# 运营商个人数据处理政策

2024年08月01日第2版

本政策（**政策**）阐述了有限责任公司“Web Server”（统一国家注册号（ОГРН）1227700436578，以下简称\*\*运营商\*\*）在处理个人数据时所遵循的基本原则、执行的处理程序，以及为确保个人数据安全所采取的各项措施。

本个人数据处理政策的目的是保障个人数据主体在现行法律框架下的合法权益。
本政策根据俄罗斯联邦宪法、
2006年7月27日第149-ФЗ号《信息、信息技术与信息保护法》、
2006年7月27日第152-ФЗ号《个人数据法》
以及俄罗斯联邦的其他规范性法律文件制定。

1. **主要术语**

1.1. **数据中心**——专门从事服务器和网络设备托管、出租（包括虚拟服务器）的组织，运营商利用该组织来存储和处理个人数据。

1.2. **个人数据保密性**——获得数据访问权的人在未经个人数据主体同意的情况下，不得向第三方披露或传播这些数据，除非法律另有规定。

1.3. **客户**——依据相关合同获得使用运营商拥有著作权的软件（如Angie PRO、ANIC等）的权利，并有权根据相应合同获得服务的法人实体。

1.4. **登录名（Login）**——个人数据主体在网站注册时所填写的电子邮箱地址。

1.5. **个人数据处理**——使用自动化工具或不使用自动化工具对个人数据进行的任何操作或一组操作，包括收集、记录、系统化、积累、存储、更新（修改）、检索、传输（分发、提供、访问）、去标识化、封锁、删除、销毁等。

1.6. **密码（Password）**——由个人数据主体自行选择的字符组合，与电子邮箱一起，在使用网站时对账户进行身份验证。

1.7. **个人数据（数据）**——与已确定或可确定的自然人（个人数据主体）直接或间接相关的任何信息。

1.8. **个人信息**——个人数据主体在网站上自行发布的与其相关的任何信息，包括个人数据，如姓名、姓氏、父名、电话号码、电子邮箱地址，以及在使用网站过程中自动传输给运营商的信息，包括IP地址、cookies文件等。

1.9. **个人资料（Profile）**——网站上的相关版块，包含个人数据主体的个人信息，使用登录名和密码即可访问。

1.10. **注册**——个人数据主体在网站上通过填写注册表单完成的注册操作。

1.11. **网站**——位于Internet网络中的support.angie.software（技术支持网站及其用于收集个人数据的页面）。

1.12. **个人数据主体**——运营商处理的个人数据所指向的自然人。

1.13. **服务**——针对运营商拥有独家权利的软件所提供的技术支持、维护与软件正常运行相关的一系列服务，主要面向客户的员工（代表）。

1. **个人数据处理的目的**

2.1. 运营商为实现特定的、事先确定的合法目的而处理个人数据。

2.2. 运营商处理个人数据主体个人数据的目的如下：

- 为用户提供使用网站的可能性；
- 验证个人数据主体的身份；
- 与个人数据主体建立反馈，包括发送通知、提供服务、处理其请求和申请；
- 改善所提供服务的质量，优化网站的使用。

2.3. 运营商采取措施以遵守个人数据领域的法律要求，不在法律禁止或无必要实现运营商明确目的的情况下处理个人数据。

1. **个人数据处理的法律依据**

3.1. 运营商处理个人数据的法律依据包括：

- 1. 个人数据主体对其数据进行处理的同意；
- 1. 涉及个人数据主体（作为一方授权人）的合同。

3.2. 在网站上收集和处理个人数据的同意，体现为在网站相应的界面表单中填写个人数据，并通过点击网站上的界面按钮（标有"sign in"（登录）或"open a new ticket"（发送新请求）或"Check Ticket Status"（查看请求状态））确认其真实性。

1. **处理的数据类别和处理范围**

4.1. 运营商处理以下个人数据：

- 名（имя）；
- 姓（фамилия）；
- 父名（отчество）；
- 电话号码；
- 电子邮箱地址。

4.2. 运营商确保所处理的个人数据范围与所声明的处理目的相符；不进行与收集目的不相容的个人数据处理，也不处理与所声明目的无关或过量的个人数据。

4.3. 运营商不处理根据2006年7月27日第152-ФЗ号《个人数据法》中定义的特殊类别个人数据。

1. **个人数据主体的权利**

5.1. 个人数据主体有权：

- 获取与处理其个人数据相关的信息；
- 访问并查阅其个人数据，包括有权免费获得包含其个人数据的记录副本；
- 要求删除或更正不准确或不完整的个人数据；
- 获取有关受托处理其个人数据的人的信息；
- 获取有权依据与运营商签订的合同或法律规定而可访问或可获取个人数据的人员信息（不包括运营商员工）；
- 获取法律规定的其他信息。

