ПОЛИТИКА Общества с ограниченной ответственностью «Ангрис» в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика Общества с ограниченной ответственностью «Ангрис» в отношении обработки персональных данных (далее — Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными нормативными правовыми актами Российской Федерации в области персональных данных и с учетом рекомендаций Роскомнадзора.

1.3. Политика действует в отношении персональных данных, обрабатываемых Обществом с ограниченной ответственностью «Ангрис» (далее — Оператор, ООО «Ангрис») в том числе при использовании сайта, а также в связи с обращениями пациентов, работников, соискателей, контрагентов и иных субъектов персональных данных.

1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.

2. Сведения об операторе и лицах, обрабатывающих персональные данные по поручению оператора

2.1. Оператором персональных данных, осуществляющим сбор и первичную обработку персональных данных с использованием сайта, является ООО «Ангрис».

2.2. Реквизиты Оператора: ИНН 7714223904, ОГРН 1027739302337, адрес местонахождения 117628, г. Москва, ул. Старокачаловская дом 10, пом.IIIА, ком. 6, адрес электронной почты для обращений субъектов персональных данных reception@sfe.ru , телефон 8 (495)139 09 81.

2.3. В целях приема и обработки обращений, записи на прием, маршрутизации обращений внутри группы компаний, подтверждения записи, организации оказания медицинских услуг, информационного сопровождения пациентов и ведения единой системы учета обращений Оператор вправе поручать обработку персональных данных следующим лицам:

— ООО «Клиника Сфера», ИНН 7727528928, ОГРН 1047796946592, адрес 117628, г. Москва, ул. Старокачаловская дом 10, 1 этаж, пом.IIIа, ком. 4;

— ООО Центр Медицины «Сфера», ИНН 7727484163, ОГРН 1227700056100, адрес 117628, г. Москва, ул. Старокачаловская дом 10, пом.IIIА, ком. 16.

2.4. Указанные лица обрабатывают персональные данные исключительно по поручению Оператора, на основании заключенных договоров поручения на обработку персональных данных, в объеме и для целей, определенных Оператором, с соблюдением требований законодательства Российской Федерации о персональных данных, конфиденциальности и безопасности персональных данных.

3. Термины и определения

3.1. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

3.2. Оператор — юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных и действия (операции), совершаемые с персональными данными.

3.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, с использованием средств автоматизации или без использования таких средств. Обработка персональных данных включает в себя в том числе:

• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение;

3.4. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

3.5. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

3.6. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

3.7. Блокирование персональных данных — временное прекращение обработки персональных данных, за исключением случаев, когда обработка необходима для уточнения персональных данных.

3.8. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3.9. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

4. Правовые основания обработки персональных данных

4.1. Правовыми основаниями обработки персональных данных являются: Конституция Российской Федерации; Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; Трудовой кодекс Российской Федерации; Гражданский кодекс Российской Федерации; иные нормативные правовые акты Российской Федерации; согласия субъектов персональных данных; договоры с субъектами персональных данных; договоры поручения на обработку персональных данных, заключенные Оператором с ООО «Клиника Сфера» и ООО Центр Медицины «Сфера».

5. Принципы обработки персональных данных

5.1. Оператор обрабатывает персональные данные на законной и справедливой основе.

5.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

5.3. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

5.4. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Оператор не допускает избыточности обрабатываемых персональных данных по отношению к заявленным целям их обработки.

5.5. При обработке персональных данных обеспечиваются точность, достаточность, а в необходимых случаях — актуальность персональных данных.

5.6. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения не установлен федеральным законом, договором или иным правовым основанием.

5.7. По достижении целей обработки или при утрате необходимости в их достижении персональные данные подлежат уничтожению либо обезличиванию, если иное не предусмотрено законодательством Российской Федерации.

