Политика обработки, хранения и конфиденциальности персональных данных
1. Общие положения
1.1. Настоящая Политика в отношении обработки, хранения и конфиденциальности персональных данных (далее – Политика) подготовлена в соответствии
с п. 2 ч. 1 ст. 18.1 Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 года и определяет позицию
ООО "Яблоков и Ко" (далее – Организация) в области обработки и защиты персональных данных,
в отношении соблюдения прав и свобод физического лица (субъекта персональных данных), описывает особенности сбора, хранения, использования и передачи персональных данных, реализуемые требования к их защите, а также информацию о правах лиц, к которым относятся соответствующие персональные данные.
1.2. Под персональными данными понимается любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу.
1.3. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации и/или без использования таких средств. К таким действиям (операциям) относятся в частности: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), сопоставление, обезличивание, блокирование, удаление, уничтожение персональных данных.
1.4. Под безопасностью персональных данных понимается защищенность персональных данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
1.5. Политика распространяется в том числе на все действия, связанные с обработкой персональных данных на сайте https://acula-clinic.ru (далее – Сайт) Организации, в информационных системах Организации.
1.6. Использование Сайта и (или) предоставление персональных данных при звонке на контактные номера телефонов Организации субъектом персональных данных также означает его безоговорочное согласие с правилами настоящей Политики и указанными в ней условиями. Если субъект персональных данных не согласен с условиями настоящей Политики, субъекту персональных данных следует воздержаться от использования Сайта.
1.7. Настоящая Политика распространяется на персональные данные, полученные как до, так и после ввода в действие настоящей Политики.
2. Правовые основания и цели обработки персональных данных Организацией
2.1. Организация осуществляет обработку и обеспечивает безопасность персональных данных для осуществления возложенных на Организацию законодательством Российской Федерации функций, полномочий и обязанностей в том числе, но не ограничиваясь, в соответствии с Конституцией Российской Федерации, Федеральными законами Российской Федерации, в частности Федеральным законом №152-ФЗ от 27 июля 2006 года "О персональных данных", подзаконными актами, другими нормативными актами и законами и кодексами, определяющими случаи и особенности обработки указанных персональных данных, а также операторами персональных данных, Уставом и локальными актами Организации.
2.2. Организация является оператором персональных данных в соответствии с законом Российской Федерации.
2.3. Обработка персональных данных может осуществляться Организацией в следующих случаях и на следующих правовых основаниях:
-
обработка персональных данных осуществляется только с согласия субъекта персональных данных, выраженного в любой форме, позволяющей подтвердить факт получения согласия, в том числе способами, указанными в п. 1.6. настоящей Политики;
-
для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора персональных данных функций, полномочий и обязанностей;
-
для оказания Организацией пользователю Сайта, являющемуся субъектом персональных данных, обладающему необходимым объемом дееспособности и имеющему намерение оформить или оформляющим заявку на запись на прием или получение обратного звонка через Сайт, услуги записи на прием к специалисту Организации, а также предоставлению информации об оказываемых услугах путем обратного звонка;
-
для оказания Организацией физическим лицам услуги записи на прием к специалисту Организации, а также предоставлению информации об оказываемых услугах, а также иной информации, путем звонка на контактные номера телефонов Организации;
-
для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и субъектом персональных данных;
-
в статистических или иных маркетинговых и исследовательских целях при условии обязательного обезличивания персональных данных;
-
в иных целях, предусмотренных настоящей Политикой.
2.4. Субъектами персональных данных, персональные данные которых обрабатываются посредством Сайта и работниками Организации, являются, пользователи Сайта и получатели услуг (если пользователь указал в качестве получателя услуг иное лицо); любые иные физические лица, обращающиеся в Организацию с заявлениями/обращениями.
2.5. Организация осуществляет обработку персональных данных субъектов персональных данных, указанных в п. 2.4. настоящей Политики для:
-
записи на прием к специалисту Организации;
-
предоставления информации об услугах, акциях и специальных предложениях;
-
информирования о статусе услуги;
-
содействия в урегулировании претензий;
-
предоставление возможности оставлять отзывы об услугах и сотрудниках Организации;
-
анализа качества предоставляемых Организацией услуг и улучшению качества обслуживания клиентов Организацией;
-
идентификации субъектов персональных данных в акциях, обеспечения процедуры начисления, учета, использования скидочных программ субъектов персональных данных.
