1. Общие положения
1.1. Настоящая Политика общества с ограниченной ответственностью «Консультативно-диагностический Центр 78» в отношении обработки персональных данных (далее — Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «Консультативно-диагностический Центр 78» (далее — Оператор, ООО «КдЦ 78»).
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети «Интернет» на сайте Оператора.
1.5. Основные понятия, используемые в Политике:
— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
— оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
— пользователь – лицо, осуществляющее с использованием телекоммуникационных каналов доступ к содержанию и сервисам сайта;
— куки (cookie-файлы) – это служебная информация (файлы), посылаемая веб-сервером на компьютер или иное устройство пользователя, подключенного к сети интернет, в момент посещения им веб-страницы, для сохранения в браузере. Применяется для сохранения данных, специфичных для данного пользователя, и используемых веб-сервером для различных целей.
1.6. Основные права и обязанности Оператора.
1.6.1. Оператор имеет право:
— самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
— поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
— в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.6.2. Оператор обязан:
— при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, предусмотренную ч. 7 ст. 14 Закона о персональных данных;
— организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
— отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
— сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на 5 (пять) рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
— в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных;
— соблюдать конфиденциальность персональных данных — не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.7. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
— получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
— требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
— дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
— обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
— пользоваться иным правами, предусмотренными законодательством Российской Федерации.
1.8. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
1.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО «КдЦ 78» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
2. Цели сбора персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой Оператором деятельности, а также деятельности, которая предусмотрена учредительными документами Оператора, и конкретных бизнес-процессов Оператора в конкретных информационных системах персональных данных.
2.3. К целям обработки персональных данных Оператора относятся:
— заключение, исполнение и прекращение гражданско-правовых договоров;
— организация кадрового учета ООО «КдЦ 78», обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам;
— исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, пользовании льготами, привлечение и отбор кандидатов на работу у Оператора, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, ведение кадрового и бухгалтерского учета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования;
— оказания медицинской помощи субъектам персональных данных;
— заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами;
— оповещение пользователей (в т.ч. потенциальных) услуг ООО «КдЦ 78» о предоставляемых услугах, скидках, акциях и других мероприятиях, об изменениях в услугах и работе ООО «КдЦ 78»;
— проведение опросов для улучшения качества обслуживания.
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе, но не ограничиваясь:
— Конституция Российской Федерации, Гражданский кодекс Российской Федерации, Трудовой кодекс Российской Федерации, Налоговый кодекс Российской Федерации;
— Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации», Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
— устав ООО «КдЦ 78»;
— локальные акты и иные документы, действующие в ООО «КдЦ 78»;
— договоры, заключаемые между Оператором и субъектом персональных данных;
— согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Оператора).
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, указанным в разделе 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Обработка персональных данных допускается в следующих случаях:
— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
— обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
— обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Закона о персональных данных, при условии обязательного обезличивания персональных данных;
— осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.3. К категориям субъектов персональных данных относятся:
4.3.1. Пациенты, в том числе по договорам на оказание платных медицинских услуг, по договорам добровольного медицинского страхования; Заказчики и представители пациентов по договору на оказание платных медицинских услуг – в медико-профилактических целях, в целях установления медицинского диагноза и оказания платных медицинских услуг пациенту, установления личности для обеспечения безопасности на территории Оператора, внутреннего контроля качества и безопасности медицинской деятельности. В данной категории субъектов Оператором обрабатываются следующие персональные данные:
— фамилия, имя, отчество;
— пол;
— год, месяц и дата рождения;
— данные паспорта или иного удостоверяющего личность документа;
— адрес регистрации по месту жительства;
— контактные данные (номера телефонов, адрес электронной почты);
— реквизиты полиса добровольного медицинского страхования (ДМС);
— страховой номер индивидуального лицевого счета (СНИЛС) (при необходимости);
— данные о состоянии здоровья, случаях обращения за медицинской помощью;
— фотографическое и видео- изображение;
В отношении Заказчиков и представителей пациента:
— фамилия, имя, отчество;
— год, месяц и дата рождения;
— адрес регистрации по месту жительства;
— контактные данные (номера телефонов, адрес электронной почты);
— реквизиты документа, на основании которого действует представитель, наименование органа, выдавшего документ (если представителем является опекун, попечитель, лицо по доверенности);
— фотографическое и видео- изображение.
