ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Настоящая Политика конфиденциальности персональных данных (далее — Политика) действует в отношении всей информации, которую сайт «Союзмед», расположенный в сети Интернет по адресу souz-med.ru и его субдоменам, может получить о Пользователе во время использования сайта, его программ и продуктов.
1. Общие положения
1.1. Использование сайта Пользователем означает согласие с настоящей Политикой и условиями обработки персональных данных Пользователя.
1.2. В случае несогласия с условиями Политики Пользователь должен прекратить использование сайта.
1.3. Настоящая Политика применяется только к сайту «Союзмед». Сайт не контролирует и не несёт ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайте.
1.4. Администрация сайта не проверяет достоверность персональных данных, предоставляемых Пользователем, если иное не предусмотрено условиями оказания услуг или требованиями законодательства.
1.5. В настоящей Политике используются следующие термины:
1.5.1. Администрация сайта (Оператор) — ООО «Союзмед» и уполномоченные им сотрудники, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав обрабатываемых данных и действия с ними.
1.5.2. Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
1.5.3. Обработка персональных данных — любое действие (операция) или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Конкретный перечень совершаемых действий приведён в разделе 3.6 настоящей Политики.
1.5.4. Конфиденциальность персональных данных — обязательное требование не допускать распространения персональных данных без согласия субъекта или иного законного основания.
1.5.5. Пользователь сайта — физическое лицо, имеющее доступ к сайту посредством сети Интернет.
1.5.6. Cookies — небольшой фрагмент данных, отправленный веб-сервером и хранимый на устройстве Пользователя.
1.5.7. IP-адрес — уникальный сетевой адрес узла в компьютерной сети, через который Пользователь получает доступ к сайту.
1.6. Основные права и обязанности Оператора и субъектов персональных данных определяются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и конкретизируются в разделах 6 и 7 настоящей Политики.
2. Цели обработки персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора.
2.2. Персональные данные Пользователя могут использоваться в следующих целях:
2.2.1. идентификация Пользователя для обработки обращений, записи на услуги, оформления заявок и обратной связи;
2.2.2. предоставление Пользователю доступа к персонализированным разделам сайта;
2.2.3. установление обратной связи, включая направление уведомлений и запросов, касающихся использования сайта и оказания услуг;
2.2.4. оказание услуг, выполнение обязательств по договорам и обработка заявок Пользователя;
2.2.5. создание учётной записи при наличии согласия Пользователя;
2.2.6. направление уведомлений по электронной почте и иным каналам связи при наличии согласия Пользователя;
2.2.7. предоставление технической поддержки;
2.2.8. информирование о специальных предложениях, ценах, новостях при наличии согласия Пользователя;
2.2.9. осуществление рекламной деятельности с согласия Пользователя;
2.2.10. улучшение работы сайта, аналитика посещаемости, обеспечение безопасности и корректной работы сайта.
3. Объём и категории обрабатываемых персональных данных, категории субъектов персональных данных
3.1. Категории субъектов персональных данных:
3.1.1. Пользователи сайта — физические лица, самостоятельно обратившиеся через формы сайта (запись на приём, заявки, обратная связь, регистрация).
3.1.2. Представители контрагентов (юридических лиц) — физические лица, действующие от имени организаций-партнёров.
3.2. Категории персональных данных и их состав в разрезе субъектов:
3.2.1. Для Пользователей сайта — общие персональные данные: фамилия, имя, отчество; контактный телефон; адрес электронной почты; место жительства или пребывания; адрес оказания услуги или доставки (при необходимости); фотография (если требуется для оказания услуги); иные сведения, добровольно сообщённые Пользователем в обращении или заявке.
3.2.2. Для представителей контрагентов — фамилия, имя, отчество; должность; контактный телефон; адрес электронной почты.
3.3. Специальные категории персональных данных. В связи с медицинским профилем деятельности ООО «Союзмед» в рамках оказания отдельных услуг могут обрабатываться сведения о состоянии здоровья Пользователя, относящиеся к специальным категориям персональных данных в соответствии со статьёй 10 Федерального закона от 27.07.2006 № 152-ФЗ. Обработка таких данных осуществляется исключительно с письменного согласия субъекта либо на иных основаниях, предусмотренных частью 2 статьи 10 указанного Федерального закона. Биометрические персональные данные Оператором не обрабатываются.
