Политика обработки персональных данных и реализуемых требований к защите персональных данных
Настоящая Политика обработки персональных данных и реализуемых требований к защите персональных данных (далее по тексту — Политика) разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных и действует в отношении всей информации, которую в Обществе с ограниченной ответственностью Медицинский центр высоких технологий «ЛазерВита» (далее по тексту — Оператор), может получить в рамках осуществления своей деятельности.
Политика разработана в соответствии и с учетом положений Конституции Российской Федерации, Гражданского кодекса Российской Федерации, Федерального закона от 27 июля 2006 г № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27 июля 2006 г № 152-ФЗ «О персональных данных», Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», а также иных нормативно-правовых актов Российской Федерации в области обработки и защиты информации и персональных данных.
В Политике определены основные понятия, основные права и обязанности оператора и субъекта персональных данных, цели обработки персональных данных, правовое основание для обработки персональных данных, порядок и условия обработки персональных данных, требования к персоналу оператора, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в различных информационных системах персональных данных оператора.
Настоящая Политика применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта: fdt-terapiya.ru.
1. Общие положения
1.1.Целью настоящей Политики является обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных, безопасности объектов защиты оператора в информационных системах от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности персональных данных информационных систем.
1.2.Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
1.3.Основные понятии, реализуемые в Политике:
1) Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта или мобильного приложения Оператора;
2) Пользователь — любой посетитель веб-сайта Оператора;
3) Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
4) Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) Сайт — интернет-ресурс в Интернете, размещенный по адресу: fdt-terapiya.ru;
6) Сбор персональных данных — целенаправленный процесс получения персональных данных Оператором непосредственно от Пользователей;
7) Субъект персональных данных — физическое лицо, к которому относятся персональные данные;
8) Уничтожение персональных данных — любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных;
9) Хранение персональных данных — процесс, предполагающий нахождение персональных данных в систематизированном виде в распоряжении Оператора;
10) Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
11) Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
12) Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу: https://fdt-terapiya.ru/;
13) Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
14) Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, обеспечивающих их обработку информационных технологий и технических средств;
15) Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных;
16) Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
17) Оператор — Общество с ограниченной ответственностью Медицинский центр высоких технологий «ЛазерВита» в лице Генерального директора Ростомяна Дживана Гагиковича, действующего на основании Устава.
2. Общие положения
2.1. Персональные данные обрабатываются Оператором в целях:
2.1.1. осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности выполнение требований законодательства в сфере труда и налогообложения, ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности, выполнение требований законодательства по определению порядка обработки и защиты персональных данных граждан, являющихся работниками, клиентами, контрагентами, партнерами Общества с ограниченной ответственностью Медицинский центр высоких технологий «ЛазерВита».
2.1.2. осуществление прав и законных интересов Общества с ограниченной ответственностью Медицинский центр высоких технологий «ЛазерВита» в рамках деятельности, предусмотренной Уставом и иными локальными нормативными актами Общества с ограниченной ответственностью Медицинский центр высоких технологий «ЛазерВита», включая, но не ограничиваясь заключением, реализацией гражданско-правовых договоров, организацией и реализацией мероприятий, проведения опросов;
2.1.3. осуществление коммуникаций на Сайте Оператора;
2.1.4. регистрация для участия в мероприятиях Оператора;
2.1.5. оказания медицинских услуг Обществом с ограниченной ответственностью Медицинский центр высоких технологий «ЛазерВита»;
2.1.6. предоставление информации пользователям Сайта Оператора в соответствии с целями создания Общества с ограниченной ответственностью Медицинский центр высоких технологий «ЛазерВита».
3. Категории субъектов персональных данных
3.1. Категориями субъектов персональных данных, в отношении которых Оператор осуществляет обработку персональных данных, являются:
1) Работники Оператора, бывшие работники Оператора, кандидаты на замещение вакантных должностей Оператора, родственники работников Оператора;
2) Пользователи, информационных, справочных систем, размещенных на Сайте Оператора;
3) Пользователи страниц Оператора в социальных сетях;
4) Лица, с которыми Оператор заключил договоры гражданско-правового характера, включая договоры на оказание платных медицинских услуг;
5) Представители/работники контрагентов, клиентов и партнеров Операторов.