5.2. 关于个人数据存在与否的信息由运营商向个人数据主体提供，但其中不包含与其他个人数据主体相关的数据。

5.3. 个人数据主体有权通过向运营商提交一份任意形式的书面申请来撤回其对个人数据处理的同意。如果个人数据主体撤回其对个人数据处理的同意，但在俄罗斯联邦法律规定的情况下，运营商可在具有法律依据的条件下继续处理个人数据，而无需获得个人数据主体的同意。

5.4. 如个人数据主体撤回同意，且在无法律依据继续处理个人数据的情况下，运营商应停止处理该数据（确保受托处理该数据的其他人员也停止处理），并销毁或去标识化这些数据（确保对这些数据的销毁或去标识化）。

1. **个人数据主体咨询的响应程序**

6.1. 个人数据主体可通过电子邮件方式向运营商发送有关处理其个人数据的请求，邮箱地址：[support@angie.software](mailto:support@angie.software)。

6.2. 该请求应包括：

- 个人数据主体或其代表的姓氏、名、父名；
- 个人数据主体及其代表（如果请求由代表提出）的身份证件号码、签发日期、签发机关等信息；
- 证明个人数据主体与运营商存在关系或其他方式证明运营商正在处理其个人数据的相关信息；
- 个人数据主体或其代表的签字；
- 证明代表授权的相关文件。运营商有权要求提供额外信息以确认提出请求人员的身份。

6.3. 运营商不处理通过电话或除了本节中明确指出的方式之外提交的任何与处理个人数据相关的请求。

6.4. 无论对于请求的审核结果如何，运营商都会向个人数据主体（或其代表）发送书面回复。回复期限自收到请求之日起不得超过10（十）个工作日。

6.5. 自个人数据主体或其代表提供证据表明个人数据不完整、不准确或已过期之日起7（七）个工作日内，运营商应做出必要更正。

6.6. 如发现个人数据被违法处理，运营商应对违法处理的数据进行封锁或确保被受托处理的人员进行封锁，以便在调查其处理合法性期间暂停使用这些数据。如果确认运营商或其受托人员确有违法处理个人数据的事实，运营商应在确认之日起3（三）个工作日内停止违法处理或确保受托人员停止违法处理个人数据。

1. **个人数据处理的程序与条件**

7.1. 个人数据主体通过本政策第3.2款所述方式，同意对其个人数据进行处理。

7.2. 个人数据处理的方式：运营商可通过以下行动处理个人数据：收集、系统化、积累、存储、更新（修改）、去标识化、封锁、销毁。

7.3. 运营商既可以使用自动化工具，也可以不使用自动化工具来处理个人数据。

7.4. 运营商可将其个人数据信息系统置于数据中心或云计算基础设施内。若根据与数据中心签订的合同，数据中心的工作人员被禁止访问运营商所处理的数据，则运营商不视此为委托数据中心处理个人数据，也无需征得个人数据主体的同意。与数据中心（提供方）的合同中均会明确规定对个人数据的保密和安全要求。

7.5. 在接到检察院、执法部门、侦查及调查机构、安全机构、政府劳动监察部门等依法有权在监督和检查合规性方面提出信息请求的情形下，不需要征得个人数据主体对提供其个人数据的同意。

1. **个人数据存储期限的限制**

8.1. 个人数据主体的个人数据处理，将持续至满足以下任意一个条件：

- 网站上个人数据主体的个人资料被删除；
- 个人数据主体撤回其对个人数据处理的同意。

8.2. 一旦出现第8.1款所述条件或其中任何一个条件，运营商将：

- 删除个人数据；或
- 对数据进行去标识化，使其不再与特定的个人数据主体关联。

8.3. 数据删除程序：

- 纸质媒介——在负责个人数据处理人员以及其他有权接触个人数据的运营商员工的见证下销毁；
- 电子媒介——从媒介中删除数据，并保留有关删除的记录（删除日志）。

1. **个人数据安全保障**

9.1. 在处理个人数据时，运营商采取法律、组织和技术措施，防范对数据的非法或意外访问、销毁、修改、封锁、复制、传播、提供以及其他非法行为。保障个人数据安全是运营商业务的组成部分。通过阻止未经授权或偶然的访问来实现数据安全。

