Personal Data Processing and Protection Policy - RCW

DATA PROCESSING AND PROTECTION POLICY OF JOINT STOCK SOCIETY “ROSKINO”

ПОЛИТИКА ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ АКЦИОНЕРНОГО ОБЩЕСТВА «РОСКИНО»

TABLE OF CONTENTS

  1. GENERAL CLAUSES
  2. ТERMS AND DEFINITIONS
  3. PRINCIPLES OF PERSONAL DATA PROCESSING BY ROSKINO
  4. GOALS OF PERSONAL DATA PROCESSING
  5. RIGHTS OF PERSONAL DATA SUBJECTS
  6. RESPONSIBILITIES OF ROSKINO FOR PERSONAL DATA PROCESSING AND PROTECTION
  7. PROCEDURE OF PERSONAL DATA PROCESSING BY ROSKINO
  8. STEPS TAKEN BY ROSKINO TO ENSURE PERSONAL DATA PROTECTION
  9. RESPONSIBILITY

ОГЛАВЛЕНИЕ

  1. ОБЩИЕ ПОЛОЖЕНИЯ
  2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
  3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБЩЕСТВА
  4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  5. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
  6. ОБЯЗАННОСТИ ОБЩЕСТВА ПО ОБРАБОТКЕ И ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
  7. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБЩЕСТВА
  8. МЕРЫ, ПРИНИМАЕМЫЕ ОБЩЕСТВОМ ПО ОБЕСПЕЧЕНИЮ БЕЗПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  9. ОТВЕТСТВЕННОСТЬ
  1. GENERAL CLAUSES

1. ОБЩИЕ ПОЛОЖЕНИЯ

Joint stock company “ROSKINO” (further referred to as ROSKINO) processes personal data of its employees and contractors as part of implementing its business processes.

Акционерное общество «РОСКИНО», сокращенное наименование – АО «РОСКИНО» (далее – Общество), в рамках реализации бизнес-процессов осуществляет обработку персональных данных сотрудников и контрагентов Общества.

This Data Processing and Protection Policy (further referred to as the Policy) was developed on the basis of current legislative requirements of the Russian Federation in the field of personal data protection, including  Federal Law #152-FZ of July 27, 2006 On Personal Data (further referred to as the Law on Personal Data), as well as recommendations and clarifications from government agencies in the field of organizing data processing and protection procedures.

Настоящая Политика обработки и защиты персональных данных (далее – Политика) разработана на основании требований действующего законодательства Российской Федерации в сфере защиты персональных данных, в том числе, Федерального закона от 27 июля 2006г. №152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»), а также с учетом методических рекомендаций и разъяснений государственных регулирующих органов в сфере организации процессов обработки и защиты персональных данных.

The document stipulates the main principles, goals, methods and procedures for personal data processing (further referred to as PD) by ROSKINO and steps for ensuring information security at every stage of PD processing.

Документ определяет общие принципы, цели, способы и порядок обработки персональных данных (далее – ПДн) Общества и меры по обеспечению информационной безопасности на каждой из стадий их обработки.

This Policy is subject to mandatory updates in case of significant changes to local legislative acts of the Russian Federation in the field of PD. Updates shall also be made in case of revising the list of processed data, as well as in case of significant changes to PD processing procedures and steps aimed at PD protection.

Данная Политика подлежит обязательной актуализации при внесении значительных изменений в локальные правовые акты Российской Федерации в сфере ПДн. Актуализация предусмотрена также в случае изменения перечня обрабатываемых данных, внесения существенных корректировок в процессы обработки ПДн, а также применяемые меры защиты ПДн.

The legal basis for PD processing is a body of legislative pieces (including consent of an employee / contractor (further referred to as a PD subject) to process their PD on the basis of a contract between ROSKINO  and a PD subject, under which ROSKINO processes PD.

Правовым основанием обработки ПДн является совокупность правовых актов (в том числе, согласие работника/контрагента
Общества (далее – Субъекта ПДн) на обработку, хранение и передачу его ПДн третьей стороне, а также согласие Субъекта ПДн на обработку его ПДн на основании договора/договора-оферты, заключаемого между Обществом и субъектом ПДн), во исполнение которых и в соответствии с которыми Общество осуществляет обработку ПДн.