4.3.2. Кандидаты для приема на работу к Оператору – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, содействия в трудоустройстве. Перечень, обрабатываемых Оператором в данной категории субъектов персональных данных, закреплен в Положении об обработке и защите персональных данных работников ООО «КдЦ 78».
4.3.3. Работники Оператора, бывшие работники, а также родственники работников – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, содействия работникам в получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы. Перечень, обрабатываемых Оператором в данной категории субъектов персональных данных закреплен, в Положении об обработке и защите персональных данных работников ООО «КдЦ 78».
4.3.4. Контрагенты по договорам, стороной по которым является физическое лицо – для целей осуществления своей деятельности в соответствии с уставом ООО «КдЦ 78», исполнения договора, стороной которого является субъект персональных данных. В данной категории субъектов Оператором обрабатываются следующие персональные данные:
— фамилия, имя, отчество;
— пол;
— гражданство;
— год, месяц и дата рождения;
— данные паспорта или иного удостоверяющего личность документа;
— адрес регистрации по месту жительства;
— контактные данные (номера телефонов, адрес электронной почты);
— занимаемая должность;
— индивидуальный номер налогоплательщика (при необходимости);
— номер расчетного счета;
— фотографическое и видео- изображение;
— иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
4.3.5. Представители клиентов и контрагентов Оператора (юридических лиц) – для целей осуществления своей деятельности в соответствии с уставом ООО «КдЦ 78», исполнения договора, стороной которого является клиент/контрагент (юридическое лицо). В данной категории субъектов Оператором обрабатываются следующие персональные данные:
— фамилия, имя, отчество;
— пол;
— данные паспорта или иного удостоверяющего личность документа;
— контактные данные (номера телефонов и адрес электронной почты);
— занимаемая должность;
— фотографическое и видеоизображение;
— иные персональные данные, предоставляемые представителями клиентов и контрагентов, необходимые для заключения и исполнения договоров.
4.3.6. Пользователи сайта Оператора (в том числе, но не ограничиваясь пациенты, направляющие заявку через сайт Оператора, их представители, пользователи, совершающие онлайн запись на прием к врачу через сайт) – для целей онлайн записи на прием для получения медицинских услуг, в т.ч. оказываемых третьими лицами, сведения о которых размещены на сайте; обработки входящих запросов физических лиц через форму сайта «обратный звонок» для последующей обратной связи с пользователем; предоставления доступа к сервисам, информации и/или материалам, содержащимся на сайте Оператора; размещения отзывов об услугах, оказанных медицинскими работниками (медицинскими организациями); обеспечения сервиса напоминания о приеме врача субъекту персональных данных с помощью смс-сообщения или по электронной почте. В данной категории субъектов Оператором обрабатываются следующие персональные данные:
— фамилия, имя, отчество (при наличии) пользователя;
— контактный номер телефона;
— адрес электронной почты;
— данные о пользователях сайта, которые могут быть автоматически получены в процессе использования ими сервисов сайта, а именно: совокупность пользовательских данных и технических свойств, в том числе: IP-адрес, информация из cookie, информация о типе и версии браузера (или иной программе, с помощью которой осуществляется доступ к сервисам сайта), тип и иные характеристики устройства, время доступа, местоположение пользователя, адрес запрашиваемой страницы, источник, откуда пришел пользователь на сайт, с какого сайта, по какой рекламной ссылке.
4.4. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
4.5. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.
5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.3. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
— неавтоматизированная обработка персональных данных;
— автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
— смешанная обработка персональных данных.
5.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
5.5. Обработка персональных данных для каждой цели обработки, указанной в п. 2.3 Политики, осуществляется путем:
— получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
— внесения персональных данных в журналы, реестры и информационные системы Оператора;
— использования иных способов обработки персональных данных.
5.6. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора.
Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.
5.6.1. Оператор вправе передавать персональные данные органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.7. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.
5.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
— определяет угрозы безопасности персональных данных при их обработке;
— принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
— создает необходимые условия для работы с персональными данными;
— организует учет документов, содержащих персональные данные;
— организует работу с информационными системами, в которых обрабатываются персональные данные;
— хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
— организует обучение работников Оператора, осуществляющих обработку персональных данных.
