոմատացված մշակում;
- անձնական տվյալների ավտոմատացված մշակում՝ ստացված տեղեկատվության փոխանցմամբ տեղեկատվական-հեռահաղորդակցական ցանցերով կամ առանց դրա;
- անձնական տվյալների խառը մշակում:
5.5. Անձնական տվյալների մշակումը Քաղաքականության 2.3 կետում նշված մշակման յուրաքանչյուր նպատակի համար իրականացվում է հետևյալ կերպ.
- անձնական տվյալների ստացում բանավոր և գրավոր ձևով անմիջապես անձնական տվյալների սուբյեկտներից;
- անձնական տվյալների մուտքագրում Օպերատորի մատյաններում, ռեեստրներում և տեղեկատվական համակարգերում;
- անձնական տվյալների մշակման այլ եղանակների օգտագործում:
5.7. Անձնական տվյալների փոխանցումը հետաքննության և քննչական մարմիններին, Դաշնային հարկային ծառայությանը, Ռուսաստանի Սոցիալական հիմնադրամին և գործադիր իշխանության այլ լիազորված մարմիններին ու կազմակերպություններին իրականացվում է Ռուսաստանի Դաշնության օրենսդրության պահանջներին համապատասխան:
5.8. Օպերատորը ձեռնարկում է անհրաժեշտ իրավական, կազմակերպչական և տեխնիկական միջոցներ՝ անձնական տվյալները դրանց նկատմամբ անօրինական կամ պատահական հասանելիությունից, ոչնչացումից, փոփոխումից, արգելափակումից, տարածումից և այլ չարտոնված գործողություններից պաշտպանելու համար, այդ թվում՝
- որոշում է անձնական տվյալների անվտանգության սպառնալիքները դրանց մշակման ժամանակ;
- ընդունում է տեղական նորմատիվ ակտեր և այլ փաստաթղթեր, որոնք կարգավորում են հարաբերությունները անձնական տվյալների մշակման և պաշտպանության ոլորտում;
- նշանակում է անձանց, ովքեր պատասխանատու են Օպերատորի կառուցվածքային ստորաբաժանումներում և տեղեկատվական համակարգերում անձնական տվյալների անվտանգության ապահովման համար;
- ստեղծում է անհրաժեշտ պայմաններ անձնական տվյալների հետ աշխատելու համար;
- կազմակերպում է անձնական տվյալներ պարունակող փաստաթղթերի հաշվառումը;
- կազմակերպում է աշխատանքը տեղեկատվական համակարգերի հետ, որոնցում մշակվում են անձնական տվյալները;
- պահպանում է անձնական տվյալները այնպիսի պայմաններում, որոնց դեպքում ապահովվում է դրանց պահպանվածությունը և բացառվում է դրանց նկատմամբ անօրինական հասանելիությունը;
- կազմակերպում է Օպերատորի այն աշխատակիցների ուսուցումը, որոնք իրականացնում են անձնական տվյալների մշակում:
5.10. Օպերատորը դադարեցնում է անձնական տվյալների մշակումը հետևյալ դեպքերում՝
- հայտնաբերվել է դրանց ոչ իրավաչափ մշակման փաստ: Ժամկետը՝ հայտնաբերման օրվանից երեք աշխատանքային օրվա ընթացքում.
- հասել է դրանց մշակման նպատակը.
