ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Важнейшим условием реализации целей деятельности ООО «САНШАЙН» (далее ООО «САНШАЙН», Оператор, Владелец Сайта) является обеспечение необходимого и достаточного уровня информационной безопасности информации, к которой, в том числе, относятся персональные данные.
1.2. Настоящая Политика в отношении обработки персональных данных в ООО «САНШАЙН» определяет порядок сбора, хранения, передачи и иных видов обработки персональных данных в ООО «САНШАЙН», в том числе на веб-сайте https://www.centerestetmedicina.ru/ (далее «Сайт»), а также сведения о реализуемых требованиях к защите персональных данных.
1.3. Политика разработана в соответствии с действующим законодательством РФ.
1.4. Принципы обработки персональных данных:
— осуществление обработки персональных данных на законной и справедливой основе;
— осуществление обработки персональных данных с согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных федеральным законом;
— строгое выполнение требований по обеспечению безопасности персональных данных и сведений;
— ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
— исключение обработки персональных данных, несовместимой с целями сбора и обработки персональных данных;
— исключение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— обеспечение достоверности обрабатываемых персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к заявленным целям обработки персональных данных;
— опубликование или обязательное раскрытие персональных данных, если это предусмотрено федеральным законом;
— обязательное удаление или уточнение неполных или неточных данных;
— хранение персональных данных в формах, позволяющих определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— уничтожение или обезличивание персональных данных по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
— осуществление прямых контактов с клиентами с помощью средств связи только при условии предварительного оформления согласия клиента.
2. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
И ПЕРЕЧЕНЬ ДЕЙСТВИЙ ПО ИХ ОБРАБОТКЕ
2.1. Сведениями, составляющими персональные данные, является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных и его состояния здоровья.
2.2. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) извлечение,
использование, передачу (в том числе передачу третьим лицам, не исключая трансграничную передачу, если необходимость в ней возникла в ходе исполнения обязательств), обезличивание, блокирование, удаление, уничтожение персональных данных.
Под распространением персональных данных понимаются действия, направленные на раскрытие в интересах Компании персональных данных неопределенному кругу лиц, например, на сайтах в сети Интернет, в иных СМИ, в социальных сетях, на информационных стендах и др. в соответствии с нормами законодательства.
2.3. Предоставляя свои персональные данные Компании, Посетитель Сайта/Пользователь/Покупатель/Пациент (далее «клиент») соглашается на их обработку Компанией в целях, указанных в разделе 3 настоящей Политики.
2.5. Обеспечение конфиденциальности персональных данных не требуется:
— в случае обезличивания персональных данных;
— в отношении общедоступных персональных данных.
2.4. Целью обработки персональных данных является исполнение договоров, заключаемых с клиентами, обеспечение соблюдения законов и иных нормативных правовых актов РФ, контроль качества обслуживания клиентов, а также обеспечение финансовых расчетов за реализуемые товары, оказанные услуги в соответствии с законами и иными нормативно-правовыми актами, взаимодействие с клиентом, направление ему с его согласия рекламных материалов, информации и запросов, проведение статистических и иных исследований.
2.5. Для целей идентификации клиентов, для целей контроля качества их обслуживания, а также взаимодействия с ними, направления клиентам с их согласия рекламных материалов, информации и запросов, для проведения статистических и иных исследований обрабатываются следующие персональные данные: фамилия, имя, отчество, пол, дата и место рождения пациента, адрес его места жительства и регистрации, контактные телефоны, ИНН, СНИЛС, паспортные данные, электронная почта. Для целей обеспечения финансовых расчетов за реализованные клиенту товары и услуги также обрабатываются реквизиты банковского счета. Для целей установления медицинского диагноза, оказания медицинских услуг, обработки и ведение медицинской документации клиента обрабатываются фамилия, имя, отчество, пол, дата рождения, данные о состоянии его здоровья.
2.6. Сроки хранения персональных данных определяются в соответствии с законодательством РФ, в том числе согласно требованиям, содержащимся в отраслевых нормативных актах Минздравсоцразвития России, и нормативными документами Общества.
2.7. После того, как цель обработки персональных данных, не имеющих специально установленного нормативными актами РФ срока хранения, будет достигнута, не позднее 30-ти дней эти персональные данные уничтожаются в связи с достижением цели их обработки.
