ПОЛИТИКА

в отношении обработки и защиты персональных данных

в ООО «Консультирование и развитие»

1. Общие положения

1.1. Настоящая Политика в отношении обработки и защиты персональных данных (далее — «Политика») разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон о персональных данных») в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика действует в отношении всей информации, которую Общество с ограниченной ответственностью «Консультирование и развитие» (далее — «Оператор») может получить о субъектах персональных данных в ходе своей деятельности, в том числе при использовании посетителями сайта https://www.kurpatov-clinic.ru (далее — «Сайт»), при обращении в клинику доктора Курпатова по телефону, электронной почте, при личном обращении, а также при оказании медицинских и иных услуг.

1.3. Реквизиты Оператора:

Полное наименование: Общество с ограниченной ответственностью «Консультирование и развитие».

Сокращённое наименование: ООО «Консультирование и развитие».

Юридический адрес: 192007, г. Санкт-Петербург, вн.тер.г. Муниципальный округ Волковское, ул. Курская, д. 13/193, литера А.

ИНН: 7840403819 / ОГРН: 1089848062017 / КПП: 781601001 / ОКПО: 89056200.

Дата регистрации: 26.11.2008.

Телефон: +7 (812) 405-74-17, +7 (921) 756-25-46.

Адрес электронной почты: kurpatovclinic3@yandex.ru.

Сайт: https://www.kurpatov-clinic.ru.

1.4. Оператор осуществляет обработку персональных данных в качестве оператора в соответствии с уведомлением, поданным в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

1.5. Настоящая Политика подлежит размещению в сети «Интернет» на Сайте Оператора в соответствии с требованиями части 2 статьи 18.1 Закона о персональных данных, обеспечивающих неограниченный доступ к её тексту.

1.6. Действие настоящей Политики распространяется на все процессы Оператора по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемые с использованием средств автоматизации или без использования таких средств.

1.7. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на Сайте, если иное не предусмотрено новой редакцией.

2. Основные понятия, используемые в Политике

2.1. В настоящей Политике используются термины и определения в соответствии со статьёй 3 Закона о персональных данных, в том числе:

• персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных);

• оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

• обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

• автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

• распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц;

• предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;

• блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

• уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

• обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

• информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

• трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

• cookie — небольшой фрагмент данных, отправляемый веб-сервером и хранимый на устройстве пользователя, который веб-клиент (обычно веб-браузер) отправляет веб-серверу при попытке открыть страницу соответствующего сайта.

3. Категории субъектов персональных данных и состав обрабатываемых персональных данных

3.1. Оператор обрабатывает персональные данные следующих категорий субъектов:

1. пациенты Оператора (физические лица, обратившиеся или планирующие обратиться за оказанием медицинских, психотерапевтических и консультационных услуг), а также их законные представители;

2. пользователи Сайта (посетители, оставившие заявку на обратный звонок, запись на приём, подписавшиеся на рассылку или иным образом обратившиеся через форму обратной связи);

3. работники Оператора и кандидаты на замещение вакантных должностей;

4. контрагенты Оператора — физические лица, а также представители (работники) контрагентов — юридических лиц и индивидуальных предпринимателей.

3.2. В отношении пациентов и их законных представителей Оператор обрабатывает следующие персональные данные:

• фамилия, имя, отчество (при наличии);

• дата и место рождения;

• пол;

• данные документа, удостоверяющего личность (вид, серия, номер, дата и орган выдачи);

• страховой номер индивидуального лицевого счёта (СНИЛС) — при необходимости;

• данные полиса обязательного или добровольного медицинского страхования — при необходимости;

• адрес регистрации и адрес фактического проживания;

• контактные данные: номер телефона, адрес электронной почты;

• сведения о состоянии здоровья, диагнозах, назначенном лечении, результатах обследований, анамнезе, перенесённых заболеваниях — в объёме, необходимом для оказания медицинской помощи;

• сведения о законном представителе (при необходимости) и документах, подтверждающих полномочия;

• иные сведения, сообщаемые субъектом персональных данных добровольно в целях получения медицинской помощи.

3.3. В отношении пользователей Сайта Оператор обрабатывает:

• фамилию, имя (отчество при добровольном указании);

• номер телефона;

• адрес электронной почты;

• содержание сообщения или вопроса, оставленного в форме обратной связи;

• IP-адрес, данные файлов cookie, сведения о браузере и операционной системе, информацию о посещённых страницах, источнике перехода и действиях на Сайте (данные интернет-статистики).

3.4. В отношении работников и кандидатов на вакантные должности Оператор обрабатывает персональные данные в объёме, предусмотренном Трудовым кодексом Российской Федерации, иными федеральными законами, нормативными правовыми актами, а также локальными актами Оператора.

3.5. В отношении контрагентов — физических лиц и представителей контрагентов Оператор обрабатывает: фамилию, имя, отчество, должность, контактные данные (телефон, адрес электронной почты), реквизиты документа, удостоверяющего личность (при необходимости), банковские реквизиты (в случаях, связанных с исполнением договора).