9.2. 运营商可聘请拥有相应技术保护机密信息许可证以及其他在俄罗斯联邦法律要求下完成特定任务所需的许可证的机构，来协助选择并实施保护个人数据的方法和手段。

9.3. 运营商采取的法律措施包括：

- 制定符合俄罗斯法律要求的运营商内部规章制度，包括本政策；
- 放弃使用与本政策中既定目标或法律要求不符的任何个人数据处理方式。

9.4. 运营商采取的组织措施包括：

- 由运营商指派一名负责人，负责组织数据处理工作；
- 限制可访问个人数据的运营商员工范围，建立相应的访问控制系统；
- 让直接从事个人数据处理的运营商员工熟悉俄罗斯联邦在个人数据方面的法律规定，包括有关个人数据保护的要求；
- 限制无关人员进入运营商工作场所，防止其进入存放并处理个人数据以及放置用于处理个人数据的技术设备的区域。

9.5. 运营商采取的技术措施包括：

- 检测恶意软件（使用防病毒程序）；
- 监测对运营商个人数据信息系统的入侵行为，以防或排查可能破坏个人数据安全的风险；
- 确保运营商员工对个人数据信息系统的授权访问；
- 评估已采取的个人数据安全保障措施的有效性；
- 使用安全的网络交互方式。

1. **数据库位置**

10.1. 在收集个人数据时，运营商确保对俄罗斯联邦公民的个人数据进行记录、系统化、积累、存储、更新（修改）和检索，且使用位于俄罗斯联邦境内的数据库。如果运营商无法确认个人数据主体的国籍，则默认假定在俄罗斯联邦境内获取的数据来自俄罗斯公民。

1. **技术信息及Cookies文件**

11.1. Cookies文件是网站访问者的电脑或其他设备上可能存储的文件或信息片段。此类文件中可能包含各种信息，例如浏览器类型、操作系统、语言设置以及其他页面个性化设置，或有关网站使用情况的数据。

11.2. Cookies文件用于根据用户偏好调整网站页面内容，优化网站运行。通过Cookies可识别用户设备并根据其个人需求进行网站浏览设置；Cookies文件还用于处理网站的使用统计数据，并帮助在用户登录网站后保持会话状态，无需在每个网页重复输入登录名和密码。

Cookies文件被用来识别网站用户。基于这些文件，运营商能够分析访问者对网站的使用情况，从而对网站进行进一步的功能改进。

11.3. 运营商收集以下类型的Cookies文件：

-  *必要Cookies文件*：这些文件是网站运作所必需的，没有它们，网站的部分功能将无法运行。
-  *功能性Cookies文件*：用于识别访问者偏好，并据此对网站进行调整。功能性Cookies文件可记住网站的个性化设置并存储访问者和个人数据主体提供的信息（如登录名、用户名、语言及其他偏好）。这些功能让网站使用更便捷。
-  *分析和性能Cookies文件*：包含用户如何使用网站的信息，用于识别访问网站的重复使用场景，并帮助分析使用过程中出现的错误。这些Cookies文件并不识别个人身份，所有信息都是匿名的。

11.4. 网站访问者可随时更改网站收集Cookies文件的相关设置。

11.5. 大多数网络浏览器初始设置均为自动接受Cookies文件。网站访问者可更改浏览器设置，使其在发送Cookies文件到相应设备时进行阻止或预警。管理Cookies文件的方法有多种。

如果网站访问者在不同的设备（如电脑、智能手机、平板等）上访问本网站，则需要确保在每个设备的浏览器中都按照其Cookies偏好进行配置。若要了解如何通过浏览器或设备管理Cookies文件，可参考浏览器开发商或设备制造商提供的使用说明。

1. **附则**

12.1. 运营商通过在网站上发布本政策，为所有人提供不受限制的访问权。

12.2. 运营商的其他权利和义务由俄罗斯联邦在个人数据领域的法律予以确定。

12.3. 本政策视实际需要进行修订。当国际法或俄罗斯联邦个人数据领域的法律发生强制性变动时，须对本政策进行强制性审查。在对本政策进行修改时，将充分考虑运营商在信息基础设施方面的实际情况以及俄罗斯联邦关于数据保护的执法实践。

12.4. 网站上集成了Yandex.Metrica，其根据自身的隐私政策收集数据，该隐私政策可通过以下链接获取：[https://yandex.ru/legal/confidential/](https://yandex.ru/legal/confidential/)。

运营商并不单独收集或处理由Yandex.Metrica处理的数据。

有限责任公司“Web Server”（ООО "Веб-Сервер"）
统一国家注册号（ОГРН）：1227700436578
地址：127015，俄罗斯联邦，莫斯科市，维亚茨卡娅街27号7栋
电话：+7 (495) 120 50 33
电子邮箱：[legal@wbsrv.ru](mailto:legal@wbsrv.ru)