2. TERMS AND DEFINITIONS

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

The Policy uses the following terms, definitions and abbreviations:

PD is any information related to a directly or indirectly defined private individual (a PD subject).

В Политике используются следующие термины, определения и сокращения:

ПДн – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).

PD subjects whose PD ROSKINO processes are:

К субъектам ПДн, чьи ПДн обрабатывает Общество, относятся:

 – ROSKINO employees and former employees, as well as their close relatives;

 – работники Общества, а также бывшие работники Общества, близкие родственники работников Общества;

 – applicants for all vacancies in all divisions of ROSKINO who have submitted their PD personally or through recruitment agencies, as well as their relatives;

 – кандидаты, а также родственники кандидатов, претендующие на замещение вакантных должностей во всех структурных подразделениях Общества, представивших лично или через специализированные организации по подбору персонала свои ПДн;

 – partners, customers, other contractors of ROSKINO, legal entities and private individuals involved in entrepreneurial activities;

 – партнеры, заказчики, иные контрагенты Общества, юридических и физических лиц, осуществляющих предпринимательскую деятельность;

 – individuals acting on behalf of contractors or representing them;

 – лица, действующие по поручению, от имени, или представляющие интересы контрагента;

 – legal entities and private individuals using ROSKINO’s services;

 – юридические и/или физические лица, использующие услуги Общества;

 – individuals acting on behalf of customers or representing them;

 – лица, действующие по поручению, от имени, или представляющие собой интересы клиентов;

 – legal entities and private individuals using ROSKINO’s for specific purposes;

 – юридические и/или физические лица, использующие сайт Общества для выполнения функции;

 – individuals entitled to social privileges under collective agreements and local regulations of ROSKINO;

 – лица, имеющие право на социальное обеспечение в соответствии с коллективными договорами и локальными нормативными актами Общества;

 – individuals who have signatory rights on behalf of ROSKINO (for contracts, agreements, acts etc.);

 – лица, наделенные правом подписи от имени Общества (договоров, контрактов, соглашений, актов и т.д.);

 – candidates for ROSKINO’s management and control boards, as well as existing members;

 – кандидаты для избрания в органы управления и контроля объектов вложений Общества и члены указанных органов;

 – family members of ROSKINO employees or pensioners (under voluntary medical insurance agreements);

 – члены семей работников или пенсионеров Общества (по договорам добровольного медицинского страхования);

 – visitors allowed to ROSKINO’s venues;

 – посетители, пропускаемые на объекты Общества;

 – ROSKINO’s contractors (private individuals);

 – контрагенты Общества (физические лица);

 – private individuals in the ownership structure of ROSKINO’s contractors;

 – физические лица в цепочке собственников контрагентов Общества;

 – ROSKINO’s shareholders and beneficiaries;

 – акционеры и бенефициары Общества;

 – private individuals submitting requests to ROSKINO.

 – физические лица, направляющие обращения в Общество.

Operator is ROSKINO, which independently or in collaboration with other parties organizes and/or implements the processing of PD, stipulates the goals of PD processing and the content of PD subject to processing, as well as actions (operations) with PD.

Оператор – АО «РОСКИНО» (далее – Общество), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

PD Processing is any action (operation) or a set of actions (operations) with PD, implemented with or without means of automation. Such actions (operations) include: collection, recording, organization, accumulation, storage, revision (updates, changes), extraction, usage, transmission (distribution, provision, access), depersonalization, blockage, deletion, destruction of PD.

Обработка ПДн – любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Automated PD processing is PD processing with the use of computation equipment.

 

Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.

PD blockage is temporary suspension of PD processing, except for cases when processing is required for PD clarification.

Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

PD depersonalization is actions resulting in the inability to attribute PD to a specific PD subject without additional information.

Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

PD provision is actions aimed at revealing PD to a specific individual or a group of individuals.

Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

PD distribution is actions aimed at revealing PD to an unspecified group of individuals.

Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Cross-border PD transmission is transmission of PD across the state border of the Russian Federation to a government agency, legal entity or a private individual in a foreign state.

Трансграничная передача ПДн – это передача ПДн через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

PD destruction is actions resulting in the inability to recover the content of PD in a PD information system and/or destruction of physical carriers of PD.

Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

2. PRINCIPLES OF PERSONAL DATA PROCESSING BY ROSKINO

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБЩЕСТВА

PD processing is implemented by ROSKINO on a legitimate and fair basis and is limited to achieving specific, properly defined and legitimate goals.

Обработка ПДн осуществляется Обществом на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей.

The processing of PD that’s incompatible with the goals of their collection, as well as unification of databases containing PD whose goals of processing are incompatible, are prohibited.

Не допускается обработка ПДн, несовместимая с целями их сбора, объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

Only PD that are in line with the goals of their processing, defined and declared at the time of collection, can be processed, as well as those which are in line with ROSKINO’s authority.

The content and volume of PD processed by ROSKINO shall be in line with the goals of their processing. Excessive data shall not be processed.

Обработке подлежат только те ПДн, которые отвечают целям их обработки, определенным и заявленным при сборе ПДн, а также полномочиям Общества.

Содержание и объем обрабатываемых Обществом ПДн соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается.

While processing PD, their correctness, sufficiency and, in some cases, correspondence to the goals of processing, shall be maintained.

При обработке ПДн обеспечивается их точность, достаточность и, в необходимых случаях, актуальность по отношению к целям обработки ПДн.

ROSKINO takes necessary steps to delete or clarify incomplete or incorrect PD.

В Обществе принимаются необходимые меры по удалению или уточнению неполных, или неточных ПДн.

PD are stored in a form that enables the revealing of the PD subject  for a period no longer that required by the goals of processing, as long as a period for PD storage is not stipulated by a federal law or a contract, in which a PD subject is a party, a beneficiary or guarantor.

Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.

Processed PD are to be destroyed or depersonalized upon achieving the goals of their collection or if these goals are no longer valid, unless a federal law stipulates otherwise.

Обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

ROSKINO is allowed to process PD collected from public sources or PD made public by written consent of the PD subject.

В Обществе допускается обработка ПДн, полученных из общедоступных источников, или сделанных общедоступными с письменного согласия субъекта ПДн.

ROSKINO shall not process special and biometric PD.

В Обществе допускается обработка ПДн, полученных из общедоступных источников, или сделанных общедоступными с письменного согласия субъекта ПДн.

ROSKINO transfers PD subjects’ PD to third parties in compliance with the Russian Federation’s legislation in the field of PD processing and protection.

Общество осуществляет передачу ПДн субъектов ПДн третьим лицам в соответствии с требованиями законодательства Российской Федерации в сфере обработки и защиты ПДн.

ROSKINO can outsource PD processing to other entities under clause 6 of the Federal Law on Personal Data.

Общество вправе поручить обработку ПДн другим лицам в соответствии со статьей 6 Федерального закона «О персональных данных».

If PD processing is transferred to another party, ROSKINO signs an agreement with that party and receives consent from PD subjects, unless otherwise is stipulated by the Federal Law on Personal Data. A party contracted by ROSKINO to process PD is required to observe the principles and regulations for PD processing stipulated by the Federal Law on Personal Data.

В случаях поручения обработки ПДн другому лицу, Общество заключает договор с этим лицом и получает согласие от субъектов ПДн, если иное не предусмотрено Федеральным законом «О персональных данных». Лицо, осуществляющее обработку ПДн по поручению Общества, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом «О персональных данных».

If PD processing is transferred to another party, ROSKINO is responsible before the PD subject for activities of that party. The party commissioned by ROSKINO to process PD is responsible before ROSKINO.

В случаях, когда Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несет ответственность перед Обществом.

ROSKINO can implement automated PD processing (PD processing with the help of automation means), as well as non-automated PD processing (PD processing without the use of automation means, that is PD processing with direct human participation).