3.6. Оператор не осуществляет обработку биометрических персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации, и без получения письменного согласия субъекта персональных данных, когда такое согласие требуется.

3.7. Обработка специальных категорий персональных данных, касающихся состояния здоровья, осуществляется Оператором в соответствии с пунктом 4 части 2 статьи 10 Закона о персональных данных в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

4. Цели обработки персональных данных

4.1. Оператор осуществляет обработку персональных данных в следующих целях:

1. оказание медицинской помощи, психотерапевтических и психологических консультационных услуг, включая установление диагноза, проведение лечения, ведение медицинской документации;

2. заключение, исполнение и прекращение гражданско-правовых договоров с физическими лицами, индивидуальными предпринимателями и юридическими лицами;

3. идентификация субъекта персональных данных, обратившегося к Оператору, и обеспечение связи с ним;

4. рассмотрение заявок, обращений и вопросов, поступающих через Сайт, по телефону и иным каналам связи;

5. запись на приём, в том числе в онлайн-формате, напоминание о предстоящих консультациях и приёмах;

6. информирование о предоставляемых услугах, специальных предложениях, акциях и мероприятиях Оператора (при наличии согласия субъекта персональных данных);

7. выполнение требований законодательства Российской Федерации, в том числе налогового, бухгалтерского, трудового, а также законодательства в сфере охраны здоровья граждан;

8. защита прав и законных интересов Оператора, в том числе при рассмотрении претензий и в судебном порядке;

9. улучшение качества работы Сайта и оказываемых услуг, проведение аналитики, в том числе с использованием сервисов интернет-статистики.

5. Правовые основания обработки персональных данных

5.1. Правовыми основаниями обработки Оператором персональных данных являются:

• Конституция Российской Федерации;

• Гражданский кодекс Российской Федерации;

• Трудовой кодекс Российской Федерации;

• Налоговый кодекс Российской Федерации;

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

• Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

• Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;

• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;

• Устав ООО «Консультирование и развитие»;

• лицензия на осуществление медицинской деятельности;

• договоры, заключаемые между Оператором и субъектом персональных данных;

• согласие субъекта персональных данных на обработку его персональных данных;

• локальные нормативные акты Оператора, регулирующие вопросы обработки персональных данных.

5.2. Обработка персональных данных осуществляется Оператором на основании следующих принципов, предусмотренных статьёй 5 Закона о персональных данных: законность и справедливость; ограничение обработки достижением конкретных, заранее определённых и законных целей; недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; соответствие объёма и содержания обрабатываемых персональных данных заявленным целям обработки; достоверность персональных данных, их достаточность, а при необходимости и актуальность; хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки.

6. Условия и способы обработки персональных данных

6.1. Обработка персональных данных Оператором осуществляется с соблюдением условий, установленных статьёй 6 Закона о персональных данных, а именно:

• с согласия субъекта персональных данных на обработку его персональных данных;

• для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

• для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

• для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;

• для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

6.2. Оператор осуществляет обработку персональных данных следующими способами: с использованием средств автоматизации (автоматизированная обработка с использованием информационных систем) и без использования средств автоматизации (обработка на бумажных носителях).

6.3. Обработка персональных данных включает в себя следующие действия (операции) или совокупность действий (операций): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

6.4. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. В договоре с таким лицом (обработчиком) Оператор предусматривает перечень действий (операций) с персональными данными, цели обработки, обязанность соблюдать конфиденциальность и обеспечивать безопасность персональных данных, а также требования к защите обрабатываемых персональных данных.

6.5. Передача персональных данных третьим лицам осуществляется Оператором:

• на основании согласия субъекта персональных данных;

• в случаях, прямо предусмотренных законодательством Российской Федерации, — органам государственной власти, органам местного самоуправления, их должностным лицам;

• страховым медицинским организациям в рамках обязательного и добровольного медицинского страхования (при необходимости);

• лицам, с которыми Оператор заключил договоры на оказание услуг (связь, хостинг, бухгалтерское обслуживание, юридическое сопровождение и т. п.), в пределах, необходимых для исполнения соответствующих договоров.

6.6. Трансграничная передача персональных данных Оператором не осуществляется. В случае необходимости осуществления трансграничной передачи Оператор будет руководствоваться требованиями статьи 12 Закона о персональных данных, в том числе в части уведомления уполномоченного органа по защите прав субъектов персональных данных.

6.7. Сроки обработки и хранения персональных данных определяются исходя из целей обработки, в соответствии с требованиями законодательства Российской Федерации, условиями договоров с субъектами персональных данных, сроками исковой давности. По достижении целей обработки или в случае утраты необходимости в достижении этих целей, а также по требованию субъекта персональных данных персональные данные подлежат уничтожению или обезличиванию, если иное не предусмотрено законодательством Российской Федерации. Медицинская документация хранится в течение сроков, установленных нормативными правовыми актами в сфере охраны здоровья граждан.