- լրացել է գործողության ժամկետը կամ հետ է կանչվել անձնական տվյալների սուբյեկտի համաձայնությունը նշված տվյալների մշակման համար, երբ «Անձնական տվյալների մասին» օրենքի համաձայն այդ տվյալների մշակումը թույլատրվում է միայն համաձայնությամբ:
- այլ բան նախատեսված չէ պայմանագրով, որի կողմը, շահառուն կամ երաշխավորը հանդիսանում է անձնական տվյալների սուբյեկտը;
- Օպերատորն իրավունք չունի իրականացնել մշակում առանց անձնական տվյալների սուբյեկտի համաձայնության՝ «Անձնական տվյալների մասին» օրենքով կամ այլ դաշնային օրենքներով նախատեսված հիմքերով;
- այլ բան նախատեսված չէ Օպերատորի և անձնական տվյալների սուբյեկտի միջև այլ համաձայնագրով:
5.13. Անձնական տվյալների հավաքագրման ժամանակ, այդ թվում՝ ինտերնետ տեղեկատվական-հեռահաղորդակցական ցանցի միջոցով, Օպերատորն ապահովում է Ռուսաստանի Դաշնության քաղաքացիների անձնական տվյալների ձայնագրումը, համակարգումը, կուտակումը, պահպանումը, ճշգրտումը (թարմացումը, փոփոխումը), արդյունահանումը՝ օգտագործելով Ռուսաստանի Դաշնության տարածքում գտնվող տվյալների բազաները, բացառությամբ «Անձնական տվյալների մասին» օրենքում նշված դեպքերի:
6. Անձնական տվյալների արդիականացում, ուղղում, հեռացում, ոչնչացում, անձնական տվյալներին հասանելիության վերաբերյալ սուբյեկտների հարցումների պատասխաններ
6.1. Օպերատորի կողմից անձնական տվյալների մշակման փաստի հաստատումը, անձնական տվյալների մշակման իրավական հիմքերը և նպատակները, ինչպես նաև «Անձնական տվյալների մասին» օրենքի 14-րդ հոդվածի 7-րդ մասում նշված այլ տեղեկությունները տրամադրվում են Օպերատորի կողմից անձնական տվյալների սուբյեկտին կամ նրա ներկայացուցչին՝ դիմելու կամ անձնական տվյալների սուբյեկտի կամ նրա ներկայացուցչի հարցումը ստանալու պահից 10 աշխատանքային օրվա ընթացքում: Այս ժամկետը կարող է երկարաձգվել, բայց ոչ ավելի, քան հինգ աշխատանքային օրով: Դրա համար Օպերատորը պետք է անձնական տվյալների սուբյեկտին ուղարկի պատճառաբանված ծանուցում՝ նշելով հայցվող տեղեկատվության տրամադրման ժամկետի երկարաձգման պատճառները:
Տրամադրվող տեղեկատվության մեջ չեն ներառվում այլ անձանց վերաբերող անձնական տվյալները, բացառությամբ այն դեպքերի, երբ առկա են նման անձնական տվյալների բացահայտման օրինական հիմքեր։
Հարցումը պետք է պարունակի՝
Եթե անձնական տվյալների սուբյեկտի դիմումում (հարցման մեջ) «Անձնական տվյալների մասին» օրենքի պահանջներին համապատասխան արտացոլված չեն բոլոր անհրաժեշտ տեղեկությունները, կամ սուբյեկտը չունի հայցվող տեղեկատվությանը հասանելիության իրավունք, ապա նրան ուղարկվում է հիմնավորված մերժում։
Անձնական տվյալների սուբյեկտի՝ իր անձնական տվյալներին հասանելիության իրավունքը կարող է սահմանափակվել «Անձնական տվյալների մասին» օրենքի 14-րդ հոդվածի 8-րդ մասի համաձայն, այդ թվում, եթե անձնական տվյալների սուբյեկտի հասանելիությունը իր անձնական տվյալներին խախտում է երրորդ անձանց իրավունքներն ու օրինական շահերը։
