1. Общие положения
Настоящая Политика обработки персональных данных в сети Интернет на сайте https://medtouch.org/ (далее – Политика) является официальным документом, устанавливающим правила обработки и защиты персональных данных физических лиц, использующих указанный сайт, Обществом с ограниченной ответственностью «МЕДГУРУ» (ИНН 7716860313, ОГРН 1177746556130), расположенной по адресу: 123060, г. Москва, ул. Маршала Рыбалко, дом 2, корпус 6, помещение I, комната 5, офис 722 (далее – Оператор).
1.1. Действующая редакция Политики является общедоступным документом и опубликована по адресу: https://privacy.medtouch.org/. Оператор вправе изменять текст Политики путем размещения новой редакции Политики по ее постоянному адресу.
1.2. Политика разработана в соответствии с: Конвенцией о защите физических лиц при автоматизированной обработке персональных данных (Заключена в г. Страсбурге 28.01.1981); Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных); Гражданским кодексом Российской Федерации; Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; иными нормативными правовыми актами Российской Федерации в области персональных данных и локальными нормативными актами Оператора.
2. Основные понятия
2.1. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.2. Запись персональных данных – процесс внесения информации, содержащей персональные данные, на любые материальные и/или электронные носители информации с целью сохранения и последующего воспроизведения записанной информации;
2.3. Конфиденциальность персональных данных – обязательное для выполнения лицом, получившим доступ к персональным данным, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
2.4. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.5. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых Оператором с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.6. Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Для целей настоящей Политики под Оператором понимается ООО «МЕДГУРУ»;
2.7. Передача персональных данных – действия, направленные на сообщение персональных данных третьей стороне в заранее определенных целях;
2.8. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2.9. Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
2.10. Пользователь – физическое лицо, посещающее Сайт и просматривающее страницы Сайта, осуществляющее иное использование Сайта;
2.11. Сайт – сайт Оператора в сети Интернет по адресу: https://medtouch.org/;
2.12. Сбор персональных данных – действия Оператора, направленные на получение персональных данных непосредственно от субъектов персональных данных;
2.13. Субъект персональных данных – физическое лицо, персональные данные которого обрабатываются Оператором. Для целей настоящей Политики под субъектами персональных данных понимаются Пользователи сайта;
2.14. Удаление персональных данных – действия, в результате которых прекращается хранение обрабатываемых персональных данных на материальных носителях по достижению цели их обработки или вследствие направления запроса субъекта персональных данных об удалении его персональных данных;
2.15. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных, ранее записанное на какой-либо материальный носитель, и (или) в результате которых уничтожаются материальные носители персональных данных;
2.16. Уточнение персональных данных – исправление какого-либо дефекта в существующих персональных данных, например, их неполноты или неточности;
2.17. Файлы cookie – небольшие текстовые файлы, которые сохраняются на устройство, используемое субъектом персональных данных для работы с Сайтом (персональный компьютер, смартфон, планшетный компьютер и т.д.). Данные файлы содержат сведения, которые необходимы для работы Сайта (информация о настройках браузера, о просмотренных страницах, о настройках интерфейса Сайта и т.п.);
2.18. Хранение персональных данных – поддержание персональных данных в неизменном состоянии после их сохранения, обеспечивающее возможность их последующего считывания в произвольный момент времени.
3. Обработка персональных данных
3.1. Оператор осуществляет обработку персональных данных в соответствии с принципами:
3.1.1. законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
3.1.2. достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
3.1.3. обработки только персональных данных, которые отвечают целям их обработки;
3.1.4. соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
3.1.5. недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
3.1.6. обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;
3.1.7. хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
3.2. При передаче персональных данных субъектов обработки персональных данных, работники, допущенные к обработке персональных данных, должны соблюдать следующие требования:
3.2.1. Не сообщать персональные данные третьим лицам без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом;
3.2.2. Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
3.2.3. Предупреждать лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные субъекта персональных данных, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
3.2.4. С третьими лицами, получающими персональные данные от Оператора, должно быть заключено соглашение о конфиденциальности передаваемых персональных данных, которое включает разъяснения касательно порядка обработки персональных данных, целей обработки, способов защиты персональных данных, недопустимости передачи персональных данных или их распространения, ответственности за нарушение конфиденциальности персональных данных.
