个人数据安全 - 指个人数据免受非法活动的状态，其特征是用户、技术手段和信息系统在处理个人数据时能够确保个人数据的机密性、完整性和可用性，无论其呈现形式如何。
个人数据信息系统 - 包含个人数据数据库并提供其处理的信息技术和技术手段的总称。
个人数据处理 - 使用自动化手段或不使用这些手段对个人数据进行的任何操作（操作）或一系列操作（操作），包括收集、记录、系统化、积累、存储、澄清（更新、更改）、提取、使用、传输（分发、提供、访问）、匿名化、封锁、删除、销毁个人数据。
个人数据 - 与明确或间接确定的个人有关的任何信息。
个人数据处理流程 - 公司进行个人数据处理的业务流程。
个人数据主体 - 直接或间接确定或可确定的个人数据。个人数据主体包括：合同方、合同方代表和亲属、公司员工和应聘者、公司合同方的员工以及公司处理的其他个人数据主体（有关个人数据主体的完整列表在政策第4部分中提供）。
Cookie 文件 - 小型文本文件，从网站、网络应用程序或通过网络服务传输到用户的计算机或移动设备上，在其中记录并存储用户在网站、网络应用程序或网络服务中的操作信息。
本政策适用以下缩写和术语：
个人数据信息系统 - 个人数据信息系统；
公司 - 卡尔本有限责任公司；
个人数据 - 个人数据；
政策 - 个人数据处理和保护政策。

本政策规定了 ‘Carbon LLC”（纳税人识别号：9719013728；法定地址：105318，Moscow. 市政区 SOKOLINAYA GORA，Shcherbakovskaya st., 3, Floor 8, room/office）处理和保护个人数据的程序。 II/2；网址：https://carbonmicro.ru），以下简称本公司。 该政策文件可在公司网站和公司办公室查阅。
遵守 2006 年 7 月 27 日第 152-FZ 号联邦法“关于个人数据”、俄罗斯联邦劳动法、FSTEC 和 FSB 的命令以及俄罗斯联邦在该领域的其他立法行为的要求公司在处理和保护个人数据以及内部文件方面，确保其活动中个人数据处理的合法性和安全性。

公司处理个人数据的原则如下：

• 个人数据处理以合法和公正的基础进行；
• 个人数据处理受限于实现具体、事先确定的合法目的；
• 在处理个人数据时确保其机密性和安全性；
• 不允许处理与个人数据收集目的不相容的个人数据；
• 不允许合并包含个人数据的数据库，这些个人数据的处理目的彼此不相容；
• 仅处理符合其处理目的的个人数据；
• 处理的个人数据的内容和范围应符合其声明的处理目的。不得处理与所述处理目的不符的过多个人数据；
• 在处理个人数据时确保其准确性、充分性，并在必要时与处理目的相关的及时性，必要时采取措施删除或更正不完整或不准确的个人数据；
• 个人数据的存储应以能够确定个人数据主体的方式进行，不得超过个人数据处理的目的所需时间，除非联邦法律、个人数据处理协议或个人数据主体作为受益者或委托人的合同规定了个人数据的存储期限；
• 在达到个人数据处理目的或不再需要达到这些目的的情况下，处理的个人数据应被销毁或匿名化，除非联邦法律另有规定；
• 个人数据处理不得用于给个人数据主体造成财产和/或道德损害，也不得阻碍他们权利和自由的实现；
• 个人数据处理和保护活动应进行记录。

根据公司个人数据处理原则，确定了公司处理的个人数据的范围和处理目的。个人数据的范围和处理目的符合俄罗斯联邦个人数据处理和保护法律的要求。

在处理个人数据时，公司只追求在数据收集开始前确定的目标。对目标的后续更改只能在有限程度内进行，并且必须向个人数据主体进行合理解释和通知。

公司只处理列入了“碳”有限责任公司 个人数据处理清单”的个人数据。这些个人数据的处理采用了混合处理方式（既不使用自动化手段，也使用了这些手段），并且在个人数据信息系统内外都进行。