6.2. Անձնական տվյալների սուբյեկտի կամ նրա ներկայացուցչի դիմումի կամ նրանց հարցման կամ Ռոսկոմնադզորի հարցման հիման վրա անճշտություններ հայտնաբերելու դեպքում Օպերատորը իրականացնում է տվյալ սուբյեկտին վերաբերող անձնական տվյալների արգելափակում՝ սկսած նման դիմումի կամ նշված հարցման ստացման պահից մինչև ստուգման ավարտը, եթե անձնական տվյալների արգելափակումը չի խախտում անձնական տվյալների սուբյեկտի կամ երրորդ անձանց իրավունքներն ու օրինական շահերը։
Անձնական տվյալների անճշտության փաստի հաստատման դեպքում Օպերատորը, անձնական տվյալների սուբյեկտի կամ նրա ներկայացուցչի կամ Ռոսկոմնադզորի կողմից ներկայացված տեղեկությունների կամ այլ անհրաժեշտ փաստաթղթերի հիման վրա, ճշգրտում է անձնական տվյալները նման տեղեկությունների ներկայացման օրվանից յոթ աշխատանքային օրվա ընթացքում և հանում է անձնական տվյալների արգելափակումը։
6.3. Անձնական տվյալների սուբյեկտի կամ նրա ներկայացուցչի կամ Ռոսկոմնադզորի դիմումի (հարցման) դեպքում անձնական տվյալների անօրինական մշակում հայտնաբերելիս, Օպերատորն իրականացնում է տվյալ սուբյեկտին վերաբերող անօրինական մշակվող անձնական տվյալների արգելափակում՝ նման դիմումի կամ հարցման ստացման պահից։
6.4. Օպերատորի կողմից անձնական տվյալների ոչնչացման կարգը։
6.4.1. Օպերատորի կողմից անձնական տվյալների ոչնչացման պայմանները և ժամկետները.
6.1. Օպերատորի կողմից անձնական տվյալների մշակման փաստի հաստատումը, անձնական տվյալների մշակման իրավական հիմքերը և նպատակները, ինչպես նաև «Անձնական տվյալների մասին» օրենքի 14-րդ հոդվածի 7-րդ մասում նշված այլ տեղեկությունները տրամադրվում են Օպերատորի կողմից անձնական տվյալների սուբյեկտին կամ նրա ներկայացուցչին՝ դիմելու կամ անձնական տվյալների սուբյեկտի կամ նրա ներկայացուցչի հարցումը ստանալու պահից 10 աշխատանքային օրվա ընթացքում: Այս ժամկետը կարող է երկարաձգվել, բայց ոչ ավելի, քան հինգ աշխատանքային օրով: Դրա համար Օպերատորը պետք է անձնական տվյալների սուբյեկտին ուղարկի պատճառաբանված ծանուցում՝ նշելով հայցվող տեղեկատվության տրամադրման ժամկետի երկարաձգման պատճառները:
Տրամադրվող տեղեկատվության մեջ չեն ներառվում այլ անձանց վերաբերող անձնական տվյալները, բացառությամբ այն դեպքերի, երբ առկա են նման անձնական տվյալների բացահայտման օրինական հիմքեր։
Հարցումը պետք է պարունակի՝
- անձնական տվյալների սուբյեկտի կամ նրա ներկայացուցչի անձը հաստատող հիմնական փաստաթղթի համարը, նշված փաստաթղթի տրման ամսաթվի և այն տրամադրած մարմնի մասին տեղեկությունները;
- տեղեկություններ, որոնք հաստատում են անձնական տվյալների սուբյեկտի մասնակցությունը Օպերատորի հետ հարաբերություններին (պայմանագրի համարը, պայմանագրի կնքման ամսաթիվը, պայմանական բառային նշանակումը և (կամ) այլ տեղեկություններ), կամ տեղեկություններ, որոնք այլ կերպ հաստատում են Օպերատորի կողմից անձնական տվյալների մշակման փաստը;
- անձնական տվյալների սուբյեկտի կամ նրա ներկայացուցչի ստորագրությունը։