3.2.5. Правовым основанием для передачи персональных данных является согласие субъекта персональных данных на передачу третьим лицам. В согласии субъекту персональных данных сообщаются сведения о лице, которому передаются его персональные данные, сведения о персональных данных, которые передаются, и целях их передачи.
3.2.6. Оператор не осуществляет трансграничную передачу персональных данных.
4. Категории и субъекты персональных данных
4.1. Оператор осуществляет обработку персональных данных следующих категорий субъектов персональных данных, собираемых посредством Сайта:
Персональные данные Лекторов
4.2. К персональным данным Лекторов, обрабатываемым Оператором на Сайте, относятся следующие сведения:
4.3. Целями обработки персональных данных Лекторов являются:
4.3.1. ведение переговоров в целях сотрудничества и заключения договоров на проведение лекций, участия в мероприятиях;
4.3.2. Публикация сведений о лекторах на Сайте для информирования Пользователей Сайта.
4.4. Правовыми основаниями обработки персональных данных лекторов являются:
4.4.1. законодательство Российской Федерации в области защиты персональных данных, включая Федеральный закон от 27.07.2006 № 152-ФЗ;
4.4.2. пункт 7 части 1 статьи 79 Федерального закона от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и приказ Минздрава России от 30 декабря 2014 года № 956н;
4.4.3. согласие на распространение персональных данных.
Персональные данные Пользователей Сайта
4.5. К персональным данным, обрабатываемым Оператором при регистрации Пользователей на Сайте, относятся следующие сведения:
4.6. К персональным данным, обрабатываемым Оператором при заполнении Пользователем Сайта анкеты в Личном кабинете, относятся следующие сведения:
4.7. К персональным данным, обрабатываемым Оператором при заполнении Пользователем формы для чата со службой поддержки, относятся следующие сведения:
4.8. К персональным данным, обрабатываемым Оператором при оформлении Пользователем подписки на рассылку, относятся следующие сведения:
4.9. Оператор обрабатывает персональные данные субъектов персональных данных в следующих целях:
4.9.1. персональные данные, указанные в пункте 4.5. – в целях предоставления Личного кабинета на сайте, для предоставления информационных материалов, для формирования уважительного обращения к пользователю при взаимодействии, а также для направления поздравлений с днем рождения;
4.9.2. персональные данные, указанные в пункте 4.6. – в целях пользования Сайтом;
4.9.3. персональные данные, указанные в пункте 4.7. – в целях оперативного предоставления ответов на вопросы Пользователей;
4.9.4. персональные данные, указанные в пункте 4.8. – в целях использования в маркетинговых целях (рассылка новостей, уведомлений, рекламы, информационных материалов и проч.).
4.10. Правовыми основаниями обработки персональных данных Пользователей Сайта являются:
4.10.1. законодательство Российской Федерации в области защиты персональных данных, включая Закон о персональных данных;
4.10.2. настоящая Политика;
4.10.3. согласие субъекта на обработку его персональных данных, за исключением случаев, когда обработка персональных данных допускается без согласия субъекта персональных данных.
4.11. Обработка персональных данных субъектов персональных данных допускается в следующих случаях:
4.11.1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
4.11.2. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
4.11.3. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;
4.11.4. обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъектов персональных данных;
4.11.5. обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, при условии обязательного обезличивания персональных данных.
4.12. Согласие предоставляется путем проставления галочки «Я даю согласие на обработку моих персональных данных и ознакомился с условиями Политики обработки персональных данных в сети Интернет» в чек-боксе на Сайте в следующих случаях:
4.13. Согласие субъекта персональных данных на получение информационных и рекламных рассылок предоставляется путем проставления галочки «Я даю согласие на обработку моих персональных данных и получение информационной и рекламной рассылки на условиях Политики обработки персональных данных в сети Интернет» по электронным каналам связи при регистрации в личном кабинете. В случае проставления такой галочки Пользователь считается предоставившим предварительное согласие по смыслу части 1 статьи 15 Закона о персональных данных.
4.14. Оператор осуществляет следующие действия по обработке персональных данных: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных.
4.15. Оператор осуществляет обработку персональных данных автоматизированным способом (с использованием средств автоматизации).
