政策

1. 总则

1.1. 本关于个人数据处理与所实施的对个人数据保护要求政策（以下简称政策）是根据2006年7月27日第152-ФЗ号俄罗斯联邦法律《个人数据法》（以下简称政策联邦《个人数据法》）规则等其它个人数据保护管理法规被制订的。

1.2. 本政策制定和SANGANWAY LIMITED有限责任公司（以下简称单位）处理个人数据有关的基本问题。

1.3. 个人数据为机密受保护的信息，其由单位内部文件对机密信息保护的所有要求所限定。

1.4. 本单位政策包括个人数据处理的各个方面管理以及操作员在用户使用单位的服务（其中包括https://theoutletmoscow.com网站、信息中心）过程中会得到的所有关于顾客和用户的信息。

1.5. 本政策使用的主要定义：

• 个人数据—直接或间接涉及到具体的或被识别的自然人（个人数据主体）的任何信息；
• 个人数据操作员（操作员）--亲自或与其他人在一起组织和（或）进行个人数据处理，以及制定个人数据处理目标，制定应处理的个人数据成分，制定对个人数据进行的动作（操作）内容的国家机关，市政机关，法人或自然人；
• 个人数据处理—使用自动化工具或不使用自动化工具对个人数据进行的任何动作（操作）或一套动作（操作）。个人数据处理包括，但不限于：收集，记录，系统化，堆积，保存，使更加准确（更新，改变），取出，使用，传送（传播，提供，制定访问权限）
• 非人格化，封锁，消除，消灭；
• 用户—使用单位的服务（网站或信息中心）的自然人及个人数据主体；
• 顾客—位于单位境域的自然人及个人数据主体；
• 网站--确保资料在互联网https://theoutletmoscow.com网络地址的可达性的全部图表资料与信息资料，以及电子计算机软件与资料库；
• 信息中心—从事用户的请求处理与鉴于单位的利益用发音的通信波道播放知通的单位部门；
• 服务—用户与单位的远距相互关系的全部工具。

2. 个人数据处理目标

2.1. 个人数据处理目标如下：

• 组织干部记录，进行干部公文处理，协助工作人员安置，培训与进级；
• 计算与缴纳个人所得税时，执行俄罗斯联邦税务法；构成与提供每个得到收入者的计在缴强制养老保险费和养老保障费的人格化资料时，执行俄罗斯联邦退休法；
• 填充初级统计文件；
• 签订，履行与终止民事合同；
• 给单位承包商的工作人员提供履行单位与承包商之间签订的条约规定的义务的机会；
• 选择承包商时，满足针对表现出适当谨慎的要求（推荐）；
• 利用通信器材通过直接联系上潜在的消费者（包括用户）把新的运动与服务推向市场，联系的方法与目标应不抵触俄罗斯联邦法律；
• 满足俄罗斯联邦法律的必然要求。 

2.2. 单位有权收到用户的同意之后给用户发送关于新运动和服务、特别报价等各种活动的通知。用户随时可以拒绝收到通讯，为此应给单位到infodesk.theoutlet@hines.com 电子邮箱发送一个带有“拒绝收到通知”标注的电子函件。

2.3. 使用互联网统计服务收集的非人格化的用户资料被用为收集用户在网站的动作信息，以便改善网站的质量与其内容。

2.4. 单位允许个人数据处理情况如下：

• 个人数据主体已答应了个人数据处理；
• 为了履行个人数据主体作为一方、受益人或委托方的合同条件需要处理个人数据，以及为了根据个人数据主体的倡议签订合同需要处理个人数据，或及为了签订个人数据主体作为受益人或委托方的合同需要处理个人数据；
• 俄罗斯联邦现行法律规定的其它情况。 

3. 个人数据处理的法律依据

3.1.个人数据处理的法律依据是指示单位进行个人数据处理的而且单位进行个人数据处理时用为根据的全部法规。

3.2. 单位进行个人数据处理时，单位遵照俄罗斯联邦法律要求并为了执行俄罗斯联邦法律要求办事，法律依据包括但不限于：俄罗斯联邦宪法，俄罗斯联邦民法，俄罗斯联邦《个人数据保护法》，以及单位宪法性文件和单位与个人数据主体之间签订的合同。

