1. Общие положения
1.1. Основные понятия, используемые в Политике:
Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (Оператор) — ООО «Автограф», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных и действия (операции) с ними;
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (предоставление/доступ), обезличивание, блокирование, удаление, уничтожение;
Автоматизированная обработка — обработка с использованием средств вычислительной техники;
Распространение — действия, направленные на раскрытие данных неопределённому кругу лиц;
Предоставление — действия, направленные на раскрытие данных определённому лицу или определённому кругу лиц;
Блокирование — временное прекращение обработки (кроме случаев, когда обработка необходима для уточнения);
Уничтожение — действия, в результате которых становится невозможным восстановить содержание персональных данных.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает ООО «Автограф» (далее — Оператор).
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, включая: Конституцию РФ, ГК РФ, ТК РФ, НК РФ, Федеральный закон № 152-ФЗ «О персональных данных», законодательство РФ в сфере охраны здоровья граждан и ведения медицинской документации, устав и локальные акты Оператора, договоры, заключаемые между Оператором и субъектами персональных данных, а также согласия субъектов персональных данных (когда такое согласие требуется).
1.5. Оператор и субъекты персональных данных имеют права и обязанности, предусмотренные законодательством РФ.
1.6. Направление информационных/рекламных сообщений.
Оператор вправе направлять субъекту персональных данных информационные сообщения о сервисе, изменениях режима работы, а также рекламно-информационные сообщения (акции/предложения) при наличии законных оснований, в том числе согласия — когда оно требуется. Отказ от получения сообщений осуществляется путём направления уведомления Оператору по контактам, указанным на сайте, с пометкой «Отказ от уведомлений».
2. Цели сбора и обработки персональных данных
Обработка Оператором персональных данных осуществляется в следующих целях:
2.1. Обеспечения соблюдения Конституции РФ, федеральных законов и иных нормативных правовых актов РФ;
2.2. Исполнения судебных актов, актов иных органов/должностных лиц в случаях, установленных законодательством;
2.3. Осуществления деятельности в соответствии с уставом Оператора;
2.4. Обработки заявок/обращений/звонков, поступающих Оператору, предоставления обратной связи, организации записи на консультацию/приём;
2.5. Подготовки, заключения, исполнения и прекращения гражданско-правовых договоров (в том числе договоров оказания медицинских услуг), ведения учёта и документооборота;
2.6. Исполнения требований законодательства в сфере охраны здоровья граждан, ведения медицинской документации, обеспечения качества и безопасности медицинской деятельности;
2.7. Исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений (соискатели, работники), ведения кадрового и бухгалтерского учёта;
2.8. Взаимодействия с контрагентами и представителями контрагентов, ведения переговоров и исполнения договоров;
2.9. Обеспечения функционирования сайта, повышения удобства его использования, аналитики и улучшения сервисов (в т.ч. с использованием cookie и сервисов интернет-статистики);
2.10. Обеспечения безопасности, предотвращения мошенничества/злоупотреблений, защиты прав и законных интересов Оператора и третьих лиц.
3. Права и обязанности Оператора и субъектов персональных данных
3.1. Оператор вправе:
Получать от субъекта персональных данных достоверные сведения и/или документы, содержащие персональные данные, необходимые для достижения целей обработки;
Поручать обработку персональных данных другому лицу с соблюдением требований законодательства и при наличии соответствующего правового основания (включая согласие, если требуется);
Продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных законодательством РФ;
Отказывать в предоставлении информации в случаях, предусмотренных законодательством (например, если затрагиваются права третьих лиц).
3.2. Оператор обязан:
Организовывать обработку персональных данных в соответствии с требованиями законодательства РФ;
Принимать меры по обеспечению безопасности персональных данных;
Предоставлять субъектам персональных данных информацию об обработке их персональных данных и обеспечивать реализацию их прав в установленном порядке;
По запросу уполномоченного органа (Роскомнадзор) предоставлять необходимую информацию в установленные сроки.
3.3. Субъект персональных данных вправе:
Получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством;
Требовать уточнения, блокирования или уничтожения персональных данных при наличии оснований;
Отозвать согласие на обработку персональных данных (в случаях, когда обработка основана на согласии), с учётом того, что Оператор вправе продолжить обработку при наличии иных законных оснований;
Обжаловать действия/бездействие Оператора в Роскомнадзор или в судебном порядке.