针对每个个人数据主体类别，公司已确定了处理其个人数据的法律依据。在没有适当的法律依据的情况下，公司不得处理个人数据。

公司将根据俄罗斯联邦法律规定的要求，根据个人数据处理的结束日期或个人数据处理结束条件进行处理，除非根据俄罗斯联邦法律的要求、个人数据主体的同意或合同的规定（个人数据主体是合同的一方、受益方或保证人）有其他规定。根据法律规定，个人数据的归档存储将按照规定的程序和情况进行。在俄罗斯联邦法律规定的情况下，销毁个人数据时将确认个人数据的销毁。

公司为实现处理目的并基于指定的法律依据处理以下类别个人数据主体的个人数据：


职位空缺的候选人

处理个人数据的目的

• 与主体进行互动，包括向主体发送有关运营者活动的通知、请求和信息，以及处理主体的请求；
• 处理应聘者提交的调查问卷/表格和其他通知，以用于招聘目的；
• 建立人才储备，以便将来进行招聘；
• 履行根据联邦法律和其他法规法律文件规定的义务；
• 进行竞争选拔（审阅简历并筛选适合空缺职位的候选人以供进一步就业）；
• 实现俄罗斯联邦现行法律规定的目标

处理个人数据的法律依据

• 2006年7月27日联邦法律 № 152-FZ《个人数据法》；
• 根据联邦法律 № 152-FZ《个人数据法》，在从第三方处收到个人数据主体的数据时，向候选人通知其个人数据的计划处理；
• 个人数据主体主动与公司签订劳动合同的倡议；
• 个人数据主体对其个人数据的处理给予默示同意（例如，如果公司基于个人数据主体的倡议获取个人数据（例如，个人数据主体自行发起互动，通过电子邮件发送其联系信息或交换名片））；
• 在与人力资源代理公司签订的合同中确认代理公司已获得相应的个人数据处理同意；
• 对个人数据处理的同意；
• 根据俄罗斯联邦现行法律的其他基础。

交易对手 - 法人实体（其雇员和/或代理代表）

处理个人数据的目的

• 组织商务活动；
• 向合作伙伴发送广告材料和有关特别优惠的信息；
• 管理合同的协商过程并履行与合作伙伴和客户签订的合同要求；
• 履行与合作伙伴签订的合同义务；
• 履行根据联邦法律和其他法规法律文件规定的义务；
• 从事企业活动；
• 实现俄罗斯联邦现行法律规定的目标。

处理个人数据的法律依据

• 1994年11月30日俄罗斯联邦民法典 № 51-FZ（第一部分），1996年1月26日 №14-FZ（第二部分）；
• 2006年12月18日俄罗斯联邦民法典 № 230-FZ（第四部分）；
• 2006年7月27日联邦法律 № 152-FZ《个人数据法》；
• 与合作伙伴签订的合同；
• 个人数据主体对其个人数据的处理给予默示同意（例如，如果公司基于个人数据主体的倡议获取个人数据（例如，个人数据主体自行发起互动，通过电子邮件发送其联系信息或交换名片））；
• 根据俄罗斯联邦现行法律的其他基础。

