1. Allgemeine Bestimmungen

1.1. Diese Richtlinie zur Verarbeitung personenbezogener Daten (im Folgenden als „Richtlinie“ bezeichnet) wurde in Übereinstimmung mit Artikel 18.1 Absatz 2 des Bundesgesetzes Nr. 152-FZ „Über personenbezogene Daten“ vom 27. Juli 2006 sowie anderen Vorschriften erstellt Rechtsakte der Russischen Föderation im Bereich des Schutzes und der Verarbeitung personenbezogener Daten und gelten für alle personenbezogenen Daten (im Folgenden als „Daten“ bezeichnet), von denen die Organisation (im Folgenden als „Betreiber“, „Unternehmen“ bezeichnet) möglicherweise personenbezogene Daten erhält eine Person personenbezogener Daten, die Vertragspartei eines zivilrechtlichen Vertrags ist, ein Internetnutzer (im Folgenden „Benutzer“ genannt) während der Nutzung einer der Websites, Dienste, Programme, Produkte oder Dienstleistungen von clique.design, as sowie von einer Person personenbezogener Daten, die mit dem Betreiber ein arbeitsrechtlich geregeltes Arbeitsverhältnis hat (im Folgenden „Mitarbeiter“ genannt).

1.2. Der Betreiber gewährleistet den Schutz der verarbeiteten personenbezogenen Daten vor unbefugtem Zugriff und Offenlegung, rechtswidriger Nutzung oder Verlust gemäß den Anforderungen des Bundesgesetzes Nr. 152-FZ „Über personenbezogene Daten“ vom 27. Juli 2006.

1.3. Der Betreiber hat das Recht, Änderungen an dieser Richtlinie vorzunehmen. Bei Änderungen am Titel der Richtlinie wird das Datum der letzten Versionsaktualisierung angegeben. Die neue Version der Richtlinie tritt ab dem Zeitpunkt ihrer Veröffentlichung auf der Website in Kraft, sofern in der neuen Version der Richtlinie nichts anderes vorgesehen ist.



2.Terminologie und akzeptierte Abkürzungen

2.1. Personenbezogene Daten – alle Informationen, die sich direkt oder indirekt auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen.

2.2. Verarbeitung personenbezogener Daten – jede Aktion (Operation) oder Reihe von Aktionen (Operationen), die mit oder ohne Verwendung von Automatisierungstools mit personenbezogenen Daten durchgeführt wird, einschließlich Erhebung, Aufzeichnung, Systematisierung, Akkumulation, Speicherung, Verfeinerung (Aktualisierung, Änderung), Extraktion, Nutzung, Weitergabe (Verbreitung, Bereitstellung, Zugriff), Depersonalisierung, Sperrung, Löschung oder Vernichtung personenbezogener Daten.

2.3. Automatisierte Verarbeitung personenbezogener Daten – Verarbeitung personenbezogener Daten mithilfe von Computertechnologie.

2.4. Informationssystem für personenbezogene Daten (PDIS) – eine Reihe personenbezogener Daten, die in Datenbanken enthalten sind und deren Verarbeitung unter Einsatz von Informationstechnologie und technischen Mitteln ermöglichen.

2.5. Von der betroffenen Person öffentlich zugänglich gemachte personenbezogene Daten – personenbezogene Daten, auf die eine unbegrenzte Anzahl von Personen Zugriff hat und die von der betroffenen Person oder auf deren Anfrage bereitgestellt werden.

2.6. Sperrung personenbezogener Daten – vorübergehende Einstellung der Verarbeitung personenbezogener Daten (außer in Fällen, in denen die Verarbeitung zur Klärung personenbezogener Daten erforderlich ist).

2.7. Vernichtung personenbezogener Daten – Handlungen, die die Wiederherstellung des Inhalts personenbezogener Daten im Informationssystem personenbezogener Daten unmöglich machen und/oder zur Vernichtung materieller Träger personenbezogener Daten führen.

2.8. Betreiber – eine Organisation, die unabhängig oder gemeinsam mit anderen Personen die Verarbeitung personenbezogener Daten organisiert und die Zwecke der Verarbeitung, die von der Verarbeitung betroffenen personenbezogenen Daten und die mit personenbezogenen Daten durchgeführten Aktionen (Vorgänge) festlegt. Betreiberin ist in diesem Fall die selbstständige Einzelperson Ksenia Alexandrovna Kron, tatsächliche Adresse: Russland, Gebiet Irkutsk, Bezirk Irkutsk, Dorf Markova, Mikrobezirk Zeleny Bereg, Sibirische Straße 14, Gebäude 60.

3.1. Erhebung personenbezogener Daten

3.1.1. Alle personenbezogenen Daten sollten direkt vom Betroffenen erhoben werden. Wenn die personenbezogenen Daten der betroffenen Person nur von einem Dritten erhalten werden können, sollte die betroffene Person benachrichtigt werden oder ihre Zustimmung eingeholt werden.

3.1.2. Der Betreiber muss den Betroffenen über die Zwecke, Quellen und Methoden der Erhebung personenbezogener Daten, die Art der zu erhebenden personenbezogenen Daten, die Liste der Maßnahmen mit personenbezogenen Daten, die Dauer der Einwilligung, das Verfahren für deren Widerruf usw. informieren sowie die Folgen der Weigerung des Subjekts, seiner Einholung schriftlich zuzustimmen.

3.1.3. Dokumente mit personenbezogenen Daten werden erstellt von:
Kopieren von Originaldokumenten (Reisepass, Bildungsbescheinigung, TIN-Bescheinigung, Rentenbescheinigung usw.);
Eingabe von Informationen in Buchhaltungsformulare;
ggf. Einholung von Originaldokumenten (Arbeitsbuch, ärztliches Attest, Merkmale etc.).
3.2. Verarbeitung personenbezogener Daten
3.2.1. Die Verarbeitung personenbezogener Daten erfolgt:
mit Zustimmung des Betroffenen zur Verarbeitung seiner personenbezogenen Daten;
in Fällen, in denen die Verarbeitung personenbezogener Daten zur Erfüllung der durch die Gesetzgebung der Russischen Föderation vorgeschriebenen Funktionen, Befugnisse und Pflichten erforderlich ist;
in Fällen, in denen personenbezogene Daten verarbeitet werden und auf die der Betroffene der personenbezogenen Daten oder auf deren Antrag uneingeschränkten Zugriff gewährt (im Folgenden: vom Betroffenen der personenbezogenen Daten öffentlich gemachte personenbezogene Daten).
3.2.2. Zwecke der Verarbeitung personenbezogener Daten:
Arbeitsverhältnisse;
zivilrechtliche Beziehungen;
zur Kommunikation mit dem Nutzer im Zusammenhang mit dem Ausfüllen des Feedback-Formulars auf der Website von clique.design, einschließlich der Zusendung von Benachrichtigungen, Anfragen und Informationen im Zusammenhang mit der Nutzung der Website von clique.design, Bearbeitung, Koordination von Aufträgen für Dienstleistungen/Arbeiten, Ausführung von Vereinbarungen und Verträgen;
Anonymisierung personenbezogener Daten, um anonymisierte statistische Daten zu erhalten, die an Dritte übermittelt werden, um im Namen des Unternehmens Forschung zu betreiben, Arbeiten auszuführen oder Dienstleistungen zu erbringen.
3.2.3. Kategorien personenbezogener Datensubjekte.
Es werden personenbezogene Daten der folgenden personenbezogenen Datensubjekte verarbeitet:
Personen, die in einem Arbeitsverhältnis mit dem Unternehmen stehen;
Personen, die aus dem Unternehmen ausgeschieden sind;
Einzelpersonen, die Kandidaten für eine Stelle sind;
Personen, die mit dem Unternehmen in einem zivilrechtlichen Verhältnis stehen;
Einzelpersonen, die Benutzer der Website des Unternehmens sind.
3.2.3. Kategorien personenbezogener Datensubjekte. Es werden personenbezogene Daten folgender betroffener Personen verarbeitet:
Personen, die in einem Arbeitsverhältnis mit dem Unternehmen stehen;
Personen, die aus dem Unternehmen ausgeschieden sind;
Einzelpersonen, die Kandidaten für eine Anstellung sind;
Personen, die in einem zivilrechtlichen Verhältnis zum Unternehmen stehen;
Einzelpersonen, die Benutzer der Website des Unternehmens sind.
3.2.4. Vom Betreiber verarbeitete personenbezogene Daten:
während des Arbeitsverhältnisses erhobene Daten;
Daten, die zum Zweck der Auswahl von Bewerbern für eine Anstellung erhoben werden;