3.4. Технические данные, автоматически передаваемые при посещении сайта: IP-адрес; данные cookies; тип и версия браузера; время доступа; адрес страницы-источника перехода (referer); иные технические сведения, необходимые для работы сайта, аналитики и обеспечения безопасности.
3.5. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
3.6. Перечень действий, совершаемых Оператором с персональными данными:
— сбор — получение персональных данных от субъекта или из иных источников;
— запись — фиксация полученных данных в информационных системах Оператора;
— систематизация — упорядочение данных по установленным признакам;
— накопление — объединение данных в базах с целью последующей обработки;
— хранение — содержание данных на носителях информации в течение установленных сроков;
— уточнение (обновление, изменение) — приведение данных в актуальное и достоверное состояние;
— извлечение — получение данных из информационной системы для их использования;
— использование — применение данных для достижения целей обработки;
— передача (предоставление, доступ) — раскрытие данных третьим лицам в случаях, предусмотренных настоящей Политикой и законодательством;
— обезличивание — действия, исключающие возможность идентификации субъекта без использования дополнительной информации;
— блокирование — временное прекращение обработки данных (за исключением случаев, если обработка необходима для уточнения данных);
— удаление — уничтожение данных в информационной системе без возможности восстановления;
— уничтожение — уничтожение данных и (или) материальных носителей, содержащих данные.
3.7. Способы обработки персональных данных: автоматизированная обработка с использованием средств вычислительной техники; неавтоматизированная обработка (с использованием бумажных носителей). Смешанная обработка допускается в случаях, когда это необходимо для достижения целей, указанных в разделе 2.
3.8. Если на сайте используются формы записи, заявки, обратной связи, онлайн-чат, CRM, мессенджеры, аналитические сервисы или рассылки, данные, передаваемые через такие сервисы, также являются персональными данными в рамках настоящей Политики.
4. Правовые основания обработки персональных данных
4.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку. В качестве таких оснований выступают:
4.1.1. Конституция Российской Федерации;
4.1.2. федеральные законы и принятые на их основе нормативные правовые акты, регулирующие деятельность Оператора, в том числе законодательство в сфере охраны здоровья граждан и оказания медицинских услуг;
4.1.3. уставные документы и локальные нормативные акты Оператора;
4.1.4. договоры, заключаемые между Оператором и субъектом персональных данных;
4.1.5. согласие субъекта персональных данных на обработку его персональных данных — в случаях, когда согласие является необходимым основанием для обработки.
4.2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» регулирует отношения, связанные с обработкой персональных данных, и закрепляет требования к операторам, однако сам по себе не является правовым основанием конкретных операций по обработке.
4.3. Обработка персональных данных должна соответствовать целям, для которых такие данные были собраны, и не должна быть избыточной по отношению к этим целям.
5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных Пользователя осуществляется законным способом — в информационных системах персональных данных с использованием средств автоматизации, а также без использования таких средств, в соответствии с требованиями законодательства Российской Федерации.
5.2. Сроки хранения персональных данных. Хранение осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки:
— данные, обрабатываемые на основании согласия субъекта, — до отзыва согласия или достижения цели обработки;
— данные, обрабатываемые в целях исполнения договора, — в течение срока действия договора и 5 лет после его прекращения, если иной срок не установлен законодательством;
— данные для целей рассылок и рекламы — до отзыва согласия субъектом персональных данных;
— технические данные (IP-адрес, cookies, логи) — не более 1 года с момента сбора, если иной срок не установлен законодательством или технической необходимостью.
В случаях, когда срок хранения установлен федеральным законом или договором, применяется установленный срок.