7. Обработка данных посетителей Сайта и сведения об использовании файлов cookie

7.1. При посещении Сайта https://www.kurpatov-clinic.ru Оператор может автоматически собирать и обрабатывать следующую информацию о посетителях: IP-адрес, данные файлов cookie, информацию о браузере и операционной системе, языке, часовом поясе, дате и времени посещения, просмотренных страницах, источнике перехода, действиях на Сайте.

7.2. Указанные данные обрабатываются с использованием сервисов веб-аналитики, таких как Яндекс Метрика, и используются для сбора статистики посещений Сайта, анализа поведения пользователей, улучшения работы Сайта и качества предоставляемых услуг.

7.3. Пользователь Сайта вправе отключить использование файлов cookie в настройках своего браузера. Отключение cookie может повлечь невозможность использования отдельных функций Сайта.

7.4. Оставляя заявку на Сайте через формы обратной связи (запись на приём, обратный звонок, задать вопрос и т. п.), пользователь подтверждает своё согласие с условиями настоящей Политики и даёт согласие на обработку указанных им персональных данных на условиях, приведённых в согласии, размещённом на Сайте.

8. Меры, направленные на обеспечение безопасности персональных данных

8.1. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных в соответствии со статьёй 19 Закона о персональных данных.

8.2. К организационным мерам защиты персональных данных, применяемым Оператором, относятся:

• назначение лица, ответственного за организацию обработки персональных данных;

• издание локальных нормативных актов по вопросам обработки и защиты персональных данных;

• ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами Оператора по вопросам обработки персональных данных;

• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

• ограничение доступа к персональным данным путём установления правил доступа к ним;

• учёт машинных носителей персональных данных;

• осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям Закона о персональных данных и принятым в соответствии с ним нормативным правовым актам и локальным актам Оператора;

• оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения Закона о персональных данных.

8.3. К техническим мерам защиты персональных данных относятся: применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; использование антивирусных средств; разграничение прав доступа пользователей информационных систем; резервное копирование данных; использование средств шифрования при передаче персональных данных по открытым каналам связи в случаях, когда это необходимо.

8.4. Обеспечение безопасности обработки персональных данных производится в соответствии с постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

9. Права субъектов персональных данных

9.1. Субъект персональных данных имеет право:

1. получать информацию, касающуюся обработки его персональных данных, в том числе содержащую: подтверждение факта обработки персональных данных Оператором; правовые основания и цели обработки персональных данных; цели и применяемые Оператором способы обработки персональных данных; наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных; информацию об осуществлённой или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

2. требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

3. отозвать своё согласие на обработку персональных данных;

4. обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке;

5. на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

9.2. Для реализации своих прав субъект персональных данных вправе направить Оператору соответствующий запрос в письменной форме по адресу: 192007, г. Санкт-Петербург, ул. Курская, д. 13/193, литера А, либо по адресу электронной почты: kurpatovclinic3@yandex.ru.

9.3. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения) либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

9.4. Оператор предоставляет ответ на запрос субъекта персональных данных в срок, не превышающий десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлён, но не более чем на пять рабочих дней, в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

10. Порядок получения согласия на обработку персональных данных и отзыва такого согласия

10.1. В случаях, когда обработка персональных данных осуществляется с согласия субъекта персональных данных, такое согласие может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

10.2. Согласие на обработку персональных данных, размещаемых субъектом персональных данных или с его согласия на Сайте, может быть выражено путём проставления отметки в соответствующем поле формы обратной связи и (или) нажатия на кнопку отправки сообщения, формы записи на приём или аналогичной кнопки, сопровождаемой указанием на факт такого согласия.

10.3. Обязанность по предоставлению доказательства получения согласия субъекта персональных данных на обработку его персональных данных или доказательства наличия оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о персональных данных, возлагается на Оператора.

10.4. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий письменный запрос Оператору по адресу, указанному в пункте 9.2 настоящей Политики. В случае отзыва согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о персональных данных.

11. Порядок актуализации, исправления, удаления и уничтожения персональных данных

11.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Оператором, а обработка должна быть прекращена соответственно.

11.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.

11.3. Уничтожение персональных данных оформляется соответствующим актом. Факт уничтожения персональных данных подтверждается документально актом об уничтожении, подписанным уполномоченным лицом Оператора.

12. Заключительные положения

12.1. Настоящая Политика является внутренним документом Оператора и размещается в общедоступном месте, в том числе на Сайте Оператора по адресу: https://www.kurpatov-clinic.ru/privacy/.

12.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента её размещения на Сайте, если иное не предусмотрено новой редакцией Политики.

12.3. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных у Оператора.

12.4. Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора.

12.5. По всем вопросам, связанным с обработкой персональных данных и реализацией прав субъектов персональных данных, можно обратиться к Оператору по следующим контактам:

Почтовый адрес: 192007, г. Санкт-Петербург, ул. Курская, д. 13/193, литера А.

Телефон: +7 (812) 405-74-17.

Адрес электронной почты: kurpatovclinic3@yandex.ru.