В Обществе может осуществляться как автоматизированная обработка ПДн (обработка ПДн с помощью средств автоматизации), так и неавтоматизированная обработка ПДн (обработка ПДн без использования средств автоматизации – обработка ПДн, при которой действия с ПДн осуществляются при непосредственном участии человека).

Periods for PD processing (including storage) by ROSKINO are set on the basis of goals of PD processing and in line with requirements of Russian law.

Сроки обработки (в том числе хранения) ПДн, обрабатываемых Обществом, определяются исходя из целей обработки ПДн и в соответствии с требованиями законодательства Российской Федерации.

4. RIGHTS OF PERSONAL DATA SUBJECTS

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ROSKINO processes PD of PD subjects – employees, family members of employees, applicants for ROSKINO vacancies, employees of contractors, partner companies and customers of ROSKINO.

В Обществе обрабатываются ПДн субъектов персональных данных – работников, членов семей работников, кандидатов на замещение должностей Общества, работников контрагентов, работников компаний-партнеров и клиентов Общества.

The goals of PD processing by ROSKINO are:

Целями обработки ПДн в Обществе являются:

 – Activities aimed at providing legal services to ROSKINO customers;

 – Осуществление деятельности по оказанию услуг юридического характера клиентам Общества;

 – Timely and complete processing of oral and written requests from citizens;

 – Осуществление своевременного и полного рассмотрения устных и письменных обращений граждан;

 – HR and accounting reporting, documentation of labor relations, registration of PD of employees, information on their professional activities, assistance for employees in hiring, training, promotion, ensuring personal security of employees, compensation, assistance in obtaining preferences stipulated by the Labor Code of the Russian Federation, the Tax Code of the Russian Federation, other Federal Laws, provision of employment records, as well as for checking information on candidates for vacancies and candidates’ close relatives in the process of hiring by ROSKINO as part of filling out a questionnaire from ROSKINO’s security department.

 – Ведение кадрового и бухгалтерского учета, документирования трудовых отношений, регистрации ПДн работников структурных подразделений Общества, сведений об их профессиональной деятельности, содействие работнику в трудоустройстве, обучении, продвижении по службе, обеспечении личной безопасности работников, оплаты труда, оказания содействия в начислении различных льгот в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, другими Федеральными законами, предоставление справок с места работы, а также для проверки сведений о кандидатах и ближайших родственников кандидатов при трудоустройстве на работу в Общество в рамках заполнения Анкеты Службы безопасности Общества.

5. RIGHTS OF PERSONAL DATA SUBJECTS

5. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

A PD subject has the right to information regarding their PD processing, including:

Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

 – confirmation of PD processing by ROSKINO;

 – подтверждение факта обработки ПДн Обществом;

 – legal grounds and goals of PD processing;

 – правовые основания и цели обработки ПДн;

 – goals and PD processing methods used by ROSKINO;

 – цели и применяемые Обществом способы обработки ПДн;

 – the name and location of ROSKINO, information on individuals (except for ROSKINO employees) who have access to PD and to whom PD could be revealed under a contract with ROSKINO or under the Federal Law on Personal Data;

 – наименование и местонахождение Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании Федерального закона «О персональных данных»;

 – processed PD of the PD subject in question, their source, unless otherwise is stipulated by the Federal Law on Personal Data;

 – обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О персональных данных»;

 – PD processing periods, including storage periods;

 – сроки обработки ПДн, в том числе сроки их хранения;

 – procedures for exercising rights of PD subjects stipulated by the Federal Law on Personal Data;

 – порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;

 – information on implemented or expected cross-border transfer of data;

 – информацию об осуществленной или о предполагаемой трансграничной передаче данных;

 – name of an individual or entity commissioned to process PD by ROSKINO, as long as processing is done by another party;

 – наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена, или будет поручена такому лицу;

 – other information stipulated by the Federal Law on Personal Data or other Federal Laws.

 – иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

A PD subject has the right to require from ROSKINO clarifications of their PD, their blockage or deletion in case they are incomplete, outdated, incorrect, illegally obtained or excessive for the declared goal of PD processing, as well as take steps stipulated by law for their rights’ protection.