5.3. Хранение персональных данных граждан Российской Федерации осуществляется с использованием баз данных, находящихся на территории Российской Федерации, в соответствии с требованиями части 5 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
5.4. Условия и порядок прекращения обработки персональных данных. Обработка персональных данных прекращается при наступлении любого из следующих условий:
5.4.1. достижение целей обработки персональных данных — Оператор прекращает обработку и уничтожает (обезличивает) данные в течение 30 дней;
5.4.2. истечение срока действия согласия субъекта персональных данных — обработка прекращается в день истечения срока;
5.4.3. отзыв субъектом персональных данных согласия на обработку — обработка прекращается в течение 30 рабочих дней с даты получения отзыва, если иное не предусмотрено договором или законодательством;
5.4.4. выявление факта неправомерной обработки персональных данных — Оператор незамедлительно блокирует данные и устраняет нарушение, после чего в течение 3 рабочих дней принимает решение об уничтожении либо об устранении нарушений и продолжении обработки на законных основаниях;
5.4.5. ликвидация или реорганизация Оператора — в порядке, установленном законодательством Российской Федерации.
После прекращения обработки персональные данные подлежат уничтожению или обезличиванию, если иное не предусмотрено договором, иным соглашением с субъектом или федеральным законом.
5.4.6. Способы уничтожения персональных данных:
— уничтожение персональных данных в информационных системах — безвозвратное удаление из баз данных и резервных копий, перезапись носителей информации методами, исключающими восстановление данных (многократная перезапись, криптографическое стирание);
— уничтожение персональных данных на бумажных носителях — измельчение в шредере (степень защиты не ниже DIN 66399 уровня P-4) либо сжигание в установленном порядке;
— уничтожение персональных данных на съёмных носителях (USB, CD/DVD и иных) — физическое уничтожение носителя либо перезапись с использованием сертифицированных средств;
— факт уничтожения персональных данных оформляется актом об уничтожении персональных данных с указанием даты, способа уничтожения, состава уничтоженных данных и ответственного лица.
5.5. Оператор вправе передавать персональные данные третьим лицам только в случаях, необходимых для достижения целей обработки, на основании договора поручения на обработку персональных данных или иного законного основания:
5.5.1. курьерские службы и организации почтовой связи — для доставки корреспонденции: фамилия, имя, отчество, адрес, контактный телефон;
5.5.2. операторы электросвязи — для направления SMS- и иных уведомлений: номер телефона;
5.5.3. подрядчики по хостингу и технической поддержке сайта (хостинг-провайдер на территории Российской Федерации) — в объёме, необходимом для обеспечения работоспособности сайта;
5.5.4. CRM-системы и сервисы обработки обращений — имя, телефон, e-mail, содержание обращения — для организации записи и обработки заявок;
5.5.5. сервисы e-mail-рассылок — e-mail, имя — при наличии согласия Пользователя на рассылку;
5.5.6. аналитические сервисы (Яндекс.Метрика и/или аналогичные) — технические данные (IP, cookies) в обезличенном виде — для анализа посещаемости.
Конкретный перечень привлекаемых третьих лиц может обновляться. Актуальный перечень предоставляется по запросу субъекта персональных данных.
5.6. При передаче персональных данных третьим лицам Оператор обеспечивает соблюдение ими требований конфиденциальности и безопасности персональных данных.
5.7. Персональные данные могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством.
5.8. Трансграничная передача персональных данных. Оператор подтверждает, что трансграничная передача персональных данных (передача на территорию иностранных государств иностранным органам власти, физическим или юридическим лицам) в настоящее время не осуществляется. Все используемые сервисы и инфраструктура размещены на территории Российской Федерации либо в государствах, обеспечивающих адекватную защиту прав субъектов персональных данных. В случае если в будущем возникнет необходимость трансграничной передачи, Оператор до её начала: направит уведомление в Роскомнадзор в порядке, установленном статьёй 12 Федерального закона от 27.07.2006 № 152-ФЗ; убедится, что иностранное государство обеспечивает адекватную защиту прав субъектов, либо получит согласие субъекта на такую передачу; укажет в настоящей Политике наименование получателя, государство назначения, цели и объём передаваемых данных.
5.9. Меры, принимаемые Оператором во исполнение обязанностей, предусмотренных частью 2 статьи 18.1 и частью 1 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:
5.9.1. Назначение ответственного за организацию обработки персональных данных. Оператором назначено лицо, ответственное за организацию обработки персональных данных. Контактные данные ответственного лица: электронная почта soyuzmed@list.ru.