6. Цели обработки персональных данных

6.1. Оператор осуществляет обработку персональных данных в следующих целях:

• обеспечение работы сайта, обратной связи с пользователями, рассмотрение обращений и заявок;
• запись на прием, подтверждение, перенос или отмена записи;
• подбор специалиста, услуги, даты и времени приема;
• организация оказания медицинских услуг;
• информирование по обращению пользователя;
• ведение учета обращений и заявок, контроль качества обслуживания;
• исполнение требований законодательства Российской Федерации;
• регулирование трудовых отношений, подбор персонала, ведение кадрового и бухгалтерского учета;
• осуществление пропускного режима;
• подготовка, заключение, исполнение и прекращение договоров с контрагентами;
• маршрутизация обращения внутри группы компаний и передача обращения лицам, обрабатывающим ПДн по поручению оператора;
• рассмотрение обращений субъектов персональных данных.

7. Категории субъектов персональных данных

7.1. Оператором могут обрабатываться персональные данные следующих категорий субъектов: посетители сайта;

• лица, направившие обращение через сайт, по телефону, электронной почте, мессенджерам и иным каналам связи;
• пациенты и их законные представители;
• работники Оператора;
• соискатели вакантных должностей;
• контрагенты и представители контрагентов;
• иные субъекты персональных данных, если обработка необходима для достижения законных целей деятельности Оператора.

8. Категории и перечень обрабатываемых персональных данных

8.1. В зависимости от целей обработки Оператор может обрабатывать следующие персональные данные: фамилия, имя, отчество; номер телефона; адрес электронной почты; дата рождения; сведения о выбранной услуге, враче, филиале, желаемой дате и времени приема; сведения, указанные субъектом персональных данных в тексте обращения, заявки, форме обратной связи; данные, необходимые для оформления, исполнения и сопровождения договорных отношений; данные работников, соискателей, контрагентов и представителей контрагентов в объеме, необходимом для соответствующих целей обработки; технические данные использования сайта: IP-адрес, cookie-файлы, сведения о браузере, сведения об устройстве, данные веб-аналитики, технические журналы событий и иные данные, автоматически получаемые при использовании сайта.

Оператор может использовать cookie-файлы, пиксели, технические идентификаторы и сервисы веб-аналитики для обеспечения работоспособности сайта, сохранения пользовательских настроек, анализа посещаемости и улучшения качества сайта. Порядок обработки cookie и связанных технических данных может дополнительно определяться отдельным документом, размещенным на сайте.

8.2. Оператор может обрабатывать специальные категории персональных данных, касающиеся состояния здоровья, в случаях и в объеме, предусмотренных законодательством Российской Федерации, в том числе для организации оказания медицинской помощи и медицинских услуг, установления медицинского диагноза, ведения медицинской документации и исполнения требований законодательства в сфере охраны здоровья.

8.3. Обработка биометрических персональных данных осуществляется только при наличии правового основания и при соблюдении требований законодательства Российской Федерации.

9. Порядок и условия обработки персональных данных

9.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. В случаях, предусмотренных законом, обработка может осуществляться без согласия субъекта на основании закона, договора, исполнения обязанностей оператора, защиты жизни и здоровья, оказания медицинской помощи и по иным основаниям, установленным законодательством Российской Федерации.

9.2. Оператор вправе поручить обработку персональных данных другому лицу на основании договора поручения на обработку персональных данных либо иного документа, соответствующего требованиям части 3 статьи 6 Федерального закона № 152-ФЗ.

9.3. По поручению Оператора обработка персональных данных может осуществляться ООО «Клиника Сфера» и ООО Центр Медицины «Сфера» в целях приема и обработки обращений, записи на прием, маршрутизации обращений, организации оказания медицинских услуг, информационного сопровождения пациентов и ведения единой системы учета обращений.

9.4. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, обеспечивать конфиденциальность и безопасность персональных данных, а также выполнять иные требования, предусмотренные договором поручения и законодательством Российской Федерации.