Субъект ПДн вправе требовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными, или являются избыточными для заявленной цели обработки ПДн, а также принимать предусмотренные законом меры по защите своих прав.

PD subjects can recall their consent to PD processing by submitting a request to a relevant division using a template approved by a decree from ROSKINO’s general director, or by submitting a recall request by email to info@roskino.org or by regular mail to 14 Kalashny Pereulok, 125009, Moscow in a free form under part 2 of clause 9 and part 5 of clause 21 of the Federal Law on Personal Data.

Субъекты ПДн вправе отозвать согласие на обработку ПДн, заполнив в соответствующем Структурном подразделении заявление по установленной форме, утвержденной Приказом Генерального директора АО «РОСКИНО», либо направив отзыв согласия на обработку ПДн в адрес Общества (в электронном виде – info@roskino.org, либо в печатном виде – 125009, г. Москва, Калашный пер., д.14) в произвольной форме в соответствии с частью 2 статьи 9 и частью 5 статьи 21 Федерального закона «О персональных данных».

A PD subject’s right to access their PD could be limited in accordance with Russian law.

Право доступа субъекта ПДн к своим ПДн может быть ограничено в соответствии с законодательством Российской Федерации.

6. RESPONSIBILITIES OF ROSKINO FOR PERSONAL DATA PROCESSING AND PROTECTION

6. ОБЯЗАННОСТИ ОБЩЕСТВА ПО ОБРАБОТКЕ И ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. While processing PD, ROSKINO has to provide the PD subject, at their request, the following information:

6.1. При обработке ПДн Общество обязано предоставить субъекту ПДн по его просьбе следующую информацию:

 – confirmation of PD processing by ROSKINO;

 – подтверждение факта обработки ПДн Обществом;

 – legal grounds and goals of PD processing;

 – правовые основания и цели обработки ПДн;

 – PD processing methods used by ROSKINO;

 – применяемые Обществом способы обработки ПДн;

 – ROSKINO’s name and location;

 – наименование и местонахождение Общества;

 – information on third parties that have access to PD or could obtain access to PD under a contract with ROSKINO on the basis of the Federal Law on Personal Data or on other legal grounds;

 – сведения о третьих лицах, которые имеют доступ к ПДн, или которым могут быть раскрыты ПДн на основании договора с Обществом, на основании Федерального закона «О персональных данных» или иных законных основаниях;

 – processed PD related to a specific PD subject and their source, unless otherwise is stipulated by the Law on Personal Data;

 – обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О персональных данных»;

 – PD processing periods, including storage periods;

 – сроки обработки ПДн, в том числе сроки их хранения;

 – procedures for exercising by the PD subject of rights stipulated by the Federal Law on Personal Data;

 – порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;

 – information on implemented or expected cross-border transfer of PD;

 – информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;

 – names and addresses of parties commissioned to process PD by ROSKINO, as long as there is a commission of that kind;

 – наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена, или будет поручена такому лицу;

 – other information stipulated by the Federal Law on Personal Data or other Federal Laws.

 – иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

6.2. While processing PD, ROSKINO has to:

6. 2. При обработке ПДн Общество обязано:

6.2.1 explain to the PD subject the legal consequences of their refusal to provide PD to ROSKINO, as long as the provision of PD is mandatory under the Federal Law on Personal Data;

6.2.1 Разъяснить субъекту ПДн юридические последствия его отказа предоставить Обществу ПДн, если предоставление ПДн является обязательным в соответствии с Федеральным законом «О персональных данных»;

6.2.2 ensure the recording, organization, accumulation, storage, revision (updates, changes), extraction of PD with the use of databases located on the territory of the Russian Federation;

6.2.2 Обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн с использованием баз данных, находящихся на территории Российской Федерации;

6.2.3 provide to the PD subject (if the PD have been obtained from a source other than the PD subject, and prior to PD processing) the following information (except cases stipulated by the Policy):

6.2.3 Предоставить субъекту ПДн (если ПДн получены не от субъекта ПДн, до начала обработки таких ПДн) следующую информацию (за исключением случаев, предусмотренных Политикой):

 – the name and address of ROSKINO or its representative;

 – наименование и адрес Общества или его представителя;

 – the goal of PD processing and its legal grounds;

 – цель обработки ПДн и ее правовое основание;

 – the job titles of ROSKINO employees who will have access to the PD subject’s PD;

 – наименование должностей работников Общества, которым доступны ПДн субъекта;

 – the PD subject’s rights stipulated by the Federal Law on Personal Data;

 – установленные Федеральным законом «О персональных данных» права субъекта ПДн;

 – the source of obtaining PD.