5.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
5.9.1. Персональные данные на бумажных носителях хранятся в ООО «КдЦ 78» в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации.
5.9.2. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.9.3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.10. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
6. Порядок и условия обработки биометрических персональных данных
6.1. К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных.
6.2. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, связанных с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.
6.3. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных п. 6.2 настоящей Политики. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение Оператором согласия на обработку персональных данных не является обязательным.
6.4. Обработка биометрических персональных данных осуществляется Оператором в соответствии с требованиями к защите биометрических персональных данных, установленными в соответствии со ст. 19 Закона о персональных данных.
6.5. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
6.6. Под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность.
6.7. Материальный носитель должен использоваться в течение срока, установленного Оператором, осуществившим запись биометрических персональных данных на материальный носитель, но не более срока эксплуатации, установленного изготовителем материального носителя.
6.8. Оператор обязан:
— осуществлять учет количества экземпляров материальных носителей;
— осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить Оператора, осуществившего запись биометрических персональных данных на материальный носитель.
6.9. Технологии хранения биометрических персональных данных вне информационных систем персональных данных должны обеспечивать:
— доступ к информации, содержащейся на материальном носителе, для уполномоченных лиц;
— применение средств электронной подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель;
— проверку наличия письменного согласия субъекта персональных данных на обработку его биометрических персональных данных или наличия иных оснований обработки персональных данных, установленных законодательством Российской Федерации в сфере отношений, связанных с обработкой персональных данных.
6.10. При хранении биометрических персональных данных вне информационных систем персональных данных должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.
7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
7.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 (десяти) рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на 5 (пять) рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
7.1.1. Запрос должен содержать:
— номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
— сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
— подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.1.2. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.2. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
7.3. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора), с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
7.4. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора), с момента такого обращения или получения запроса на период проверки.
7.5. При установлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
— в 24 часов – уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом;
— в течение 72 часов – уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
7.6. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор в срок, не превышающий 10 (десяти) рабочих дней с даты получения им соответствующего требования, обязан прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Законом о персональных данных.
Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7.7. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению Оператора:
— в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления;
— в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;
— в случае достижения цели обработки персональных данных.
7.8. Порядок уничтожения персональных данных Оператором.
7.8.1. Условия и сроки уничтожения персональных данных Оператором или обеспечения их уничтожения (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора):
| Срок уничтоженияперсональных данных | Условия (случаи) уничтоженияперсональных данных |
| 30 дней или иной срок, прямо предусмотренный договором или федеральным законом с учетом конкретных обстоятельств | с даты достижения цели обработки персональных данных или в случае утраты необходимости в достижении этой цели |
| с даты поступления отзыва субъектом согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки | |
| с даты достижения сроков хранения документов, содержащих персональные данные | |
| 10 рабочих дней(этот срок может быть продлен на 5 рабочих дней) | с даты обращения субъекта персональных данных с требованием прекратить обработку персональных данных |
| 10 рабочих дней | с даты выявления неправомерной обработки персональных данных, если невозможно обеспечить ее правомерность |
| 7 рабочих дней | со дня предоставления субъектом персональных данных (его представителем) сведений, подтверждающих, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки |
В случае отсутствия возможности уничтожения персональных данных в указанные сроки, Оператор обязан предпринять меры для блокирования таких персональных данных или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
7.8.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
— иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
7.8.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора ООО «КдЦ 78».
7.8.4. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.
8. Основные меры по обеспечению безопасности Оператора
8.1. В целях обеспечения безопасности персональных данных при их обработке Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных действующим законодательством.
К таким мерам относятся, в частности:
— назначение ответственного за организацию обработки персональных данных;
— издание документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Документы и локальные акты ООО «КдЦ 78» не содержат положения, ограничивающие права субъектов персональных данных, а также не возлагают на Оператора не предусмотренные законодательством Российской Федерации полномочия и обязанности;
— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
— осуществление внутреннего контроля соответствия обработки персональных данных законодательству и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
— оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства, соотношение указанного вреда и принимаемых Оператором мер безопасности;
— ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных;
— иные меры по обеспечению безопасности персональных данных, применяемые Оператором.