4.16. Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
5. Обработка файлов cookie
5.1. Оператор собирает и обрабатывает данные, которые автоматически передаются Сайту в процессе его использования, в том числе IP-адрес, данные файлов cookie, информацию о браузере субъекта персональных данных, технические характеристики оборудования и программного обеспечения, используемого субъектом персональных данных и иную подобную информацию.
5.2. Оператор собирает и обрабатывает данные, указанные в пункте 5.1. в целях улучшения работы сайта и предоставления клиентам персонализированной информации о продуктах, наиболее соответствующих их ожиданию.
5.3. Субъект персональных данных вправе по своему желанию отказаться от приема на свое устройство файлов cookie. Для этого субъект персональных данных может отказаться от использования Сайта или ввести соответствующие настройки в своем браузере.
5.4. На Сайте используются следующие типы файлов cookie:
5.4.1. Технические файлы cookie: они необходимы для корректной работы Сайта и вспомогательных сервисов. Такие файлы cookie позволяют определять аппаратное и программное обеспечение устройства Пользователя; выявлять ошибки при работе Сайта; тестировать новые функции для повышения производительности Сайта.
5.4.2. Файлы cookie для аутентификации: они необходимы, чтобы запоминать Пользователей. Благодаря таким файлам Пользователю при новом посещении Сайта не нужно заново вводить авторизационные данные.
5.4.3. Аналитические файлы cookie: они позволяют подсчитывать количество Пользователей Сайта; определять, какие действия Пользователь совершает на Сайте (посещаемые страницы, время и количество просмотренных страниц). Сбор аналитических данных осуществляется через партнеров, в том числе Google Analytics, Yandex Metrika, Facebook Business.
5.4.4. Рекламные файлы cookie: они помогают анализировать, из каких источников Пользователь перешел на Сайт, а также персонализировать рекламные сообщения.
5.5. Срок хранения файлов cookie зависит от конкретного типа, но в любом случае не превышает срока, необходимого для достижения целей обработки персональных данных.
5.6. При посещении Сайта Оператор запрашивает согласие Пользователя на использование файлов cookie.
5.7. Для прекращения обработки файлов cookie Пользователь может изменить настройки используемых браузеров на всех устройствах (компьютер, мобильные устройства).
5.8. При отказе от использования файлов cookie отдельные функции Сайта могут быть недоступными, что повлияет на возможность использования Сайта.
6. Права и обязанности субъекта персональных данных
6.1. Субъект персональных данных имеет право на получение сведений, касающихся обработки персональных данных, в том числе содержащей:
6.1.1. подтверждение факта обработки персональных данных Оператором;
6.1.2. правовые основания и цели обработки персональных данных;
6.1.3. цели и применяемые Оператором способы обработки персональных данных;
6.1.4. наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
6.1.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6.1.6. сроки обработки персональных данных, в том числе сроки их хранения;
6.1.7. порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
6.1.8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
6.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.
6.2. Субъект персональных данных имеет право требовать от Оператора уточнения его персональных данных или их уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3. Субъект персональных данных имеет право обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке в случае осуществления Оператором обработки его персональных данных с нарушением требований Закона о персональных данных или иным нарушением прав и свобод субъекта персональных данных.
6.4. Субъект персональных данных обязан своевременно информировать Оператора об изменениях своих персональных данных.
7. Обязанности Оператора
7.1. Оператор при обработке персональных данных субъектов персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.2. Оператор обязуется:
7.2.1. предоставить безвозмездно субъекту персональных данных возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных;
7.2.2. в срок, не превышающий 7 (Семи) рабочих дней со дня предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, внести в них необходимые изменения;
7.2.3. в срок, не превышающий 7 (Семи) рабочих дней со дня представления субъектом персональных данных сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уничтожить такие персональные данные;
7.2.4. уведомить субъекта персональных данных о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта персональных данных были переданы;
7.2.5. в случае выявления неточных персональных данных или неправомерной обработки персональных данных при обращении субъекта персональных данных, либо по запросу уполномоченного органа по защите прав субъектов персональных данных, осуществить блокирование таких персональных данных с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц;
7.2.6. в случае выявления неправомерной обработки персональных данных, срок, не превышающий 3 (Трех) рабочих дней с даты этого выявления, прекратить неправомерную обработку персональных данных; в случае, если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 (Десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожить такие персональные данные, о чем уведомить субъекта персональных данных, а также при поступлении запроса от уполномоченного органа по защите прав субъектов персональных данных, также указанный орган;
7.2.7. прекратить обработку персональных данных и уничтожить персональные данные в случае достижения цели обработки персональных данных в срок, установленный действующим законодательством Российской Федерации;
7.2.8. прекратить обработку персональных данных и уничтожить персональные данные в случае отзыва субъектом персональных данных согласия на обработку его персональных данных в срок, установленный действующим законодательством Российской Федерации;
7.2.9. обеспечивать конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями действующего законодательства Российской Федерации;
7.2.10. не раскрывать третьим лицам и не распространять персональные данные без согласия на то субъекта персональных данных, если иное не предусмотрено федеральным законом.