4.个人数据主体类别。所处理的个人数据总计与类别。

4.1. 单位处理下列类别个人数据主体的个人数据：

• 单位的工作人员，前工作人员，闲职谋求工作者；
• 单位的客户（潜在的客户）和承包商（潜在的承包商）（自然人）；
• 用户与顾客；
• 单位的客户和承包商（潜在的客户和承包商）（法人）的代表人/工作人员。 

4.2. 所处理的个人数据总计：

• 与履行劳动关系相关的单位处理的个人数据：
• 姓、名、父名；
• 性别；
• 国籍;
• 出生日期和出生地点；
• 户籍登记或停留处登记信息；
• 实际住宿地址；
• 电话号码（宅电、手机），电子邮箱地址；
• 担任的职位；
• 劳动信息，劳动手册内容，劳动手册补充页内容；
• 纳税人识别号；
• 强制养老保险证书信息；
• 强制医疗保险单信息；
• 护照或其它身份证的信息；
• 教育经历（教学单位名称，毕业日期（年月日），专门学术与资格，教育证书信息）；
• 外语水平信息（外语，掌握的水平）；
• 家庭状况信息（是否结婚（未婚、已婚））。
• 与单位的客户（潜在的客户）和/或承包商（潜在的承包商）（自然人）相关的单位处理的个人数据：
• 姓、名、父名；
• 性别；
• 国籍;
• 出生日期和出生地点；
• 户籍登记或停留处登记信息；
• 实际住宿地址；
• 电话号码（宅电、手机），电子邮箱地址；
• 纳税人识别号；
• 强制养老保险证书信息；
• 护照或其它身份证的信息。
• 与单位的客户和/或承包商（潜在的客户和承包商）（法人）的代表人/工作人员相关的单位处理的个人数据：
• 姓、名、父名；
• 与用户和顾客相关的单位处理的个人数据：
• 姓、名、父名；
• 出生日期；
• 永久住址（如需要）；
• 电话号码；
• 电子邮箱地址。 

此外，网站上在使用互联网统计服务（Yandex.Metrika和Google Analytics（分析）等）进行非人格化的顾客资料收集和处理（包括曲奇文件）。

4.3. 单位不处理特殊部类个人数据和/或个人人体生物信息。

5.个人数据处理主要原则

5.1. 个人数据处理应限于收集本数据的原来目标。

5.2. 不得组合含有互不相容的处理目标的个人数据资料库。

5.3. 按照所担任的职责，单位工作人员具有访问权限，以便能够进行个人数据处理。

5.4. 个人数据处理保证个人数据准确性和充分性，需要的话也可以确保数据相对于其处理目标的现实性。

5.5. 个人数据保存形式应让系统确认好个人数据主体，保存期不应超过按个人数据处理目标所要求的时间，除非个人数据保存期由联邦法律所规定，或由个人数据主体作为一方、受益人或委托方的合同所规定。

5.6.达到了处理目标之后或已没必要达到该目标情况下，所处理的个人数据应被消灭或被非人格化，联邦法律另有规定的除外。

5.7.个人数据保存期由个人数据主体与单位之间的民事法律关系有效期、纸质文件保存期和电子资料库里的文件保存期、俄罗斯联邦法律其他要求以及主体对处理其个人数据的同意有效期所指定。

5.8. 单位只在用户和/或顾客自己使用网站上或信息中心里的特殊格式填写和/或发送个人数据情况下才能处理用户和/或顾客的个人数据。通过填写相关的格式和/或通过把自己的个人数据发送给操作员，顾客因而表示同意本政策。

5.9. 单位处理非人格化的用户资料的前提是，用户的浏览器设置应允许资料处理（即曲奇文件保存选项和JavaScript技术使用选项是开着）。

6.个人数据安全保障措施

6.1.个人数据处理时，单位采取必要的法律上的，组织上的和技术性的个人数据保护措施，以便防止违法或意外的个人数据访问，消灭，改变，封锁，复制，提供，传送，以及防止对个人数据的违法行为。

6.2. 个人数据安全保障包括但不限于：

在个人数据在信息系统被处理时，使用为满足对个人数据保护的要求所需要的组织上的和技术性的个人数据安全保障措施，通过满足该要求能够保持俄罗斯联邦政府所规定的个人数据保护水平；
发现非特许访问个人数据行为并采取所需要的措施；
制订在个人数据信息系统被处理的个人数据访问规则，以及保障登记与记录在个人数据信息系统对个人数据进行的所有动作；
控制所采取的个人数据安全保障措施并控制个人数据信息系统保护水平。
 