5.9.2. Издание локальных нормативных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства о персональных данных.
5.9.3. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ, принятых в соответствии с ним нормативных правовых актов, требований к защите персональных данных и настоящей Политики.
5.9.4. Оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 № 152-ФЗ, с учётом соотношения указанного вреда и принимаемых мер.
5.9.5. Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политикой и локальными актами Оператора.
5.9.6. Применение правовых, организационных и технических мер для обеспечения безопасности персональных данных: разграничение прав доступа к информационным системам; учёт и контроль доступа; антивирусная защита; резервное копирование; контроль актуальности программного обеспечения; использование средств криптографической защиты информации при необходимости; иные меры, соответствующие актуальным угрозам безопасности.
6. Права пользователя
6.1. Пользователь как субъект персональных данных вправе:
6.1.1. принимать решение о предоставлении своих персональных данных и давать согласие на их обработку;
6.1.2. обновлять и дополнять предоставленные персональные данные;
6.1.3. получать сведения об обработке своих персональных данных, в том числе о целях и способах обработки, наименовании и местонахождении Оператора, о лицах, имеющих доступ к данным;
6.1.4. требовать уточнения персональных данных, их блокирования или уничтожения в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
6.1.5. отзывать согласие на обработку персональных данных;
6.1.6. обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.
6.2. Для реализации своих прав Пользователь или его законный представитель направляет запрос по адресу электронной почты: soyuzmed@list.ru или по почтовому адресу Оператора.
6.3. Запрос должен содержать:
— фамилию, имя, отчество субъекта персональных данных;
— номер документа, удостоверяющего личность, дату его выдачи и наименование выдавшего органа (либо реквизиты доверенности представителя);
— сведения, подтверждающие факт взаимодействия субъекта с Оператором (номер договора, дата обращения и т.п.);
— суть обращения;
— подпись субъекта персональных данных или его представителя.
6.4. Сроки рассмотрения обращений:
— запрос на получение информации об обработке — в течение 30 календарных дней с даты получения;
— запрос на уточнение, блокирование или уничтожение данных — в течение 7 рабочих дней с даты подтверждения факта неточности или неправомерности обработки;
— отзыв согласия — прекращение обработки в течение 30 рабочих дней с даты получения отзыва.
7. Обязанности администрации
7.1. Администрация обязана использовать полученную информацию исключительно для целей, указанных в настоящей Политике.
7.2. Администрация обязана обеспечивать хранение конфиденциальной информации в тайне, не разглашать её без согласия Пользователя, за исключением случаев, предусмотренных законодательством.
7.3. Администрация обязана принимать меры по защите персональных данных Пользователя, предусмотренные разделом 5.9 настоящей Политики.
7.4. При выявлении недостоверных персональных данных или неправомерных действий с ними Администрация обязана незамедлительно блокировать такие данные на период проверки.
7.5. При наступлении условий прекращения обработки, предусмотренных разделом 5.4 настоящей Политики, персональные данные подлежат уничтожению или обезличиванию в установленные сроки, если иное не предусмотрено законодательством.
8. Актуализация, исправление, удаление и уничтожение персональных данных. Ответы на запросы субъектов
8.1. При подтверждении факта неточности персональных данных или неправомерности их обработки Оператор обязан произвести их актуализацию (уточнение) либо прекратить обработку в течение сроков, установленных статьёй 21 Федерального закона от 27.07.2006 № 152-ФЗ.
8.2. При достижении целей обработки, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор уничтожает персональные данные, если:
— иное не предусмотрено договором, стороной которого является субъект персональных данных;
— Оператор не вправе осуществлять обработку без согласия субъекта на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами;
— иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.
8.3. Оператор обязан предоставить субъекту персональных данных или его представителю информацию об осуществляемой обработке его персональных данных по запросу в порядке, предусмотренном статьёй 20 Федерального закона от 27.07.2006 № 152-ФЗ.
8.4. Регламент реагирования на запросы субъектов персональных данных: субъект направляет запрос способами, указанными в разделе 6.2; Оператор идентифицирует заявителя по реквизитам, указанным в разделе 6.3; Оператор направляет ответ в сроки, установленные разделом 6.4; при необходимости дополнительной проверки срок может быть продлён с уведомлением заявителя.