2.8. Клиент принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных дается по форме, указанной в Приложении №1 к настоящей Политике, и должно быть конкретным, информированным, сознательным, предметным и однозначным.
2.9. Обработка персональных данных клиентов без их согласия допускается при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Персональные данные обрабатываются ООО «САНШАЙН» в целях исполнения ООО «САНШАЙН» обязательств в рамках публичной оферты — договоров розничной купли-продажи товаров, договоров оказания медицинских услуг субъектам персональных данных; продвижения услуг и/или товаров ООО «САНШАЙН» на рынке путем осуществления прямых контактов с клиентами ООО «САНШАЙН» с помощью различных средств связи, в т.ч., но не ограничиваясь, по телефону, электронной почте, почтовой рассылке, в сети Интернет и т.д.; проведения электронных и sms опросов, контроля результатов маркетинговых акций, клиентской поддержки, организации доставки товара клиентам, проведение розыгрышей призов среди клиентов, контроля удовлетворенности клиента, а также качества услуг, оказываемых Компанией в иных целях, если действия ООО «САНШАЙН» не противоречат действующему законодательству.
4. ПОРЯДОК СБОРА, ХРАНЕНИЯ, ПЕРЕДАЧИ
И ИНЫХ ВИДОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей). Оператором установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Оператор обеспечивает сохранность персональных данных и принимает меры, исключающие несанкционированный доступ к персональным данным.
4.2. Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится при условии проведения Оператором технических мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.
4.3. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством. Хранение документов, содержащих персональные данные клиентов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении срока их хранения, в связи с истечением такого срока.
5. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ МЕРАХ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Защита персональных данных представляет собой принятие правовых, организационных
и технических мер, направленных на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации.
5.2. Обеспечение безопасности персональных данных достигается:
назначением должностных лиц, ответственных за организацию и обеспечение безопасности персональных данных;
изданием документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применением правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст.19 Федерального закона «О персональных данных» и требованиями других нормативных правовых актов;
использованием обезличивания персональных данных;
осуществлением внутреннего контроля соответствия обработки персональных данных федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике в отношении обработки персональных данных, локальным актам;
ознакомлением работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
аттестацией информационных систем персональных данных по требованиям безопасности информации;
непрерывным совершенствованием методов и способов обеспечения безопасности персональных данных.
5.3. Для обеспечения безопасности персональных данных клиентов при неавтоматизированной обработке определяются защищенные от неправомерного доступа третьих лиц места хранения персональных данных, все действия по обработке персональных данных осуществляются только сотрудниками Оператора, допущенными в установленном порядке к работе с персональными данными клиентов, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую их обработку с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
5.4. Для обеспечения безопасности персональных данных клиентов при их автоматизированной обработке все действия осуществляются только сотрудниками Оператора, допущенными в установленном порядке к работе с персональными данными клиентов, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции. Персональные компьютеры, в которых содержатся персональные данные клиентов, защищены паролями доступа. Защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным; технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование. Оператор производит резервное копирование данных, с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, осуществляет постоянный контроль за обеспечением уровня защищенности персональных данных.
6. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
И СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. ООО «САНШАЙН» как Оператор персональных данных вправе: предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.); отказывать в предоставлении
персональных данных в случаях предусмотренных законодательством; использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством.
6.2. Субъект персональных данных имеет право: требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав; требовать предоставления перечня своих персональных данных, обрабатываемых Оператором, и источник их получения; получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения; отозвать свое согласие на обработку персональных данных в любое время, оформив соответствующее обращение к Оператору.
6.3. Отзыв согласия на обработку персональных данных осуществляется путем отзыва акцепта настоящей Публичной оферты по специальной ссылке в сообщениях на Сайте или путем подачи письменного заявления Компании.
7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1. Настоящая Политика подлежит при необходимости изменению, дополнению, в т.ч. в случае изменения законодательства по обработке и защите персональных данных.
7.2. В случае изменений, доведение до неограниченного круга лиц таких изменений осуществляется посредством размещения на сайте ООО «САНШАЙН» Политики с учетом таких изменений.