Daten, die im Rahmen zivilrechtlicher Beziehungen erhoben werden;
Daten, die von Benutzern der Website des Unternehmens erhoben werden.
3.2.5. Die Verarbeitung personenbezogener Daten erfolgt:
Verwendung von Automatisierungstools;
ohne den Einsatz von Automatisierungstools.
3.3. Speicherung personenbezogener Daten
3.3.1. Personenbezogene Daten der Betroffenen können in Papierform oder in elektronischer Form erhoben, weiterverarbeitet und gespeichert werden.
3.3.2. Auf Papier erfasste personenbezogene Daten werden in verschlossenen Schränken oder in verschlossenen Räumen mit eingeschränkten Zugangsrechten aufbewahrt.
3.3.3. Personenbezogene Daten von Personen, die mithilfe von Automatisierungstools für unterschiedliche Zwecke verarbeitet werden, werden in unterschiedlichen Ordnern gespeichert.
3.3.4. Es ist nicht gestattet, Dokumente mit personenbezogenen Daten in offenen elektronischen Katalogen (File-Sharing-Systemen) im ISPD zu speichern und abzulegen.
3.3.5. Die Speicherung personenbezogener Daten in einer Form, die die Identifizierung des Subjekts personenbezogener Daten ermöglicht, erfolgt nur so lange, wie es für die Zwecke ihrer Verarbeitung erforderlich ist, und sie unterliegen der Vernichtung bei Erreichen der Verarbeitungszwecke oder im Falle ihres Verlusts Notwendigkeit für ihre Leistung.
3.4. Vernichtung personenbezogener Daten
3.4.1. Die Vernichtung von Dokumenten (Trägern), die personenbezogene Daten enthalten, erfolgt durch Verbrennen, Schreddern (Mahlen), chemische Zersetzung, Umwandlung in eine formlose Masse oder ein Pulver. Für die Vernichtung von Papierdokumenten ist der Einsatz eines Aktenvernichters erlaubt.
3.4.2. Personenbezogene Daten auf elektronischen Medien werden durch Löschen oder Formatieren der Medien vernichtet.
3.4.3. Die Tatsache der Vernichtung personenbezogener Daten wird durch einen Vernichtungsakt der Träger dokumentiert.
3.5. Übermittlung personenbezogener Daten
3.5.1. In folgenden Fällen übermittelt der Betreiber personenbezogene Daten an Dritte:
das Subjekt hat solchen Handlungen zugestimmt;
die Übermittlung ist durch russische oder andere anwendbare Rechtsvorschriften im Rahmen des gesetzlich festgelegten Verfahrens vorgesehen.
3.5.2. Die Liste der Personen, an die personenbezogene Daten übermittelt werden:
Pensionskasse der Russischen Föderation für die Buchhaltung (aus rechtlichen Gründen);
Steuerbehörden der Russischen Föderation (aus rechtlichen Gründen);
Sozialversicherungsfonds der Russischen Föderation (aus rechtlichen Gründen);
Gebietskörperschaftliche Krankenversicherung (aus rechtlichen Gründen);
versicherungsärztliche Organisationen für die obligatorische und freiwillige Krankenversicherung (aus rechtlichen Gründen);
Banken für Gehaltszahlungen (basierend auf dem Vertrag);
Organe des Innenministeriums Russlands in gesetzlich vorgesehenen Fällen



4. Schutz personenbezogener Daten

4.1. In Übereinstimmung mit den Anforderungen der Regulierungsdokumente hat der Betreiber ein System zum Schutz personenbezogener Daten (PDPS) eingerichtet, das aus rechtlichen, organisatorischen und technischen Schutzsubsystemen besteht.

4.2. Das Rechtsschutz-Subsystem ist ein Komplex aus rechtlichen, organisatorischen und regulatorischen Dokumenten, die die Schaffung, Funktionsweise und Verbesserung des PDPS sicherstellen.

4.3. Das Subsystem Organisationsschutz umfasst die Organisation der PDPS-Managementstruktur, des Autorisierungssystems und des Informationsschutzes bei der Zusammenarbeit mit Mitarbeitern, Partnern und Dritten.