3. Категории персональных данных, обрабатываемых Организацией
3.1. Организация обрабатывает следующие категории персональных данных субъектов персональных данных и иных лиц, указанных п. 2.4. настоящей Политики:
-
сведения, полученные при оформлении заявки на Сайте (фамилия, имя, отчество, дата рождения, номер телефона, адрес электронной почты, cookie);
-
сведения, полученные при взаимодействии с субъектами персональных данных по телефонам Организации (фамилия, имя, отчество, дата рождения, номер телефона, сведения о состоянии здоровья);
-
сведения, полученные при взаимодействии с субъектами персональных данных непосредственно на территории Организации при заключении договора на оказание платных медицинских услуг и в процессе выполнении обязательств по нему (фамилию, имя, отчество, дата рождения, пол, номер телефона, паспортные данные, адрес, ИНН, сведения о семейном положении, сведения о роде занятий, сведения о состоянии здоровья);
-
сведения о претензиях субъекта персональных данных (переданных субъектом персональных данных с помощью Сайта, контактных номеров телефонов Организации или иным образом);
-
размещенные субъектом персональных данных отзывы об услугах и сотрудниках Организации;
-
информацию о геолокации.
3.2. Организация обрабатывает следующие категории персональных данных субъектов персональных данных, обращающихся в Организацию с заявлениями о предполагаемом нарушении их прав: фамилия, имя, отчество, паспортные данные (данные иного документа, удостоверяющего личность), контактная информация (номера телефонов и (или) факса, адрес электронной почты) правообладателя или иного лица, чье право предположительно было нарушено, и (или) заявителя, если он действует в качестве уполномоченного представителя правообладателя или иного лица, чье право предположительно было нарушено, информацию о полученных заявлениях, ходе и результате их рассмотрения.
3.3. Персональные данные, указанные в пунктах настоящего раздела выше, могут быть получены Организацией в ходе предоставления физическим лицом персональных данных путем заполнения соответствующих форм на Сайте, посредством направления корреспонденции или электронных писем на адрес электронной почты Организации, а также путем звонка на контактные номера телефонов Организации.
4. Принципы и условия обработки Персональных Данных
4.1. При обработке персональных данных Организация придерживается следующих принципов:
-
обработка персональных данных осуществляется на законной основе;
-
персональные данные не раскрываются третьим лицам и не распространяются без согласия субъекта персональных данных, за исключением предусмотренных законодательством России Федерации случаев;
-
определение конкретных законных целей до начала обработки (в т. ч. сбора) персональных данных;
-
бъединение баз данных, в том числе, баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой, не допускается;
-
обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
-
обрабатываемые персональные данные подлежат уничтожению или обезличиванию при отзыве согласия на их обработку субъектом персональных данных, по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом;
-
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
-
при обработке персональных данных обеспечивается точность персональных данных и их достаточность, в случаях необходимости, а также актуальность персональных данных по отношению к заявленным целям их обработки;
-
хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом или договором, стороной, выгодоприобретателем или поручителем которого, является субъект персональных данных.
4.2. Организация не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, личной жизни, членства в общественных объединениях, в том числе в профессиональных союзах, биометрических данных. Организация не осуществляет голосовой ввод и верификацию персональных данных с использованием незащищенных каналов передачи данных. Передача данных субъектами персональных данных работникам Организации носит добровольный характер и подразумевает, что полученные данные будут использованы в соответствии с настоящей Политикой.
4.3. Организация обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории России, и не осуществляет трансграничную передачу персональных данных.
4.4. Организация вправе поручить обработку персональных данных посредством совершения действий, указанных в п. 1.3. настоящей Политики третьим лицам, в том числе третьим лицам, перечисленным в п. 4.5. настоящей Политики, с согласия субъекта персональных данных, выраженного путем предоставления согласия, на основании заключаемого с такими третьими лицами договора, в следующих случаях:
-
для обработки обращений посредством голосовых и неголосовых каналов связи, включая электронную почту, онлайн-чат, приложения для мобильных устройств и (или) социальные сети;
-
в целях оказания услуги записи на прием к специалисту Организации, предоставления информации об оказываемых услугах, а также иной информации;
-
в целях анализа качества предоставляемых Организацией услуг и улучшению качества обслуживания;
-
в целях подготовки персональных предложений и условий обслуживания;
-
в целях персонализации рекламы;
-
в целях отправки рекламных и информационных сообщений;
4.5 Организация вправе передавать персональные данные третьим лицам с согласия субъекта персональных данных в следующих случаях:
-
службам доставки и АО «Почта России» для целей исполнения заявки/заявления/требования/претензии субъекта персональных данных, в том числе при условии получения Организацией заявления о нарушении интеллектуальных или иных прав третьих лиц, в целях урегулирования полученных претензий, а также в случае получения иных заявлений, отзывов, претензий, жалоб, сообщений или документов;
-
в целях возможности защиты прав и законных интересов Организации или третьих лиц в случаях, когда субъект персональных данных нарушает какие-либо условия пользовательских документов Сайта и (или) настоящей Политики;
-
по вступившему в силу судебному решению или в случаях, установленных действующим законодательством.