雇员、雇员亲属、雇员代表

处理个人数据的目的

• 以下是对不同培训、演示和展示材料中负责人、联系人、作者和参与者的通知，包括在操作者的封闭网络资源上发布的员工数据，例如在企业网站、论坛上的信息，以及为员工提供自主选择向有限范围的人提供名片的目的；计算和支付俄罗斯法律规定的税款、费用和强制性社会保险和养老保险缴费；
• 监督工作的数量和质量；
• 确保执行法律和法规、决定、任务和政府机构及其代表的请求；
• 保护操作者的财产安全；
• 审计师在进行审计检查时处理个人数据；
• 组织商务活动；
• 在人事档案文件中记录信息；
• 管理和调节与劳动关系直接相关的其他关系；
• 保护生命安全并提供安全的工作条件；
• 在竞赛文件中提交个人信息；
• 向教育机构提供信息以指导培训和提高资格；
• 向第三方提供信息以签订员工的人身保险/寿险、健康或财产保险合同；
• 向政府机构和非政府基金提供根据法律规定的个人报告；
• 在印刷和电子信息出版物中发布演示和其他材料；
• 在不同的信息系统中发布演示和其他材料；
• 计算和发放工资和其他支付，提供税务抵免。
• 签订、陪同、修改、终止作为员工与雇主之间劳动关系的基础的劳动合同；
• 履行俄罗斯联邦社会保险、军事登记、养老金保障、税收法规以及其他联邦法律要求的法律责任；
• 履行雇主在本地法规和劳动合同中规定的义务；
• 履行雇主在俄罗斯联邦法律和其他法规中规定的义务；
• 安排出差、商务和个人旅行：签证、入境邀请函、购买航空/铁路票、预订酒店和出租车；
• 确保符合俄罗斯联邦劳动法典和其他法规的要求；
• 在人事和会计文件中记录信息；
• 开设银行账户以进行劳动合同有效期内需要的银行业务；
• 办理授权书（护照复印件）；
• 办理自愿医疗和其他类型的保险；
• 办理通行证；
• 遵守履行劳动合同各方的权利和义务；
• 实现俄罗斯联邦现行法律规定的目标。

处理个人数据的法律依据

• 俄罗斯联邦税法典（第一部分）1998年7月31日第146号联邦法案，（第二部分）2000年8月5日第117号联邦法案；
• 俄罗斯联邦劳动法典，2001年12月30日第197号联邦法案；
• 联邦法案 № 109-FZ《关于在俄罗斯联邦注册外国公民和无国籍人的移民登记》；
• 1996年4月1日第27号联邦法案《关于强制养老金保险系统中的个人（个人化）账户》；
• 2011年12月6日第402号联邦法案《关于会计记录》；
• 2001年12月15日第167号联邦法案《关于强制养老金保险》；2004年10月22日第125号联邦法案《关于俄罗斯联邦的档案事务》；
• 1998年7月24日第125号联邦法案《关于工业事故和职业病的强制性社会保险》；
• 2002年7月25日第115号联邦法案《关于外国人在俄罗斯联邦的法律地位》；
• 2006年7月27日第152号联邦法案《关于个人数据》；
• 2010年11月29日第326号联邦法案《关于俄罗斯联邦的强制医疗保险》；
• 2004年1月5日俄罗斯联邦国家统计委员会第1号决议《关于批准有关劳动及其支付账户初级记录单一形式的决议》；
• 2006年11月15日俄罗斯联邦政府第681号决议《关于在俄罗斯联邦进行外国人临时劳动活动许可文件的颁发程序》；
• 2006年12月25日俄罗斯联邦移民局第370号命令《关于批准外国公民或无国籍人申请工作许可的申请表格以及外国公民或无国籍人工作许可表格的命令》；
• 公司章程和/或规章制度；
• 劳动合同；
• 个人数据处理同意书；
• 个人数据处理同意书，被个人数据主体允许进行传播的；
• 根据俄罗斯联邦现行法律的其他依据。

公司依法进行个人数据处理。在法律规定的情况下，公司将根据法律规定的形式取得个人数据主体的同意。如果公司从第三方获取个人数据，则公司必须要求第三方确认其具有将个人数据传输给公司的所有必要依据。

在处理个人数据时，确保数据的准确性、充分性，并在必要情况下与个人数据处理目的相符。公司假设个人数据主体提供给它的数据是准确、充分和及时的。如果个人数据主体发现所处理的个人数据不准确并发送了相应请求，或者公司自行发现了不准确的数据，则公司将采取一切必要措施确保个人数据的准确性、充分性和时效性。