4. Категории обрабатываемых персональных данных
4.1. Оператор обрабатывает следующие категории персональных данных:
1. В отношении работников: Персональные данные: фамилия, имя, отчество, год, месяц и дата рождения; место рождения, семейное положение; социальное положение; пол; адрес электронной почты; адрес, данные паспорта; семейное положение; образование; профессия, доходы; сведения о составе семьи; ИНН; СНИЛС; гражданство; реквизиты банковской карты; номер расчетного счета; контактный номер телефона; сведения о трудовой деятельности; отношение к воинской обязанности; сведения об образовании. Специальные категории персональных данных: сведения о стоянии здоровья, сведения о судимости.
2. Соискатели на вакантные должности: Персональные данные: фамилия, имя, отчество, год, месяц и дата рождения; место рождения, семейное положение; пол; адрес электронной почты; адрес места жительства, контактный номер телефона; образование; профессия, сведения о трудовой деятельности; отношение к воинской обязанности; сведения об образовании.
3. Пациенты: Персональные данные: фамилия, имя, отчество, год, месяц и дата рождения; адрес регистрации; данные документа, удостоверяющего личность, контрактный номер телефона, адрес электронной почты. Специальные категории персональных данных: состояние здоровья, интимной жизни. Биометрические персональные данные: пол, рост, вес, группа крови, резус принадлежность.
4. Родители, законные представители, третье лицо, которому предоставлено право получать и предоставлять сведения: Персональные данные: фамилия, имя, отчество, адрес регистрации, паспортные данные, контактный номер телефона.
5. Представитель контрагента: Персональные данные: фамилия, имя, отчество, паспортные данные, контактный номер телефона.
6. Посетители сайта: файлы cookie, сведения о действиях пользователя на сайте, сведения об оборудовании и программном обеспечении пользователя, IP-адрес, дата и время сессии обрабатываются (в т.ч. с использованием метрических программ Яндекс.Метрика и ПО третьих лиц, с которыми Оператор заключил соглашения).
5. Порядок обработки персональных данных
5.1. Обработка персональных данных на Сайте осуществляется с использованием и без использования средств автоматизации в течение сроков, необходимых для достижения целей обработки. Условием прекращения обработки Оператором персональных данных может являться достижение целей их обработки, отзыв согласия субъекта персональных данных на обработку его персональных данных, прекращение деятельности Оператора, закрытие Сайта или изменение его функционала.
При обработке обеспечиваются точность, достаточность и актуальность персональных данных по отношению к целям их обработки. При обнаружении неточных или неполных персональных данных производится их актуализация.
Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», осуществляется Оператором с письменного согласия субъекта персональных данных. Равнозначным согласию в письменной форме на бумажном носителе, содержащему собственноручную подпись субъекта персональных данных, признается согласие в форме электронного документа, подписанного квалифицированной электронной подписью, а также признается согласие в электронном виде путем чек - бокса – пункта, в котором Пользователь должен поставить галочку как подтверждение того, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не предусмотрено законом. Форма согласия на обработку персональных данных разрабатывается Оператором в соответствии с требованиями ст. 9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется Оператором в строгом соответствии с требованиями ст. 10.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Форма получения согласия на такую обработку разрабатывается Оператором в соответствии с требованиями Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 №18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки.
5.2. С использованием функционала Сайта Оператор осуществляет сбор, запись, извлечение и использование персональных данных Пользователей. При необходимости Оператор может осуществлять трансграничную передачу персональных данных в пределах, установленных законодательством. Оператор проверяет, обеспечивает ли государство, на территорию которого осуществляется передача персональных данных, адекватную защиту прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.
5.3. Иные операции с персональными данными, в том числе хранение, осуществляются без использования Сайта и регламентируются внутренними документами Оператора.
5.4. Во всех случаях обработка персональных данных Оператором осуществляется с согласия Пользователей, если иное не предусмотрено законодательством Российской Федерации.
5.5. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
5.6. Для достижения заявленных целей обработки Оператор может сообщать персональные данные третьим лицам, а также поручать обработку персональных данных другим лицам на основании договора, содержащего условия о конфиденциальности и иные обязательные положения, предписанные законодательством.
5.7. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
5.8. Срок обработки персональных данных является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, на электронную почту info@laservita.ru заявление об отзыве согласия на обработку персональных данных с пометкой «Отзыв согласия на обработку персональных данных».