9. Cookies и метрические программы
9.1. Виды используемых cookies. На сайте могут использоваться следующие виды cookies:
— технически необходимые cookies — обеспечивают базовую работу сайта (авторизация, навигация, сохранение параметров сессии); не требуют согласия пользователя;
— функциональные cookies — запоминают пользовательские настройки (язык, регион, параметры отображения); не требуют согласия пользователя;
— аналитические cookies — используются для сбора статистики посещаемости и анализа поведения пользователей; требуют согласия пользователя в случаях, предусмотренных законодательством;
— рекламные cookies — используются для показа персонализированной рекламы при наличии явного согласия пользователя.
9.2. Метрические программы. На сайте используется сервис веб-аналитики Яндекс.Метрика (оператор: ООО «Яндекс», Россия). С помощью данного сервиса могут собираться и обрабатываться следующие данные:
— IP-адрес пользователя (в усечённом или полном виде, в зависимости от настроек сервиса);
— данные о браузере (тип, версия, язык интерфейса);
— операционная система и тип устройства;
— дата и время посещения страниц;
— адреса просматриваемых страниц сайта (URL);
— источник перехода (поисковый запрос, ссылка с другого сайта, прямой переход);
— действия на сайте (клики, скроллинг, заполнение форм — в обезличенном виде);
— идентификатор сессии и пользовательские идентификаторы (в обезличенном виде);
— географическое положение (на уровне города, определяемое по IP-адресу).
Указанные данные используются исключительно для целей анализа посещаемости и улучшения работы сайта. Обработка данных аналитическим сервисом осуществляется в соответствии с политикой конфиденциальности ООО «Яндекс». Данные не используются для идентификации конкретного физического лица.
9.3. Пользователь может ограничить или отключить cookies в настройках браузера, а также отказаться от передачи данных в Яндекс.Метрику, установив браузерное расширение «Яндекс.Метрика: блокировка» или воспользовавшись иными аналогичными инструментами. Отключение cookies может повлиять на работоспособность отдельных функций сайта.
9.4. Если на сайте используются cookies, требующие отдельного согласия Пользователя, такое согласие запрашивается в форме уведомления (баннера) при первом посещении сайта. Пользователь вправе отозвать ранее данное согласие, изменив настройки браузера или обратившись к Оператору.
10. Ответственность и инциденты
10.1. Администрация несёт ответственность за убытки, понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации.
10.2. Администрация не несёт ответственности, если информация: стала публичным достоянием до её утраты или разглашения; была получена от третьей стороны до момента получения Администрацией; была разглашена с согласия Пользователя.
10.3. При выявлении инцидента, повлёкшего неправомерный доступ, утрату или разглашение персональных данных, Оператор в течение 24 часов уведомляет Роскомнадзор о произошедшем инциденте, а в течение 72 часов — о результатах внутреннего расследования. При необходимости Оператор уведомляет затронутых субъектов персональных данных.
11. Разрешение споров
11.1. До обращения в суд обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).
11.2. Получатель претензии в течение 30 календарных дней уведомляет заявителя о результатах её рассмотрения.
11.3. При недостижении соглашения спор рассматривается в суде по месту нахождения Оператора в соответствии с законодательством Российской Федерации.
11.4. К настоящей Политике и отношениям между Пользователем и Администрацией применяется законодательство Российской Федерации.
12. Заключительные положения
12.1. Администрация вправе вносить изменения в настоящую Политику без предварительного согласия Пользователя.
12.2. Новая редакция Политики вступает в силу с момента её размещения на сайте. Продолжение использования сайта после вступления в силу новой редакции означает согласие Пользователя с внесёнными изменениями.
12.3. Настоящая Политика находится в открытом доступе и размещена по адресу: https://souz-med.ru/politika-konfidentsialnosti/. Любое заинтересованное лицо вправе ознакомиться с ней без ограничений.
12.4. Все предложения или вопросы по настоящей Политике следует направлять по адресу электронной почты: soyuzmed@list.ru.