Եթե անձնական տվյալների սուբյեկտի դիմումում (հարցման մեջ) «Անձնական տվյալների մասին» օրենքի պահանջներին համապատասխան արտացոլված չեն բոլոր անհրաժեշտ տեղեկությունները, կամ սուբյեկտը չունի հայցվող տեղեկատվությանը հասանելիության իրավունք, ապա նրան ուղարկվում է հիմնավորված մերժում։
Անձնական տվյալների սուբյեկտի՝ իր անձնական տվյալներին հասանելիության իրավունքը կարող է սահմանափակվել «Անձնական տվյալների մասին» օրենքի 14-րդ հոդվածի 8-րդ մասի համաձայն, այդ թվում, եթե անձնական տվյալների սուբյեկտի հասանելիությունը իր անձնական տվյալներին խախտում է երրորդ անձանց իրավունքներն ու օրինական շահերը։
6.2. Անձնական տվյալների սուբյեկտի կամ նրա ներկայացուցչի դիմումի կամ նրանց հարցման կամ Ռոսկոմնադզորի հարցման հիման վրա անճշտություններ հայտնաբերելու դեպքում Օպերատորը իրականացնում է տվյալ սուբյեկտին վերաբերող անձնական տվյալների արգելափակում՝ սկսած նման դիմումի կամ նշված հարցման ստացման պահից մինչև ստուգման ավարտը, եթե անձնական տվյալների արգելափակումը չի խախտում անձնական տվյալների սուբյեկտի կամ երրորդ անձանց իրավունքներն ու օրինական շահերը։
Անձնական տվյալների անճշտության փաստի հաստատման դեպքում Օպերատորը, անձնական տվյալների սուբյեկտի կամ նրա ներկայացուցչի կամ Ռոսկոմնադզորի կողմից ներկայացված տեղեկությունների կամ այլ անհրաժեշտ փաստաթղթերի հիման վրա, ճշգրտում է անձնական տվյալները նման տեղեկությունների ներկայացման օրվանից յոթ աշխատանքային օրվա ընթացքում և հանում է անձնական տվյալների արգելափակումը։
6.3. Անձնական տվյալների սուբյեկտի կամ նրա ներկայացուցչի կամ Ռոսկոմնադզորի դիմումի (հարցման) դեպքում անձնական տվյալների անօրինական մշակում հայտնաբերելիս, Օպերատորն իրականացնում է տվյալ սուբյեկտին վերաբերող անօրինական մշակվող անձնական տվյալների արգելափակում՝ նման դիմումի կամ հարցման ստացման պահից։
6.4. Օպերատորի կողմից անձնական տվյալների ոչնչացման կարգը։
6.4.1. Օպերատորի կողմից անձնական տվյալների ոչնչացման պայմանները և ժամկետները.
- անձնական տվյալների մշակման նպատակին հասնելը կամ այդ նպատակին հասնելու անհրաժեշտության կորուստը՝ 30 օրվա ընթացքում;
- անձնական տվյալներ պարունակող փաստաթղթերի պահպանման առավելագույն ժամկետների լրանալը՝ 30 օրվա ընթացքում;
- անձնական տվյալների սուբյեկտի (նրա ներկայացուցչի) կողմից հավաստման տրամադրումն այն մասին, որ անձնական տվյալները ստացվել են անօրինական ճանապարհով կամ անհրաժեշտ չեն մշակման հայտարարված նպատակի համար՝ յոթ աշխատանքային օրվա ընթացքում;
- անձնական տվյալների սուբյեկտի կողմից իր անձնական տվյալների մշակման համաձայնության հետկանչումը, եթե դրանց պահպանումը մշակման նպատակով այլևս չի պահանջվում՝ 30 օրվա ընթացքում։
- այլ բան նախատեսված չէ պայմանագրով, որի կողմը, շահառուն կամ երաշխավորը հանդիսանում է անձնական տվյալների սուբյեկտը;
- օպերատորն իրավունք չունի իրականացնել մշակում առանց անձնական տվյալների սուբյեկտի համաձայնության՝ «Անձնական տվյալների մասին» օրենքով կամ այլ դաշնային օրենքներով նախատեսված հիմքերով;
- այլ բան նախատեսված չէ Օպերատորի և անձնական տվյալների սուբյեկտի միջև այլ համաձայնագրով։