 – источник получения ПДн.

6.3. ROSKINO is exempt from its obligation to provide to the PD subject the information stipulated by clause 1 of thisPolicy in the following cases:

6.3. Общество освобождается от обязанности предоставить субъекту ПДн сведения, предусмотренные п.1настоящей Политики, в случаях если:

 – a PD subject has been informed about the processing of its PD by ROSKINO;

 – субъект ПДн уведомлен об осуществлении обработки его ПДн Обществом;

 – PD have been obtained by ROSKINO on the basis of the Federal Law on Personal Data or as part of executing a contract in which the PD subject is a beneficiary or guarantor;

 – ПДн получены Обществом на основании Федерального закона «О персональных данных», или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;

 – PD are public (including obtaining PD from a public source).

 – ПДн являются общедоступными субъектом ПДн (в том числе, были получены из общедоступного источника).

6.4. ROSKINO shall not disclose PD to third parties or distribute them without the PD subject’s consent, except for cases stipulated by the Russian legislation.

6.4. Общество обязано не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн за исключением случаев, предусмотренных законодательством Российской Федерации.

6.5. ROSKINO shall publish its Policy and maintain unlimited access to it. In particular, this Policy is published on ROSKINO’s official website at: roskino.org.

6.5. Общество обязано опубликовать или иным образом обеспечить неограниченный доступ к Политике. В частности, настоящая Политика опубликована на официальном сайте Общества по ссылке: roskino.org.

7. PROCEDURE OF PERSONAL DATA PROCESSING BY ROSKINO

7. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБЩЕСТВА

7.1. PD processing at ROSKINO is done by ROSKINO employees. Under Russian law, ROSKINO has the right to transfer its authority for PD processing to another organization.

7.1. Обработка ПДн в Обществе производится работниками Общества. В соответствии законодательством Российской Федерации Общество вправе передать свои полномочия по обработке ПДн другой организации.

7.2. PD processing at ROSKINO includes the following actions: collection, recording, organization, accumulation, storage, revision (updates, changes), extraction, usage, transmission (distribution, provision, access), depersonalization, blockage, deletion, destruction of PD.

7.2. Обработка ПДн в Обществе включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

7.3. Processing of PD of PD subjects is done, in case of ROSKINO employees, both on paper and using means of automation, and, in case of ROSKINO customers, solely using means of automation (computational equipment) by:

7.3. Обработка ПДн субъектов ПДн осуществляется, в случае обработки ПДн работников Общества, как на бумажных носителях, так и с использованием средств автоматизации, а в случае обработки ПДн клиентов Общества, только с использованием средств автоматизации (с помощью средств вычислительной техники) путем:

 – obtaining the originals of all necessary documents;

 – получения оригиналов необходимых документов;

 – copying original documents;

 – копирования оригиналов документов;

 – adding information to reporting forms on paper and electronic carriers;

 – внесения сведений в учетные формы на бумажных и электронных носителях;

 – adding PD to databases and ROSKINO’s information systems.

 – внесения ПДн в базы данных и информационные системы Общества.

7.4. The collection, organization and accumulation (updating, changing) of PD is done by obtaining PD directly from PD subjects.

7.4. Сбор, запись, систематизация, накопление (обновление, изменение) ПДн осуществляется путем получения ПДн непосредственно от субъектов ПДн.

7.5. Requests from PD subjects (and their representatives) are considered by ROSKINO under the Russian legislation and local regulations of ROSKINO adopted in line with the legislation.

7.5. Обращения субъектов ПДн (и их представителей) рассматриваются в Обществе в соответствии с законодательством Российской Федерации и принятыми в соответствии с ним локальными нормативными актами Общества.