8. Обращения субъектов персональных данных (их представителей)
8.1. В целях получения информации, касающейся обработки персональных данных, а также реализации других прав, субъект персональных данных или его представитель вправе направить запрос уполномоченному лицу в письменной форме по одной из электронных почт: [email protected], [email protected] и(или) [email protected].
8.2. Оператор сообщает в порядке, предусмотренном статьей 14 Закона о персональных данных, субъекту персональных данных информацию о наличии персональных данных, относящихся к нему, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных либо в течение 30 (Тридцати) дней с даты получения запроса.
8.3. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных при их обращении Оператор дает в письменной форме мотивированный ответ с основаниями отказа, в срок, не превышающий 30 (Тридцати) дней со дня обращения субъекта персональных данных либо с даты получения запроса.
8.4. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных посредством направления запроса по электронной почте на следующие адреса: [email protected], [email protected] и [email protected]. Оператор прекращает обработку персональных данных и обеспечивает их уничтожение или обезличивание в течение 30 (Тридцати) дней со дня получения отзыва.
9. Заключительные положения)
9.1. С момента размещения на Сайте новой редакции Политики предыдущая редакция считается утратившей свою силу. Продолжая использование Сайта, субъект персональных данных признается ознакомленным с изменениями и принявшим их.
9.2. В случае изменения действующего законодательства Российской Федерации настоящая Политика действует в части, не противоречащей действующему законодательству.
9.3. Оператор гарантирует конфиденциальность персональных данных и законность их обработки в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Приложение. Сведения о реализуемых требованиях к защите персональных данных
В целях обеспечения безопасности обработки персональных данных субъектов персональных данных, соблюдения прав субъектов персональных данных, предписаний Политики, законодательства Российской Федерации, Оператор принимает организационно-правовые и технические меры, препятствующие утечке, потере персональных данных, неправомерному или случайному доступу третьих лиц к персональным данным, уничтожению, блокированию, изменению, искажению, копированию и распространению персональных данных.
Оператор реализует следующие организационно-правовые меры:
1) назначено должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе;
2) принята Политика, иные локальные нормативные акты в целях установления правового режима обработки персональных данных;
3) утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей, установлены индивидуальные пароли доступа лиц в информационную систему в соответствии с их служебными обязанностями;
4) проводится ознакомление сотрудников и иных лиц с правилами Политики и требованиями законодательства к обработке и защите персональных данных субъектов персональных данных, а также обучение сотрудников, непосредственно осуществляющих работу с персональными данными;
5) создана система защиты персональных данных;
6) организован учет машинных носителей персональных данных;
7) проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных;
8) проводятся периодические проверки соблюдения порядка обработки и обеспечения безопасности персональных данных.
Оператор реализует следующие технические меры:
1) организация режима обеспечения безопасности помещений, в которых размещена информационная система персональных данных, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
2) обеспечение сохранности носителей персональных данных;
3) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
4) принятие мер в случае обнаружения фактов несанкционированного доступа к персональным данным;
5) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
6) использование сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;
7) использовании сертифицированного программного средства защиты информации от несанкционированного доступа;
8) использование сертифицированных межсетевых экранов и средств обнаружения вторжения;
9) использование защищенного протокола https.
Оператор не несет ответственности за утечку, потерю, неправомерный или случайный доступ третьих лиц, уничтожение, блокирование, изменение, искажение, копирование, распространение персональных данных субъектов персональных данных, вызванные их самостоятельными действиями, действиями третьих лиц, иные обстоятельствами вне разумного контроля Оператора.
Предыдущие редакции документа: