Политика обработки и защиты персональных данных
1. Общие положения
1.1. Политика обработки и защиты персональных данных (далее - Политика) определяет порядок обработки персональных данных Общество с ограниченной ответственностью «БиоМед Эксперт», ИНН: 2543183103, ОГРН: 1242500006671, адрес: 690014, Приморский край, г. Владивосток, пр-кт Народный, зд. 11А, помещение 1 (далее - Оператор) при использовании сайта https://bio-med.expert (далее - сайт Оператора), а также принимаемые Оператором меры защиты персональных данных.
1.2. Во исполнение требований части 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) настоящая Политика публикуется в свободном доступе в сети Интернет на сайте Оператора.
1.3. Основные понятия, используемые в Политике:
1.3.1. Субъект персональных данных – посетитель сайта Оператора, пациент Оператора;
1.3.2. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
1.3.3. Оператор персональных данных (Оператор) – Общество с ограниченной ответственностью «БиоМед Эксперт», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.3.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, в том числе: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
1.3.5. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.3.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.3.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.3.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.3.9. Обезличивание персональных данных – действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.3.10. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2. Принципы обработки персональных данных Оператором
2.1. При обработке персональных данных Оператор придерживается следующих принципов:
· законности и справедливости;
· ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
· недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
· недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
· соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
· недопущения избыточности обрабатываемых персональных данных по отношению к заявленным целям обработки;
· обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных, а также принятия мер по удалению или уточнению неполных или неточных данных;
· прозрачности обработки персональных данных: субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
· осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
3. Правовое основание обработки персональных данных
3.1. Согласие субъекта персональных данных.
3.2. Обработка персональных данных необходима для выполнения обязанностей, возложенных на Оператора законодательством Российской Федерации.
4. Цели сбора и обработки персональных данных
4.1. Целями сбора и обработки персональных данных являются:
· запись на прием врача, на оказание медицинской услуги, информирование о записи (обратная связь) посредством смс – рассылки;
· обработка запросов по интересующим субъекта персональных данных вопросам направленных Оператору посредством специальной формы на сайте Оператора;
· обработка запросов на получение консультации посредством использования квиз-сервиса на сайте Оператора;
· продвижение услуг Оператора на рынке путем осуществления прямых контактов с клиентами Оператора с помощью различных средств связи, включая, но не ограничиваясь: по телефону с использованием специальных программ обмена сообщений, смс – рассылка сообщений, по электронной почте, почтовой рассылке и иными не запрещенными способами (в том числе направление Оператором сообщений и любой иной информации рекламного характера, в том числе о продвижении продуктов, сервисов, мероприятий и услуг, оказываемых Оператором с использованием сетей электросвязи);
· упрощение клиентского опыта пользования Сайтом Оператора, сбор аналитики (пользовательской активности).
4.2. В целях записи на прием врача (на оказание медицинской услуги) и информированиы о записи (обратная связь) посредством смс – рассылки Оператор использует модуль онлайн-записи медицинской информационной системы «MEDMIS» (далее – модуль «MEDMIS»). Субъект персональных данных, используя модуль «MEDMIS», соглашается на обработку персональных данных согласно политике конфиденциальности, размещенной на сайте: https://www.medmis.ru.
4.3. В целях обработки запросов на получение консультации Оператор использует сервис-конструктор квизов «Марквиз» (далее – квиз «Марквиз»). Субъект персональных данных, используя квиз «Марквиз», соглашается на обработку персональных данных согласно политике конфиденциальности, размещенной на сайте: https://www.marquiz.ru/policy. Принципы работы квиза «Марквиз» размещены на сайте: https://help.marquiz.ru/.
5. Состав персональных данных
5.1. Оператор осуществляет обработку персональных данных следующих субъектов персональных данных:
· посетители сайта Оператора;
· пациенты Оператора;
· потенциальные клиенты (контрагенты) Оператора;
· иные субъекты персональных данных, каким-либо образом взаимодействующие с Оператором в рамках целей, заявленных в разделе 4 Политики.