在其业务过程中，公司有权将个人数据处理委托给第三方，除非法律另有规定。在将个人数据处理委托给其他人时，该委托方必须承诺在处理个人数据时保密并确保数据安全，并承诺仅在预先确定的目的和范围内使用数据。

公司禁止基于纯自动化处理个人数据做出影响个人数据主体的法律后果或以其他方式影响其权利和合法利益的决定。

如果公司的业务实质是作为个人数据主体的消费者的卖方（履行者，聚合器所有者），则公司不得拒绝与个人数据主体签订、履行、修改或解除与个人数据主体的协议，除非个人数据主体拒绝提供个人数据的行为在俄罗斯联邦法律或与个人数据主体的协议履行直接相关。如果根据俄罗斯联邦法律，公司无需获得个人数据处理同意，公司不得因个人数据主体拒绝提供同意而拒绝提供服务。
公司不得处理有关种族、民族、政治观点、宗教或哲学信仰、私生活等特殊类别的个人数据，除非俄罗斯联邦法律另有规定。在特定目的实现后，公司立即停止处理特殊类别的个人数据，除非联邦法律另有规定。

除非俄罗斯联邦法律另有规定，公司不得处理生物识别个人数据（根据这些数据可以确认个人身份）。
未经个人数据主体书面同意，公司不会传播个人数据。

在使用本地和全球计算机网络开展业务时，公司可能会使用以下类型的cookie文件：

• 技术性 - 允许正确使用网站、网络应用程序或网络服务的功能，并保持其正常运行（例如，确定用户的硬件和软件以检查网站、网络应用程序或网络服务的功能是否正常）；
• 功能性 - 允许记住用户过去的选择（例如，使用保存的登录名和密码自动登录到个人账户）；
• 统计 - 包含有关网站、网络应用程序或网络服务的使用情况、访问页面、访问用户数量的信息；统计cookie的目的是改善网站功能；
• 营销 - 记录在线活动，以帮助提供最相关的广告。

在访问网站或使用网络应用程序、网络服务时，公司会征求用户对cookie文件的同意。用户可以选择在征求同意时选择相应的选项以停止使用特定的cookie文件。在这种情况下，网站、网络应用程序或网络服务的某些功能可能不可用。

公司组织与个人数据主体的互动流程，使个人数据主体能够就与其个人数据处理相关的所有法律规定问题向公司提出查询（了解与其个人数据相关的个人数据、获取有关处理的信息、了解涉及的第三方、提出清理、停止处理、阻止和销毁个人数据等）。为了及时有效地处理来自个人数据主体和授权的个人数据保护机构的请求和投诉，公司已制定了处理此类请求和投诉的程序。

根据俄罗斯联邦法律，公司将个人数据提供给政府机构和地方自治机构、法院、执法机构以及其他监管机构。

个人数据主体有权行使以下行动：澄清、封锁、销毁个人数据，反对自动化处理，并了解其个人数据处理过程的特征（确认个人数据是否被处理，或者是否不存在个人数据处理，处理个人数据的法律依据和目的，个人数据的组成，个人数据的来源，个人数据的处理和存储期限，个人数据处理的性质，公司在个人数据处理和保护方面的义务履行方式等）。

个人数据主体有权通知先前已被告知其错误或不完整的个人数据的所有人有关其个人数据的任何更改。
个人数据主体有权向个人数据保护权益保护机构或法院投诉公司处理其个人数据的非法行为或不作为。
个人数据主体有权随时撤销其对个人数据处理的同意。
个人数据主体还享有《个人数据法》第三章确定的其他权利。