5.9. Оператор обеспечивает функционирование Формы обратной связи и обработку поступивших через них обращений. Обращения не сохраняются на Сайте, а поступают уполномоченным сотрудникам Оператора для последующей работы. При этом Оператор обрабатывает только персональные данные, внесенные Пользователями в соответствующие поля Форм обратной связи. Реагирование на обращения Пользователя осуществляет сотрудниками Оператора без использования функционала Сайта.
5.10. Персональные данные Пользователей являются конфиденциальной информации, в соответствии с законодательством. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных. По необходимости, Оператор выполняет следующие меры, направленные на защиту прав субъектов персональных данных:
1. назначение Оператором ответственного за организацию обработки персональных данных;
2. издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с законодательством Российской Федерации в области персональных данных;
4. ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации в области персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
5. обеспечение неограниченного доступа к документу, определяющему политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных, в том числе опубликование настоящей Политики на Сайте.
6. Права субъектов персональных данных
6.1 Пользователь Сайтов имеет право на:
1. получение информации, касающейся обработки его персональных данных, в том числе доступ к своим персональным данным и получение копии любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;
2. уточнение своих персональных данных, их блокирование или уничтожение в установленных законом случаях;
3. обжалование действий (бездействия) Оператора в компетентных органах власти;
4. защиту прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном или ином установленном законом порядке;
5. отзыв согласия на обработку персональных данных;
6. осуществление иных прав, предусмотренных законодательством Российской Федерации в области персональных данных.
7. Актуализация, исправление, удаление, уничтожение персональных данных
7.1.В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.
7.2.В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
7.3.В случае выявления неправомерной обработки персональных данных при обращении (запросе) Субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения или получения запроса.
7.4.При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав Субъектов персональных данных, Оператор:
1) в течение 24 часов — уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав Субъектов персональных данных, предполагаемом вреде, нанесенном правам Субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
2) в течение 72 часов — уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
7.5.Порядок уничтожения персональных данных Оператором.
7.6. Условия и сроки уничтожения персональных данных Оператором:
1) достижение цели обработки персональных данных либо утрата необходимости достигать эту цель — в течение 30 дней;
2) достижение максимальных сроков хранения документов, содержащих персональные данные, — в течение 30 дней;
3) предоставление Субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, — в течение семи рабочих дней;
4) отзыв Субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, — в течение 30 дней.
7.7.При достижении цели обработки персональных данных, а также в случае отзыва Субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
1) иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных;
2) оператор не вправе осуществлять обработку без согласия Субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
3) иное не предусмотрено другим соглашением между Оператором и Субъектом персональных данных.
7.7.1. Уничтожение персональных данных осуществляет комиссия, созданная приказом Оператора.
7.7.2. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в пункте 7.6 настоящей Политики, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7.7.3. Подтверждение уничтожения персональных данных в случаях, предусмотренных Законом № 152-ФЗ, осуществляется в соответствии с требованиями приказа Роскомнадзора от 28 октября 2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
8. Безопасность персональных данных
8.1.Для обеспечения безопасности персональных данных при их обработке Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
8.2.Работники Оператора и подрядные работники, допущенных к обработке персональных данных, ознакомлены с настоящей Политикой и законодательством, регулирующим вопросы обработки персональных данных.
9. Заключительные положения
9.1. Настоящая Политика вступает в силу с момента ее опубликования (размещения) на Сайте Оператора и действует бессрочно (до отмены или замены ее новой версией Политики).
9.2. Оператор имеет право в одностороннем порядке вносить изменения и (или) дополнения в настоящую Политику. Новая версия Политики вступает в силу с момента ее опубликования (размещения) на Сайте Оператора, если иное не предусмотрено новой версией Политики. В случае изменений, затрагивающих права Пользователей, Оператор вправе направить информацию об этих изменениях Пользователям по их контактным данным либо уведомить их об изменениях иным способом.
9.3. В случае возникновения спора, связанного с применением или соблюдением настоящей Политики, Оператор и соответствующий субъект персональных данных приложат все усилия для его разрешения путем проведения переговоров и (или) взаимных компромиссов. В случае, если конфликт не будет разрешен путем переговоров и (или) взаимных компромиссов, спор подлежит разрешению в порядке, установленном действующим законодательством Российской Федерации.