7.6. While transferring PD of PD subjects, ROSKINO observes the following requirements:

7.6. При передаче ПДн субъектов ПДн, Обществом соблюдаются следующие требования:

 – PD subjects’ PD shall not be revealed to third parties without the PD subject’s consent, except for cases stipulated by the legislation of the Russian Federation, as well as cases when it is necessary for preventing threats to the PD subject’s life and wellbeing;

 – не сообщать ПДн субъекта ПДн третьей стороне без согласия субъекта, за исключением случаев, установленных Законодательством Российской Федерации, а также ситуаций, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также в случаях, установленных законодательством Российской Федерации;

 – Parties obtaining PD of PD subjects shall be warned that these data can only be used for goals for which they were provided and they shall be required to observe this regulation. Parties obtaining PD of PD subjects shall observe confidentiality;

 – предупредить лиц, получающих ПДн субъекта ПДн о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие ПДн субъекта ПДн, обязаны соблюдать режим конфиденциальности;

 – Solely individuals included on a list of employees involved in processing PD or having access to PD can have access to PD subjects’ PD in accordance with the access matrix and a principle under which solely data related to their job responsibilities shall be provided to an employee;

 – разрешать доступ к ПДн субъекта ПДн только лицам, определенным в Перечне должностных лиц, осуществляюших обработку ПДн или имеющих к ним доступ, согласно Матрице доступа и принципу предоставления только тех данных, работу с которыми предполагают функциональные обязанности работника;

 – A PD subject’s PD shall be provided to the PD’s representatives, as stipulated by Russian law, and the PD shall be restricted to those necessary for the implementation by the representatives of their functions.

 – передавать ПДн субъекта ПДн представителям субъекта ПДн в порядке, установленном законодательством Российской Федерации, и ограничить эту информацию только теми ПДн субъекта ПДн, которые необходимы для выполнения указанными представителями их функций.

7.7. As soon as the goals of PD processing have been achieved, ROSKINO shall stop the PD processing and the PD shall be destroyed.

7.7. По достижению целей обработки ПДн, Общество прекращает обработку ПДн и такие ПДн подлежат уничтожению.

7.8. If a PD subject recalls their consent to PD processing and if PD processing is no longer necessary for the goals of PD processing, ROSKINO shall stop PD processing and shall destroy the PD or ensure their destruction (if the PD processing is implemented by another party commissioned by ROSKINO) within 30 days of receiving the recall.

7.8. В случае отзыва субъектом ПДн своего согласия на обработку ПДн и в случае, если обработка ПДн более не требуется для целей обработки ПДн, Общество прекращает их обработку и уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления отзыва.

7.9. At the request of PD subjects or their representatives, ROSKINO shall reveal if it has PD related to the PD subject. At the request of PD subjects or their representatives, ROSKINO shall inform the PD subject or their representatives on their PD within 30 days of receiving a request.

7.9. По запросу субъекта ПДн, или его представителя, Обществом сообщается информация о наличии ПДн, относящихся к субъекту ПДн. По запросу субъекта ПДн, или его представителя, Общество знакомит субъекта ПДн, или его представителя, с этими ПДн в течение тридцати дней с даты получения запроса.

7.10. PD are stored and protected on paper or electronic carriers in a way that prevents loss or unauthorized use and stipulated by ROSKINO’s PD processing regulations.

7.10. Хранение и защита ПДн, как на бумажных, так и на электронных носителях информации, осуществляется в порядке, исключающих их утрату, или их неправомерное использование, приведенном в Положении об обработке ПДн Общества.

7.11. Questions related to PD that haven’t been depersonalized shall not be answered over the phone or by email, except for cases stipulated by ROSKINO’s PD processing regulations.

7.11. Не допускается отвечать на вопросы, связанные с передачей необезличенных ПДн, по телефону, электронной почте, за исключением случаев, описанных в Положении об обработке ПДн Общества.