4.6 В целях улучшения качества обслуживания субъектов персональных данных, статистических или иных маркетинговых и исследовательских целях, Организация развивает, совершенствует, оптимизирует и внедряет новый функционал Сайта. Для обеспечения указанного, субъект персональных данных соглашается и поручает Организации осуществлять с соблюдением применимого законодательства обработку (включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), сопоставление, извлечение, использование, обезличивание, блокирование, удаление и уничтожение) учетных и любых иных персональных данных субъекта персональных данных, в том числе имеющихся в распоряжении партнера, действующего по поручению Организации, передачу имеющихся в распоряжении Организации учетных и любых иных персональных данных субъекта персональных данных партнерам во исполнение такого поручения на обработку и получение от партнеров по итогам обработки аналитической информации, включая результатов автоматизированной обработки таких данных, в том числе в виде целочисленных и/или текстовых значений и идентификаторов.
4.7 Организация вправе передавать персональные данные третьим лицам с согласия субъекта персональных данных, а также в случаях, когда возможность передачи персональных данных третьим лицам прямо предусмотрена законодательством Российской Федерации не требуют согласия субъекта персональных данных.
4.8 Персональные данные субъекта персональных данных могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
4.9 В целях исполнения требований действующего законодательства Российской Федерации и своих обязательств обработка персональных данных Организацией осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4.10 Организация не осуществляет принятия решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
4.11 Организация не проверяет и, как правило, не имеет возможности проверить актуальность и достоверность предоставляемой субъектами персональных данных сведений, полученных посредством Сайта. Организация исходит из того, что субъекты персональных данных, действуя разумно и добросовестно, предоставляют достоверные и достаточные персональные данные и поддерживают их в актуальном состоянии.
5. Права субъектов персональных данных
5.1. Субъект персональных данных, персональные данные которого обрабатываются Организацией, имеет право:
-
в любой момент изменить (обновить, дополнить) предоставленные им персональные данные, путем их предоставления Организации;
-
удалить предоставленные им персональные данные путем направления
-
Организации письменного уведомления с указанием персональных данных, которые должны быть удалены;
-
получать от Организации:
-
подтверждение факта обработки персональных данных и сведения о наличии персональных данных, относящихся к соответствующему субъекту персональных данных;
-
подтверждение факта обработки персональных данных и сведения о наличии персональных данных, относящихся к соответствующему субъекту персональных данных;
-
сведения о правовых основаниях и целях обработки персональных данных;
-
сведения о применяемых Организацией способах обработки персональных данных;
-
сведения о наименовании и местонахождении Организации;
-
сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организацией или на основании Федерального закона;
-
обрабатываемые персональные данные, относящиеся к субъекту персональных данных, и информацию об источнике их получения, если иной порядок предоставления таких персональных данных не предусмотрен законодательством;
-
сведения о сроках обработки персональных данных, в том числе о сроках их хранения;
-
сведения о порядке осуществления субъектом персональных данных прав, предусмотренных законодательством о персональных данных;
-
наименование и адрес лиц, осуществляющих обработку персональных данных по поручению Организации;
-
иные сведения, предусмотренные Законом;
-
требовать от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
-
отозвать свое согласие на обработку персональных данных в любой момент, направив электронное сообщение с электронной подписью на адрес электронной почты: Acula-Clinic@yandex.ru либо направив письменное уведомление по адресу Организации: 125230, г. Москва, Войковский р-н, ул. Нарвская, д.1А, корп.4, помещение XII. После получения такого сообщения обработка персональных данных субъекта персональных данных будет прекращена, а его персональные данные будут удалены, за исключением случаев, когда обработка может быть продолжена в соответствии с законодательством Российской Федерации. При этом направление такого сообщения об отзыве согласия субъектом персональных данных также должно считаться уведомлением об одностороннем отказе от исполнения соответствующей заявки на выполнение услуги и влечет невозможность её исполнения;
-
требовать устранения неправомерных действий Организации в отношении его персональных данных;
-
принимать предусмотренные законом меры по защите своих прав и законных интересов, в том числе на возмещения убытков и (или) компенсацию морального вреда в судебном порядке.
5.2. Права, предусмотренные подпунктами настоящего раздела выше, могут быть ограничены в соответствии с требованиями законодательства Российской Федерации и (или) в случаях, когда Организация осуществляет обработку персональных данных на иных правовых основаниях, нежели согласие субъекта персональных данных.