9.5. Оператор не раскрывает и не распространяет персональные данные третьим лицам без надлежащего правового основания, за исключением случаев, прямо предусмотренных законодательством Российской Федерации.

9.6. Оператор вправе осуществлять обработку персональных данных с использованием средств автоматизации, без использования таких средств, а также смешанным способом.

9.7. При сборе персональных данных, в том числе посредством сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, если иное не предусмотрено законодательством Российской Федерации.

10. Перечень действий с персональными данными

10.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление, доступ, обезличивание, блокирование, удаление и уничтожение персональных данных.

10.2. Передача персональных данных внутри группы компаний осуществляется только в объеме, необходимом для достижения целей обработки, и на основании поручения Оператора либо иного предусмотренного законом основания.

11. Права субъектов персональных данных

11.1. Субъект персональных данных имеет право: получать сведения об обработке его персональных данных; требовать уточнения, блокирования или уничтожения своих персональных данных; отозвать согласие на обработку персональных данных в случаях, когда обработка основана на согласии; обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке; осуществлять иные права, предусмотренные законодательством Российской Федерации.

11.2. Для реализации своих прав субъект персональных данных вправе направить обращение Оператору по адресу, указанному в разделе 2 настоящей Политики.

11.3. Обращение субъекта персональных данных должно позволять идентифицировать заявителя и содержать описание требования. Оператор вправе запросить дополнительные сведения, подтверждающие полномочия заявителя. Ответ направляется способом, указанным в обращении, если иное не следует из закона или существа требования.

12. Меры по обеспечению безопасности персональных данных

12.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

12.2. К таким мерам относятся: назначение лица, ответственного за организацию обработки персональных данных; принятие локальных нормативных актов; ограничение и разграничение доступа к персональным данным; учет лиц, допущенных к обработке персональных данных; применение средств защиты информации; осуществление внутреннего контроля и (или) аудита; обучение работников, допущенных к обработке персональных данных; иные меры, предусмотренные законодательством Российской Федерации.

13. Сроки обработки и порядок уничтожения персональных данных

13.1. Персональные данные обрабатываются и хранятся не дольше, чем этого требуют цели обработки, если иной срок не установлен законодательством Российской Федерации или договором.

13.2. По достижении целей обработки, при утрате необходимости в их достижении, по истечении сроков хранения либо при наступлении иных оснований, предусмотренных законодательством Российской Федерации, персональные данные подлежат уничтожению либо обезличиванию.

13.3. Оператор прекращает обработку персональных данных в следующих случаях:

• при выявлении неправомерной обработки Оператор прекращает неправомерную обработку в срок, не превышающий трех рабочих дней с даты такого выявления; если обеспечить правомерность обработки невозможно, персональные данные подлежат уничтожению в порядке и сроки, предусмотренные законодательством Российской Федерации.
• достигнута цель их обработки;
• истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.

13.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

13.5. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

13.6.При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами Российской Федерации, не допускается, за исключением случаев, указанных в Законе о персональных данных.
13.7. Порядок уничтожения персональных данных Оператором.

13.7.1. Условия и сроки уничтожения персональных данных Оператором:

• достижение цели обработки персональных данных либо утрата необходимости достигать эту цель — в течение 30 дней, если иной срок не установлен законодательством Российской Федерации;
• достижение максимальных сроков хранения документов, содержащих персональные данные, — в течение 30 дней, если иной срок не установлен законодательством Российской Федерации;
• предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, — в течение семи рабочих дней;
• отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, — в течение 30 дней, если иной срок не установлен законодательством Российской Федерации.

13.7.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
• Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

13.7.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора ООО «Ангрис».

13.7.4. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.

14. Заключительные положения

14.1. Настоящая Политика действует бессрочно до замены новой редакцией.

14.2. Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция Политики размещается на сайте https://www.sfe.ru/.

14.3. Вопросы, не урегулированные настоящей Политикой, регулируются законодательством Российской Федерации о персональных данных.