4.4. Das Subsystem „Technischer Schutz“ umfasst eine Reihe technischer Software- und Hardware-Tools, die den Schutz personenbezogener Daten gewährleisten.
4.5. Die wichtigsten vom Betreiber eingesetzten Maßnahmen zum Schutz personenbezogener Daten sind:
4.5.1. Ernennung einer für die Verarbeitung personenbezogener Daten verantwortlichen Person, die die Verarbeitung personenbezogener Daten organisiert, Schulungen und Schulungen durchführt und die interne Kontrolle über die Einhaltung der Anforderungen der Einrichtung zum Schutz personenbezogener Daten durchführt.
4.5.2. Identifizierung tatsächlicher Bedrohungen der Sicherheit personenbezogener Daten während ihrer Verarbeitung im PDPS und Entwicklung von Maßnahmen und Aktionen zum Schutz personenbezogener Daten.
4.5.3. Entwicklung von Richtlinien zur Verarbeitung personenbezogener Daten.
4.5.4. Festlegung von Regeln für den Zugriff auf im PDPS verarbeitete personenbezogene Daten sowie Sicherstellung der Registrierung und Abrechnung aller mit personenbezogenen Daten im PDPS durchgeführten Aktionen.
4.5.5. Einrichtung individueller Zugangspasswörter für Mitarbeiter zum Informationssystem entsprechend ihrer beruflichen Verantwortung.
4.5.6. Anwendung des Verfahrens zur Bewertung der Konformität von Informationssicherheitstools, das in der festgelegten Reihenfolge durchgeführt wurde.
4.5.7. Zertifizierte Antivirensoftware mit regelmäßig aktualisierten Datenbanken.
4.5.8. Einhaltung der Bedingungen, die die Sicherheit personenbezogener Daten gewährleisten und den unbefugten Zugriff darauf ausschließen.
4.5.9. Feststellung von Tatsachen des unbefugten Zugriffs auf personenbezogene Daten und Ergreifen von Maßnahmen.
4.5.10. Wiederherstellung personenbezogener Daten, die aufgrund unbefugten Zugriffs verändert oder zerstört wurden.
4.5.11. Schulung der Mitarbeiter des Betreibers, die direkt an der Verarbeitung personenbezogener Daten beteiligt sind, in den Bestimmungen der Gesetzgebung der Russischen Föderation zu personenbezogenen Daten, einschließlich der Anforderungen zum Schutz personenbezogener Daten, der Dokumente, die die Richtlinien des Betreibers zur Verarbeitung personenbezogener Daten festlegen, und der örtlichen Gesetze zu Fragen der Verarbeitung personenbezogener Daten.
4.5.12. Interne Kontrolle über die Einhaltung der Gesetze zur Verarbeitung personenbezogener Daten, einschließlich der Anforderungen zum Schutz personenbezogener Daten, und der Richtlinien des Betreibers zur Verarbeitung personenbezogener Daten.

5. Hauptrechte des Betroffenen personenbezogener Daten und Pflichten des Betreibers

5.1. Hauptrechte des Betroffenen personenbezogener Daten
Die betroffene Person hat das Recht, auf ihre personenbezogenen Daten und die folgenden Informationen zuzugreifen:
Bestätigung der Verarbeitung personenbezogener Daten durch den Betreiber;
Rechtsgrundlagen und Zwecke der Verarbeitung personenbezogener Daten;
Zwecke und Methoden der Verarbeitung personenbezogener Daten durch den Betreiber;
Name und Standort des Betreibers, Informationen über Personen (mit Ausnahme von Mitarbeitern des Betreibers), die Zugriff auf personenbezogene Daten haben oder denen personenbezogene Daten aufgrund eines Vertrags mit dem Betreiber oder aufgrund von Bundesgesetzen offengelegt werden können;
Verarbeitungsfristen für personenbezogene Daten, einschließlich Speicherfristen;
Verfahren für die betroffene Person zur Ausübung ihrer im Bundesgesetz vorgesehenen Rechte auf personenbezogene Daten;
Name oder vollständiger Name, Adresse und Kontaktdaten der Person, die personenbezogene Daten im Auftrag des Betreibers verarbeitet, sofern die Verarbeitung einer solchen Person anvertraut ist oder anvertraut werden wird;
Kontaktdaten des Betreibers und das Verfahren zum Versenden von Anfragen an ihn;
Berufung gegen Handlungen oder Unterlassungen des Betreibers.