8. STEPS TAKEN BY ROSKINO TO ENSURE PERSONAL DATA PROTECTION

8. МЕРЫ, ПРИНИМАЕМЫЕ ОБЩЕСТВОМ ПО ОБЕСПЕЧЕНИЮ БЕЗПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. While processing PD, ROSKINO shall take necessary legal, organizational and technical steps or shall facilitate such steps for PD protection from unauthorized or accidental access, deletion, changes, blockage, copying, provision, distribution or other illegitimate activities  involving PD.

 8.1. Общество при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

8.2. ROSKINO has taken the following security steps:

8.2. В Обществе приняты следующие меры безопасности:

 – an employee has been dedicated to organizing PD processing;

 – назначено лицо, ответственное за организацию обработки ПДн;

 – ROSKINO’s local regulations for PD processing have been published;

 – изданы локальные нормативные акты Общества по вопросам обработки ПДн;

 – a necessary and sufficient list of information protection means is used for PD protection, consisting of information protection means evaluated in due order for compliance with requirements of the Russian legislation in the field of information security;

 – используется необходимый и достаточный перечень средств защиты информации для защиты ПДн, причем в качестве средств защиты информации используются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации;

 – internal audits are run to make sure that the legislation of the Russian Federation on PD, including requirements for PD protection, is observed;

 – проводится внутренний контроль соблюдения законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;

 – ROSKINO employees are educated on clauses of the Russian Federation’s legislation in the field of PD and local regulations by ROSKINO related to PD processing and requirements for PD protection.

 – работники Общества ознакомлены с положениями законодательства Российской Федерации о ПДн, локальными нормативными актами Общества по вопросам обработки ПДн, требованиями к защите ПДн.

9. RESPONSIBILITY

9.     ОТВЕТСТВЕННОСТЬ

Individuals violating stipulations of Federal Law # 152 On Personal Data of July 27, 2006, based on the severity of their violations, can face the following punishments:

В отношении лиц, нарушивших требования Федерального закона №152 «О персональных данных» от 27.07.2006г., в зависимости от степени тяжести совершенного нарушения, могут грозить следующие виды ответственности:

  • Administrative punishment under:
  • Административная ответственность в рамках требований:
    ○ Clause 5.39 of the Administrative Code of the Russian Federation;
    ○ Статьи 5.39 Кодекса административных правонарушений РФ;
    ○ Clause 13.11 of the Administrative Code of the Russian Federation;
    ○ Статьи 13.11 Кодекса административных правонарушений РФ;
    ○ Clause 19.7 of the Administrative Code of the Russian Federation;
    ○ Статьи 19.7 Кодекса административных правонарушений РФ;
  • Civil punishment under:
  • Гражданско-правовая ответственность в рамках требований:
    ○ Clause 15 of the Civil Code of the Russian Federation;
    ○ Статьи 15 Гражданского кодекса РФ;
    ○ Clause 151 of the Civil Code of the Russian Federation);
    ○ Статьи 151 Гражданского кодекса РФ);
  • Disciplinary punishment under:
  • Дисциплинарная ответственность в рамках требований:
    ○ Clause 81 of the Labor Code of the Russian Federation;
    ○ Статьи 81 Трудового кодекса РФ;
    ○ Clause 90 of the Labor Code of the Russian Federation;
    ○ Статьи 90 Трудового кодекса РФ;
    ○ Clause 192 of the Labor Code of the Russian Federation;
    ○ Статьи 192 Трудового кодекса РФ;
  • Criminal punishment under:
  • Уголовная ответственность в рамках требований:
    ○ Clause 137 of the Criminal Code of the Russian Federation;
    ○ Статьи 137 Уголовного кодекса РФ;
    ○ Clause 140 of the Criminal Code of the Russian Federation;
    ○ Статьи 140 Уголовного кодекса РФ;
    ○ Clause 272 of the Criminal Code of the Russian Federation;
    ○ Статьи 272 Уголовного кодекса РФ;
    ○ Clause 273 of the Criminal Code of the Russian Federation;
    ○ Статьи 273 Уголовного кодекса РФ;
    ○ Clause 274 of the Criminal Code of the Russian Federation;
    ○ Статьи 274 Уголовного кодекса РФ.