如果您认为您的权利和利益受到侵犯，您可以提出索赔（《个人数据法》第17条）。要联系“碳”有限责任公司，请使用本政策中指定的联系信息。“碳”有限责任公司 将尽最大努力在收到您的请求后的10（十）个工作日内对您的请求做出反应。必要时，考虑到请求的复杂性和数量，这一期限可以延长5（五）个工作日。无论如何，“碳”有限责任公司将及时通知您有关延长期限的情况。

公司的内部文件中，对公司所有员工、合作伙伴、合同方以及其他相关第三方，有关其个人数据处理的方面，制定了必须执行的规定，包括：

• 提供对个人数据的访问权限的程序；
• 修改个人数据以确保其准确性、真实性和时效性的程序，包括与个人数据处理目的相关的修改；
• 在需要执行这些程序时，销毁、匿名化或封锁个人数据的程序；
• 对个人数据主体（及其合法代表）的请求进行处理的程序，涉及法律规定的情况，包括准备有关特定个人数据主体的个人数据信息的程序，为个人数据主体（及其合法代表）提供查阅个人数据的可能性所需信息的程序，以及对于个人数据不完整、过时、不准确、非法获取或不符合处理目的的情况，处理请求以澄清、封锁或销毁个人数据的程序；
• 获得个人数据主体对其个人数据处理和将其个人数据传输给第三方的同意的程序；
• 在个人数据资源的用户之间传输个人数据的程序，该程序仅允许公司员工之间传输个人数据的程序；
• 将个人数据传输给第三方的程序；
• 处理个人数据媒介的程序。

为了确保在公司处理个人数据时的安全性，公司执行当前个人数据处理和安全保障法律的要求。为此目的，公司引入、运行和定期审查（监控）个人数据保护系统。

公司采取必要和充分的组织和技术措施，包括但不限于：

• 制定内部文件，涉及个人数据处理问题，以及制定旨在防止和发现违法行为、消除违法行为后果的本地法规;
• 保护个人数据免受未经授权的访问、非法处理或传输，以及避免丢失、篡改或销毁（无论是自动化还是非自动化的个人数据处理）；
• 在引入新的个人数据处理流程和新的个人数据信息系统之前确定并实施技术和组织措施，以保护个人数据，以达到现代技术水平和必要的数据保护程度；
• 确定在个人数据信息系统中处理个人数据时的安全威胁；
• 使用已经通过合规性评估程序的信息保护措施；
• 制定访问个人数据的规则，并确保记录和跟踪个人数据信息系统中与个人数据相关的所有操作；
• 控制和评估采用的措施的有效性（包括通过审计检查）；
• 发现未经授权访问个人数据（以及其他个人数据事件）的事实，并采取措施；
• 恢复个人数据。

在保障处理机密性方面，公司采取措施防止未经授权收集、处理或使用个人数据，包括但不限于：

• 只在法律规定的情况和程序下提供对个人数据的访问；
• 对直接处理个人数据的公司员工了解个人数据法律的条款，包括个人数据保护要求，确定公司个人数据处理政策的文件，个人数据处理问题的本地法规和（或）对这些员工进行培训。

公司已经指定了负责个人数据处理组织和个人数据安全保护的负责人。公司管理层有兴趣确保在公司主要业务活动中处理的个人数据的安全性，既从法律要求的角度，也从降低风险的角度。

公司可能会不时对本政策进行更改，无需事先通知，并且任何更改都将自发布在公司网站（https://carbonmicro.ru）或公司办公室之日起生效。

负责组织个人数据处理的人员负责监督本政策的执行，并及时更新。公司员工对于未能遵守个人数据处理和保护规定的责任，根据俄罗斯联邦法律和公司内部文件确定。

有关个人数据处理的任何询问都应通过发送电子邮件至公司网站联系页面（https://carbonmicro.ru）上提供的电子邮件地址进行，或者在公司办公室亲自访问，或者通过邮寄至公司的法定地址：105318，莫斯科市，内环路苏霍利诺山区，谢尔巴科夫斯卡亚街3号，8楼，房间/套房 II/2。