9. Дополнительные условия, применяемые в отношении пользователей сайта
9.1. ООО «КдЦ 78», являющееся администратором сайта: https://kdc78.ru/ в информационно-телекоммуникационной сети «Интернет» (далее – сайт), с целью обеспечения недопущения несанкционированного использования персональных данных пользователей сайта, соблюдения их законных прав и интересов при обработке персональных данных, определяет следующий порядок обращения с персональными данными пользователей сайта.
При этом санкционированным доступом к персональным данным пользователей сайта будет считаться доступ уполномоченных Оператором лиц в рамках целей деятельности и тематике сайта.
9.2. Оператор вправе осуществлять с полученными персональными данными пользователей все законные необходимые действия, связанные исключительно с достижением цели, для которой создан и используется сайт, а также в процессе дистанционного взаимодействия с пользователем в процессе оказания услуг.
Кроме того, персональные данные пользователей сайта могут быть использованы ООО «КдЦ 78» для проведения исследований (в том числе статистических), направленных на улучшение качества услуг, реализации маркетинговых программ, а также для продвижения услуг на рынке путем осуществления прямых контактов с пользователями с помощью различных средств связи, включая, но не ограничиваясь: электронная почта, телефон, сеть Интернет; проведения электронных и sms-опросов, контроля результатов маркетинговых акций, клиентской поддержки, проведение розыгрышей призов среди пользователей сайта, контроля удовлетворенности пользователя сайта, а также качества услуг, оказываемых ООО «КдЦ 78».
9.3. Пользуясь сайтом Оператора и сервисами, доступными на сайте, пользователь соглашается на обработку персональных данных в соответствии с настоящей Политикой.
Обработка включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
9.4. Сведения о персональных данных пользователей относятся к конфиденциальной информации. Режим конфиденциальности в отношении персональных данных снимается, в случаях, предусмотренных законодательством.
Пользователь сайта соглашается с тем, что, если это необходимо для реализации целей, указанных в п. 9.2. Политики, его персональные данные, предоставленные Оператору, могут быть переданы третьим лицам, которым ООО «КдЦ 78» может поручить обработку персональных данных пользователя сайта на основании договора, заключенного с такими лицами, при условии соблюдения требований законодательства Российской Федерации об обеспечении третьими лицами конфиденциальности персональных данных и безопасности персональных данных при их обработке. При передаче указанных данных пользователя сайта ООО «КдЦ 78» предупреждает лиц, получающих персональные данные, о том, что эти данные являются конфиденциальными и могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц соблюдения этого правила.
9.5. Источником информации обо всех персональных данных является непосредственно сам пользователь сайта Оператора. Заполняя форму обратной связи, пользуясь онлайн записью и (или) пользуясь прочими сервисами сайта, пользователь тем самым дает согласие на обработку персональных данных для целей оказания услуг Оператором, а также иных целей, указанных в настоящем разделе Политики или отдельном согласии на обработку персональных данных.
9.6. ООО «КдЦ 78» вправе использовать технологию cookies. Обработка Оператором cookie-файлов происходит в целях обеспечения работоспособности сайта. Данная технология позволяет сайту запомнить компьютер или устройство, с которого осуществлялся вход на сайт, получить информацию о действиях пользователя на сайте. Cookies не содержат конфиденциальную и персональную информацию. Такие файлы хранят обезличенные данные, собираются анонимно с помощью различных систем аналитики, таких как Google Analytics, Yandex metrika и др. Аналитика данных cookie-файлы в рамках указанной выше цели позволяет выполнять статистический анализ, что служит обеспечением корректной работы сайта и помогает осуществить более комфортное взаимодействие пользователей с сайтом.
Пользователь сайта, принимая условия настоящей Политики, дает согласие на сбор, анализ и использование cookies, в том числе третьими лицами для целей формирования статистики и оптимизации рекламных сообщений. Оператор сохраняет cookie-файлы, полученные при каждом посещении пользователем сайта https://kdc78.ru/.
Пользователь сайта вправе отказаться сохранять cookie-файлы и может заблокировать их в настройках браузера. Однако, при отключении cookie-файлов возможны сбои в работе сайта и(или) недоступность части страниц сайта.