6. Обязанности Организации
В соответствии с требованиями Закона Организация обязана:
-
предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;
-
по требованию субъекта персональных данных уточнять, блокировать или удалять обрабатываемые персональные данные, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих эти факты;
-
вести журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам;
-
уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи:
-
субъект персональных данных уведомлен об осуществлении обработки Организацией его персональных данных;
-
персональные данные получены Организацией в связи с исполнением договора (соглашения), стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных или на основании требования действующего законодательства;
-
персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
-
Организация осуществляет обработку обезличенных персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;
-
предоставление субъекту персональных данных сведений, содержащихся в уведомлении об обработке персональных данных, нарушает права и законные интересы третьих лиц;
-
в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Организацией и субъектом персональных данных либо если Организация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом или другими федеральными законами;
-
в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данных в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Организацией и субъектом персональных данных. Об уничтожении персональных данных Организация обязана уведомить субъекта персональных данных;
-
в случае поступления требования субъекта персональных данных о прекращении обработки персональных данных, полученных в целях продвижения товаров, работ, услуг на рынке, немедленно прекратить обработку персональных данных;
-
при сборе персональных данных, в том числе посредством сети "Интернет", Организация обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
7. Защита персональных данных
7.1. Организация при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного и (или) несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.2. К таким мерам, в частности, относятся:
-
назначение лица, ответственного за организацию обработки персональных данных, и лица, ответственного за обеспечение безопасности данных;
-
разработка и утверждение локальных актов по вопросам обработки и защиты персональных данных;
-
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
-
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
-
оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства о персональных данных, соотношение указанного вреда и принимаемых Организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных;
-
соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;
-
ознакомление работников Организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки и защиты персональных данных, обучение работников Организации.
8. Сроки обработки (хранения) персональных данных
8.1. Сроки обработки (хранения) персональных данных определяются исходя из целей обработки персональных данных, а также в соответствии со сроком действия договоров или соглашений с субъектами персональных данных, а также требованиями действующего законодательства:
-
персональные данные субъектов персональных данных хранятся в течение срока обработки и выполнения заявки, в случае последующего заключения договора на платное медицинское обслуживание срок хранения соответствует сроку хранения медицинской документации согласно законодательству Российской Федерации;
-
персональные данные субъектов персональных данных, обращающихся в Организацию с заявлениями о предполагаемом нарушении их прав или с иного рода претензионными требованиями, хранятся в течение всего срока обработки и рассмотрения соответствующих претензий и в течение срока исковой давности, предусмотренного законодательством Российской Федерации для соответствующих споров, с момента завершения обработки и (или) рассмотрения претензии.
8.2. Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено законодательством Российской Федерации. Хранение персональных данных после прекращения их обработки допускается только после их обезличивания.
9. Порядок получения разъяснений по вопросам обработки персональных данных
9.1. Субъекты персональных данных, чьи персональные данные обрабатываются Организацией, могут получить разъяснения по вопросам обработки своих персональных данных, обратившись лично в Организацию или направив соответствующий письменный запрос по адресу местонахождения Организации: 125230, г. Москва, Войковский р-н, ул. Нарвская, д.1А, корп.4, помещение XII.
10. Автоматически собираемая информация
10.1. Организация может собирать и обрабатывать следующие сведения, в том числе сведения, не являющиеся персональными данными: информацию об интересах пользователей на Сайте на основе введенных поисковых запросов пользователей Сайта о реализуемых и предлагаемых услугах с целью предоставления актуальной информации пользователям при использовании Сайта, а также обобщения и анализа информации, о том какие разделы Сайта и услуги пользуются наибольшим спросом у пользователей Сайта;
10.2. Организация осуществляет обработку и хранение поисковых запросов пользователей Сайта с целью обобщения, и создания клиентской статистики об использовании разделов Сайта.
10.3. Организация автоматически получает некоторые виды информации, получаемой в процессе взаимодействия пользователей с Cайтом, переписки по электронной почте и т.п. Речь идет о технологиях и сервисах, таких как веб-протоколы, сookies, веб-отметки, а также приложения и инструменты третьих лиц. При этом веб-отметки, сookies и другие мониторинговые технологии не дают возможность автоматически получать персональные данные. Если пользователь Сайта по своему усмотрению предоставляет свои персональные данные, например, при заполнении формы обратной связи или при отправке электронного письма, то только тогда запускаются процессы автоматического сбора подробной информации для удобства пользования веб-сайтами и (или) для совершенствования взаимодействия с пользователями.
11. Изменения Политики. Прочие положения
11.1. Организация может периодически вносить изменения в настоящую Политику, в том числе, чтобы отражать изменения в объеме оказываемых Организацией услуг или изменения в функциональности Сайта, а также изменения законодательства. Новая редакция положений настоящей Политики вступает в силу с момента ее опубликования, если в ней не указан иной срок ее вступления в силу.