5.2. Оператор осуществляет обработку следующих категорий персональных данных:
· фамилия, имя, отчество;
· дата рождения;
· возраст;
· пол;
· номер телефона;
· сведения о мессенджере (номер телефона);
· адреса электронной почты;
· техническую информацию при посещении Сайта: обобщенная аналитическая информация; IP-адрес; log-файлы; веб-маяки / пиксельные теги; данные об устройстве, используемом для просмотра сайта/использования сервиса; сведения об операционной системе используемого устройства; данные о геолокации пользователя; данные о типе Интернет-соединения и способе подключения (WiFi, 3G, 4G, 5G, LTE, Bluetooth); данные о типе браузера; иная информация, которая может собираться и обрабатываться сервисами веб-аналитики.
5.3. Чтобы улучшить работу Сайта Оператора и сделать его удобнее для использования, Оператор использует сервис «1С-Битрикс: управление сайтом», а также сервисы веб-аналитики «Яндекс.Метрика», поэтому при взаимодействии с Сайтом Оператора могут автоматически собираться сведения о его использовании. Такие сведения могут быть получены с помощью различных методов, в том числе, с использованием технологией сбора файлов «cookies».
Файлы «cookies» записываются на устройство пользователя, которое используется для реализации своих потребностей на Сайте Оператора. «Cookies» – это фрагменты данных, отправленные веб-сервером и хранимые на электронном устройстве пользователя. «Cookies» используются для упрощения клиентского опыта пользования сайтом и для сбора аналитики (пользовательской активности) Оператором с помощью сервиса «Яндекс.Метрика» для улучшения качества предоставляемых услуг на сайте. «Cookies» не содержат конфиденциальную информацию.
Оператор может также использовать такие технологии, как веб-маяки и идентификаторы мобильных устройств, для сбора информации об использовании Сайта Оператора.
Правовое основание для обработки персональных данных: согласие посетителя Сайта. При взаимодействии с Сайтом Оператора, посетитель увидит интерактивное окно - cookie-баннер, который означает, что на Сайте Оператора используются файлы «cookies», которые могут обрабатывать ваши персональные данные. Посетитель будет уведомлен, что продолжая просмотр Сайта Оператора, он соглашается с использованием файлов «cookies» и иных методов, средств и инструментов интернет-статистики и настройки, применяемых на Сайте Оператора.
Обработка и хранение осуществляется до достижения цели обработки. При этом, срок обработки и хранения может зависеть от типа файлов «cookies»:
Сеансовые файлы «cookies» действуют с момента входа на Сайт Оператора до конца конкретной сессии работы в браузере. При закрытии браузера эти файлы автоматически удаляются.
Постоянные файлы «cookies» сохраняются на устройстве в промежутке между сессиями работы в браузере и не удаляются после закрытия браузера. Срок хранения постоянных файлов «cookies» на устройствах различается и может, в зависимости от их типа и предназначения, составлять от одного дня (например, файлы «cookies» для оптимизации работы сайта) до двух лет (например файлы «cookies», запоминающие, что пользователь ранее согласился на обработку файлов «cookies»).
Файлы «cookies» и иные аналогичные данные автоматически удаляются после достижения целей обработки.
По умолчанию настройки большинства браузеров позволяют принимать файлы «cookies». Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта Оператора могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookies», а Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.
6. Условия обработки и хранения персональных данных
6.1. Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов, третьим лицам без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами.
6.2. Согласие субъекта персональных данных может быть выражено в форме проставления специальной отметки в соответствующем поле на сайте Оператора, означающей выражение согласия на обработку указанных им персональных данных.
6.3. Выражая согласие на обработку и передачу персональных данных, субъект подтверждает, что ознакомлен и согласен с Политикой, которая применяется только к сайту Оператора.
6.4. Обработка и хранение осуществляется до достижения цели обработки. Срок обработки и хранения персональных данных субъектов составляет десять лет с даты их получения Оператором (предоставления Оператору).
6.5. Оператор обеспечивает обработку персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
6.6. Оператор прекращает обработку персональных данных в следующих случаях:
· выявлен факт их неправомерной обработки;
· достигнута цель их обработки;
· истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только
с согласия;
· прекращение деятельности Оператора.