7. 个人数据主体权利

个人数据主体有权：

7.1. 收到与其个人数据处理相关的信息，其中包括：

• 证明个人数据被操作员处理的事实；
• 个人数据处理的法律依据和目标；
• 目标与单位所使用的个人数据处理方式；
• 单位的名称和所在地，具有个人数据访问权的人士（除了单位工作人员以外）的信息，或者凭与单位签订的合同会得知个人数据的或根据联邦法律会得知个人数据的人士的信息；
• 属于相关的个人数据主体的所处理的个人数据，其来源，联邦法律另有规定的这类资料提供程序除外；
• 个人数据处理期限，包括保存期；
• 由联邦《个人数据法》规定的个人数据主体权利行使程序；
• 有关已完成的或打算做的跨境传送资料的信息；
• 已委托或打算委托其它人进行处理情况下，执行单位的委托进行个人数据处理的人名称或者姓、名、父名和地址；
• 由联邦《个人数据法》或其他联邦法律规定的其它信息。

7.2. 要求单位使自己的个人数据更加准确，而且个人数据不全、过时、不准确、非法取得的情况下，或为所提出的处理目标没必要提供的情况下，要求个人数据封锁或消灭，以及采取为保护自己权利的依法措施。

7.3. 自由免费访问自己的个人数据，包括收到任何含有个人数据的记录拷贝权利，联邦法律另有规定的情况除外。

7.4. 控诉单位在个人数据处理与保护时任何不当行为或无为。

8.单位的义务

单位承担的义务：

8.1. 采取所需要的足够的法律上的，组织上的和技术性的个人数据保护措施，以便防止违法或意外的个人数据访问，消灭，改变，封锁，复制，提供，传送，以及防止针对个人数据的违法行为。

8.2. 根据俄罗斯联邦涉及到个人数据处理法律要求，进行组织上的和技术性的个人数据保护方面的活动。

8.3. 为了保障个人数据保护，进行个人数据安全故障会导致的对个人数据主体的害处评价，以及断定个人数据在个人数据信息系统处理时所遇到的现实的安全威胁。

8.4. 在发现现实的安全威胁时，采取所需要的足够的法律上的，组织上的和技术性的个人数据安全保障措施，包括：

• 含有个人数据的信息处理过程中断定对该信息的安全威胁；
• 含有个人数据的信息处理过程中采取组织上的和技术性的该信息安全保障措施；
• 对含有个人数据信息机械载体进行计算；
• 发现非特许访问含有个人数据的信息行为；
• 恢复由于非特许访问而改变的或消灭的个人数据；
• 制定含有个人数据信息许访规则，保障登记与记录在个人数据信息系统对含有个人数据的信息进行的所有动作；
• 控制所采取的措施。
   

9.单位工作人员的义务与责任

9.1. 有权处理个人数据的单位工作人员有义务：

• 了解并坚决实施本政策的要求；
• 只在担任自己的职责范围内处理个人数据；
• 不暴露在担任自己的职责过程中所得知的个人数据和因自己职业而得知的个人数据；
• 取缔会导致暴露（消灭，歪曲）个人数据的第三人行为；
• 显示个人数据暴露（消灭，歪曲）事实并通知直属主管；
• 根据单位内部规则保守含有个人数据信息的秘密；

9.2. 有权处理个人数据的单位工作人员不得非特许访问和非规定把个人数据复制到纸质媒体与非为保存个人数据用的任何电子媒体。

9.3. 单位的直接进行个人数据处理的每位新工作人员应了解俄罗斯联邦法律个人数据处理与安全保障方面的要求，本政策等其它当地个人数据处理与安全保障方面的法规，并答应遵守它们。

9.4. 犯有违反俄罗斯联邦法律个人数据方面要求罪的人将承担纪律、物质上的、民事法律、行政或刑事上的责任。

10. 最终条款

10.1. 政策的现行版本保存地址：https://theoutletmoscow.com。

10.2. 随着个人数据方面的法规和当地管理个人数据处理组织与安全保障法规的改变，政策被更新，以便使其具有现实意义。