9.7. В целях обеспечения онлайн записи на прием к врачу, повышения качества обслуживания, для обеспечения сервиса напоминания о приеме к врачу субъекту персональных данных с помощью смс-сообщения (в т.ч. посредством использования мессенджера Whats App) или по электронной почте, пользователь заполняет форму онлайн-записи на прием через сайт Оператора, чем пользователь выражает свое согласие на обработку персональных данных в соответствии с согласием на обработку персональных данных, размещенном на странице сайта, предназначенной для онлайн записи, включая, но не ограничиваясь: фамилия, имя, отчество (при наличии) пользователя, контактный номер телефона, адрес электронной почты, информация о лечащем враче, о дате и времени приема у врача, текст комментариев, отправленный при заполнении формы «обратный звонок» на сайте. Оператор получает информацию непосредственно от субъекта персональных данных или если пользователь является представителем субъекта персональных данных, то он гарантирует законность своих действий в отношении субъекта персональных данных.
9.8. В целях повышения качества функционирования сайта пользователь выражает свое согласие на обработку персональных данных: дата и время получения сообщения, информация о статусе доставки/прочтения сообщения, ID пользователя мессенджера, дополнительная информация о пользователе, представленная пользователем (ник, аватар пользователя), информация об устройстве пользователя (местоположение, IP-адрес (уникальный идентификатор устройства, подключённого к локальной сети и/или сети Интернет), версия операционной системы, тип/версия браузера, идентификаторы сообщений в каналах, модель устройства, текст и содержание сообщений, включая прикрепленные файлы (могут быть уничтожены по истечении месяца с даты их отправки), направленные Пользователем.
Заполнив форму обратной связи, онлайн записи либо воспользовавшись иным сервисом сайта, сообщая ООО «КдЦ 78» свой адрес электронной почты и номер телефона, пользователь сайта дает свое согласие на использование указанных средств связи ООО «КдЦ 78» (а также третьими лицами, привлекаемыми Оператором для целей выполнения обязательств перед пользователями сайта), в целях получения информационных и рекламных рассылок, содержащих информацию о скидках, предстоящих и действующих акциях и других мероприятиях ООО «КдЦ 78», опросов для улучшения качества обслуживания, а также иную информацию, непосредственно связанную с выполнением обязательств ООО «КдЦ 78» перед пользователями сайта, посредством электронной почты, смс-сообщений (в т.ч. посредством использования мессенджеров Whats App, Telegram), а также по указанному пользователем номеру телефона. Для отзыва своего согласия пользователь может обратиться с письменным заявлением к Оператору или посредством направления соответствующего заявления на адрес электронной почты info@kdc78.ru.
9.9. Персональные данные, полученные Оператором при использовании сайта, в т.ч. сервисом сайта, обрабатываются Оператором и уничтожаются 1 (один) раз в 2 (два) года, если иной срок не предусмотрен действующим законодательством, договором на оказание платных медицинских услуг, согласием на обработку персональных данных, полученных от пользователя.
9.10. Оператор оставляет за собой право изменения настоящей Политики в любое время с целью дальнейшего совершенствования системы защиты от несанкционированного доступа к сообщаемым субъектами персональных данных персональными данными.
Лист ознакомления
с Политикой ООО «КдЦ 78»
в отношении обработки персональных данных
| № п/п | Ф.И.О. работника | Дата ознакомления | Подписьработника |
| 1 | |||
| 2 | |||
| 3 | |||
| 4 | |||
| 5 | |||
| 6 | |||
| 7 | |||
| 8 | |||
| 9 | |||
| 10 | |||
| 11 | |||
| 12 | |||
| 13 | |||
| 14 | |||
| 15 | |||
| 16 | |||
| 17 | |||
| 18 | |||
| 19 | |||
| 20 | |||
| 21 | |||
| 22 | |||
| 23 | |||
| 24 | |||
| 25 | |||
| 26 | |||
| 27 | |||
| 28 | |||
| 29 | |||
| 30 | |||
| 31 | |||
| 32 | |||
| 33 | |||
| 34 | |||
| 35 | |||
| 36 | |||
| 37 | |||
| 38 | |||
| 39 | |||
| 40 | |||
| 41 | |||
| 42 | |||
| 43 | |||
| 44 | |||
| 45 |