7. Права субъекта персональных данных
7.1. Субъект персональных данных имеет право:
· требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
· требовать перечень своих персональных данных, обрабатываемых Оператором и источник их получения;
· получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
· обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
· на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
· отозвать согласие на обработку персональных данных в предусмотренных законом случаях.
7.2. Согласие может быть отозвано путём:
· направления Оператору письменного уведомления (в свободной форме) по следующему адресу: 690014, Приморский край, г. Владивосток, пр-кт Народный, зд. 11А, помещение 1;
· направления Оператору уведомления (в свободной форме) на следующий адрес электронной почты: info@bio-med.expert;
· нажатия на ссылку на отказ от рассылки («Отписаться» или иную аналогичную с ней по смыслу,
в случае наличия) в электронном письме, направленном Оператором.
8. Меры защиты персональных данных
8.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты информации, предоставляемой субъектами персональных данных, от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий с ней третьих лиц.
8.2. К таким мерам, в том числе, относятся:
· назначение ответственного за организацию обработки персональных данных;
· назначение ответственного за обеспечение безопасности персональных данных в информационных системах;
· издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных согласно требованиям Закона
о персональных данных;
· осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных, требованиям к защите персональных данных, политике
в отношении обработки персональных данных и локальным актам Оператора;
· оценка вреда, который может быть причинен субъекту в случае нарушения законодательства
Российской Федерации о персональных данных, соотношение указанного вреда и принимаемых Оператором мер;
· ознакомление работников с положениями законодательства о персональных данных, в том числе
с требованиями к их защите, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами, и (или) обучение указанных работников;
· определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
· применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
· применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
· применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
· оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
· учет машинных носителей персональных данных;
· обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
· восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с ними в информационной системе персональных данных;
· контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
9. Контакты для обращений субъектов персональных данных.
9.1. В случае возникновения вопросов по обработке персональных данных, для отзыва ранее предоставленного согласия на обработку персональных данных или реализации иных прав субъекта персональных данных, пожалуйста, свяжитесь с нами по электронной почте: info@bio-med.expert или направив заявление в письменной форме и подписанное собственноручной подписью по адресу: 690014, Приморский край, г. Владивосток, пр-кт Народный, зд. 11А, помещение 1.
10. Предоставление персональных данных третьим лицам
10.1. В связи с использованием:
· сервиса «1С-Битрикс: управление сайтом» Общество с ограниченной ответственностью «1С-Битрикс» (юридический адрес: 109544, г. Москва, бульвар Энтузиастов, д. 2, этаж 13, помещения 8-19) и его аффилированные лица могут получать предоставленные персональные данные (иметь доступ к ним). Политика обработки персональных данных Общества с ограниченной ответственностью «1С-Битрикс» размещена на интернет-сайте:
https://www.1c-bitrix.ru/about/privacy.php;
· модуля «MEDMIS» Индивидуальный предприниматель Галиев Ильмар Анварович (ИНН: 164413070008, адрес: Российская Федерация, 420087, Республика Татарстан, г. Казань, ул. Гвардейская, д.54И, офисы 407) и его аффилированные лица могут получать предоставленные персональные данные (иметь доступ к ним). Политика конфиденциальности размещена на интернет-сайте: https://www.medmis.ru;
· квиза «Марквиз» Индивидуальный предприниматель Балачков Геннадий Андреевич (ИНН: 572005461832, адрес: Российская Федерация, 302502, Орловская обл., Орловский р-н, п. Стрелецкий, ул. Центральная, дом 17) и его аффилированные лица могут получать предоставленные персональные данные (иметь доступ к ним). Политика конфиденциальности размещена на интернет-сайте: https://www.marquiz.ru/policy.
· сервиса веб-аналитики «Яндекс.Метрика» Общество с ограниченной ответственностью «Яндекс» (юридический адрес: 119021, г. Москва, вн. тер. г. Муниципальный Округ Хамовники, ул. Льва Толстого, д. 16) и его аффилированные лица могут получать предоставленные персональные данные (иметь доступ к ним). Принципы работы сервиса «Яндекс.Метрика» размещены на интернет-сайте: https://yandex.ru/support/metrica/general/how-it-works.html.