3.4. Субъект обязан предоставлять достоверные данные и своевременно информировать Оператора об их изменении (в случаях, когда это влияет на цели обработки, например, связь по записи).
4. Порядок и условия обработки персональных данных
4.1. Категории субъектов персональных данных:
Посетители сайта (пользователи онлайн-форм);
Пациенты и их законные представители;
Соискатели, работники;
Контрагенты и представители контрагентов;
Иные лица, взаимодействующие с Оператором.
4.2. Состав персональных данных (примерный, в объёме, необходимом для целей обработки):
Для посетителей сайта: имя/ФИО (при указании), телефон, email, содержание обращения, технические данные (IP, cookie, данные браузера/устройства, сведения о посещённых страницах);
Для пациентов и представителей: ФИО, дата рождения, контактные данные, данные документа, удостоверяющего личность (при необходимости оформления договора/документов), сведения для записи и идентификации, а также специальные категории персональных данных (данные о здоровье) — в объёме, необходимом для оказания медицинских услуг и ведения медицинской документации;
Для соискателей/работников: сведения, предусмотренные трудовым законодательством и необходимыми кадровыми процедурами;
Для контрагентов: контактные и идентификационные данные представителей, реквизиты и иные сведения, необходимые для исполнения договоров.
4.3. Принципы обработки: законность, справедливость, ограничение конкретными целями, минимизация, точность и актуальность, хранение не дольше необходимого, обеспечение безопасности.
4.4. Способы получения и обработки персональных данных:
Получение информации от субъектов персональных данных в устной и/или письменной форме (в т.ч. через сайт, телефон, мессенджеры, email, при личном обращении);
Получение оригиналов и копий документов;
Внесение данных в информационные системы Оператора;
Совершение действий, направленных на достижение целей обработки (включая хранение, использование, предоставление доступа уполномоченным лицам, блокирование, удаление, уничтожение).
4.5. Передача персональных данных третьим лицам (включая трансграничную передачу) допускается при наличии правового основания, включая:
Согласие субъекта персональных данных (когда требуется);
Необходимость исполнения договора/запроса субъекта;
Требования законодательства РФ;
Поручение обработки подрядчикам/сервис-провайдерам (хостинг, ИТ-поддержка, телефония, CRM/онлайн-запись, сервисы интернет-статистики) при условии принятия ими обязательств по конфиденциальности и безопасности.
4.6. Специальные категории персональных данных (данные о здоровье).
Оператор обрабатывает данные о здоровье в случаях и объёме, допускаемых законодательством РФ, в том числе для оказания медицинских услуг, ведения медицинской документации, обеспечения качества и безопасности медицинской деятельности. При необходимости Оператор запрашивает отдельные согласия, предусмотренные законодательством.
4.7. Биометрические персональные данные (фото/видео).
Если для целей, не связанных напрямую с оказанием медицинской помощи (например, публикации «до/после», маркетинговые материалы), предполагается обработка изображений/видео, позволяющих идентифицировать лицо, такая обработка осуществляется только при наличии отдельного согласия субъекта персональных данных в форме и объёме, предусмотренных законом.
4.8. Несовершеннолетние.
Персональные данные несовершеннолетних обрабатываются с учётом требований законодательства и, при необходимости, с участием/согласием законного представителя.
4.9. Локализация персональных данных.
При сборе персональных данных граждан РФ Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных с использованием баз данных, находящихся на территории РФ, в случаях и порядке, предусмотренных законодательством.
4.10. Сроки хранения.
Оператор хранит персональные данные в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки, если иной срок не установлен законодательством РФ, договором или локальными актами Оператора (включая сроки хранения медицинской документации и бухгалтерских документов).
4.11. Условия хранения:
Персональные данные на бумажных носителях хранятся в помещениях Оператора в условиях, исключающих несанкционированный доступ (шкафы/архивы/ограничение доступа);
Персональные данные в электронном виде хранятся в информационных системах Оператора с разграничением прав доступа, использованием паролей и иных мер защиты;
При прекращении трудовых отношений/изменении полномочий доступ к персональным данным прекращается, носители и доступы передаются в установленном порядке.
4.12. Оператор не принимает решения, порождающие юридические последствия для субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки, за исключением случаев, прямо предусмотренных законом.
4.13. Меры по обеспечению безопасности персональных данных.
Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий, включая:
Назначение ответственного за организацию обработки персональных данных (Генеральный директор ООО «Автограф»);
Принятие локальных актов, регламентов и процедур по защите данных;
Оценку и минимизацию угроз безопасности при обработке персональных данных;
Разграничение доступа сотрудников к персональным данным;
Учёт и контроль документов/носителей, содержащих персональные данные;
Использование средств защиты (пароли, антивирус, резервное копирование — при необходимости);
Обучение и инструктаж работников, допущенных к обработке персональных данных.
5. Ответы на запросы субъектов. Актуализация, блокирование и уничтожение персональных данных
5.1. Порядок предоставления информации субъекту персональных данных (в соответствии с законодательством РФ):
5.1.1. Информация предоставляется субъекту персональных данных (или его представителю) по запросу. Запрос составляется в свободной форме и должен содержать:
Данные заявителя (ФИО, при необходимости — данные документа, удостоверяющего личность, контактные данные для ответа);
Сведения, подтверждающие отношения с Оператором или факт обработки персональных данных Оператором (например, дата обращения/записи, номер договора — если имеется, иные идентификаторы);
Сформулированное требование/вопрос (какую именно информацию необходимо предоставить, либо какое действие требуется: уточнение/блокирование/уничтожение);
Способ получения ответа (лично/почтой/электронно по адресу, указанному заявителем);
Подпись заявителя (для письменного запроса) либо иные данные, позволяющие идентифицировать заявителя и подтвердить полномочия представителя (если применимо).
5.1.2. Ответ предоставляется в форме, не раскрывающей персональные данные третьих лиц, за исключением случаев, предусмотренных законом.
5.1.3. Если запрос не содержит необходимых сведений или заявитель не обладает правом доступа к информации, Оператор направляет мотивированный отказ либо запрос на уточнение.
5.2. Актуализация.
При подтверждении факта неточности персональных данных Оператор актуализирует персональные данные в установленный законом срок.
5.3. Условия уничтожения персональных данных:
Достижение цели обработки персональных данных или утрата необходимости её достижения;
Истечение сроков хранения, установленных законодательством РФ/договором/локальными актами;
Выявление незаконности получения данных либо отсутствие необходимости для заявленной цели;
Отзыв согласия субъектом персональных данных — если отсутствуют иные законные основания для дальнейшей обработки;
Иные случаи, предусмотренные законодательством РФ.
5.4. Способ уничтожения:
Уничтожение на бумажных носителях производится способом, исключающим восстановление данных (шредирование/уничтожение с оформлением акта — при необходимости); в электронных системах — удалением/очисткой, исключающей восстановление в разумных пределах, согласно регламентам Оператора.
6. Cookie и сервисы интернет-статистики
6.1. Оператор может использовать на сайте файлы cookie и сервисы интернет-статистики для обеспечения корректной работы сайта, аналитики и улучшения пользовательского опыта (например, сервисы класса «Яндекс.Метрика» и/или иные аналогичные).
6.2. Согласие на обработку технических данных и данных cookie может выражаться совершением конклюдентных действий — продолжением использования сайта (если применимо к реализованной на сайте модели уведомления/баннера cookie).
6.3. Пользователь вправе ограничить использование cookie в настройках браузера. Это может повлиять на корректную работу отдельных функций сайта.
7. Заключительные положения
7.1. Настоящая Политика вступает в силу с момента утверждения Генеральным директором ООО «Автограф» и действует до её замены новой редакцией.
7.2. Во исполнение требований ч. 2 ст. 18.1 Федерального закона № 152-ФЗ настоящая Политика публикуется в свободном доступе на сайте Оператора.
7.3. Оператор вправе вносить изменения в Политику. Новая редакция вступает в силу с момента размещения на сайте, если иное не предусмотрено новой редакцией.
Реквизиты Оператора
Наименование: Общество с ограниченной ответственностью «Автограф»
ОГРН: 5157746070752 (20.11.2015)
ИНН / КПП: 7703402098 / 770401001
Юридический адрес: 119435, РФ, г. Москва, ул. Малая Пироговская, дом 16, этаж 1, пом. XII, комн. 1–8, офис 11
Телефон: 8 (495) 972-40-22
Генеральный директор: Марулиди Георгий Романович
Расчётный счёт: 40702810900330002395
Банк: Филиал «Центральный» Банка ВТБ (ПАО) г. Москва
БИК: 044525411
Корр. счёт: 30101810145250000411
Лицензия: ЛО-77-01-020661 от 20.01.2021 г.