ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

г. Калининград « 09 » января 2025 года

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика разработана в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, и определяет правовые основания, порядок и условия в отношении обработки и защиты персональных данных, осуществляемых ООО «МЕДМАКС» (далее – Оператор)

1.2. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

• Конституция Российской Федерации;

• Гражданский кодекс Российской Федерации;

• Трудовой кодекс Российской Федерации;

• Налоговый кодекс Российской Федерации;

• Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;

• Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Федеральный закон от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

• Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;

• Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

• Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

1.3. Правовым основанием обработки персональных данных также являются:

• устав ООО «МЕДМАКС»;

• договоры, заключаемые между Оператором и субъектами персональных данных;

• согласие субъектов персональных данных на обработку их персональных данных.

1.4. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор и распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

1.5. Во исполнение требований ч. 2 ст. 18.1 Федерального закона «О персональных данных» настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора https://medmax39.tilda.ws/clinic.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ.

2.1. Понятия, связанные с обработкой персональных данных, используются в том значении, в котором они приведены в ст. 3 Федерального закона «О персональных данных», если иное прямо не вытекает из текста Политики.

Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Субъект персональных данных - физическое лицо, непосредственно или через уполномоченных третьих лиц предоставившее Оператору свои персональные данные, на основании которых оно прямо или косвенно может быть определено или определяемо (далее – Субъект).

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определяемому кругу лиц.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Блокировка персональных данных - временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).

Использование персональных данных - действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Сайт - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается через сеть Интернет по сетевому адресу (включая поддомены): https://medmax39.tilda.ws/clinic.

Файлы cookie - данные, которые автоматически передаются Оператору в процессе использования Сайта с помощью установленного на устройстве Субъекта программного обеспечения, в том числе IP-адрес, географическое местоположение, информация о браузере и виде операционной системы устройства Субъекта, технические характеристики оборудования и программного обеспечения, используемых Субъектом, дата и время доступа к Сайту.

3. ЦЕЛИ И ОБЪЕМЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.2. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.3. Обработка Оператором персональных данных осуществляется в следующих целях:

3.3.1. Исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, соблюдение кадрового учета.

Категории субъектов персональных данных: работники, родственники работников, уволенные работники, представители работников, соискатели.

Категории обрабатываемых персональных данных:

• работники, уволенные работники: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; фото изображение лица; иные персональные данные, предоставляемые в соответствии с требованиями трудового законодательства;

• родственники работников: фамилия, имя, отчество; степень родства; дата рождения; данные документа, удостоверяющего личность; данные свидетельства о рождении; иные персональные данные, предоставляемые в соответствии с требованиями трудового законодательства;

• представители работников: фамилия, имя, отчество; данные документа, удостоверяющего личность; данные документа, подтверждающего полномочия представителя; иные персональные данные, предоставляемые в соответствии с требованиями трудового законодательства;

• соискатели: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; семейное положение; пол; адрес электронной почты; адрес места жительства; номер телефона; гражданство; профессия; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации); сведения об образовании; фото изображение лица.

Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.3.2. Исполнение налогового законодательства, соблюдение бухгалтерского учета:

Категории субъектов персональных данных: работники, родственники работников, уволенные работники, контрагенты, представители контрагентов.

Категории обрабатываемых персональных данных:

• работники, уволенные работники: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; имущественное положение; доходы; пол; адрес места жительства; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; должность; иные персональные данные, предоставляемые в соответствии с требованиями законодательства в области налогообложения и бухгалтерского учета;

• родственники работников: фамилия, имя, отчество; степень родства; дата рождения; данные документа, удостоверяющего личность; данные свидетельства о рождении; адрес места жительства; адрес регистрации; СНИЛС; ИНН; реквизиты банковской карты; номер расчетного счета; иные персональные данные, предоставляемые в соответствии с требованиями законодательства в области налогообложения и бухгалтерского учета;

• контрагенты: фамилия, имя, отчество; дата рождения; пол; адрес места жительства; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; иные персональные данные, предоставляемые в соответствии с требованиями законодательства в области налогообложения и бухгалтерского учета;

• представители контрагентов: фамилия, имя, отчество; данные документа, удостоверяющего личность; данные документа, подтверждающего полномочия представителя.

Перечень действий:

сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.

3.3.3. Обеспечение соблюдения пенсионного и страхового законодательства РФ:

Категории субъектов персональных данных: работники, уволенные работники.

Категории обрабатываемых персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; социальное положение; имущественное положение; доходы; пол; адрес места жительства; СНИЛС; ИНН; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время); сведения об образовании; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; иные персональные данные, предоставляемые в соответствии с требованиями пенсионного и страхового законодательства.

Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.

3.3.4. Обеспечение соблюдения законодательства РФ в сфере здравоохранения.

Категории субъектов персональных данных: клиенты, выгодоприобретатели по договорам, представители клиентов.

Категории обрабатываемых персональных данных:

• клиенты, выгодоприобретатели по договорам: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; фото-видео изображение лица; данные голоса человека; сведения о состоянии здоровья;

• представители клиентов: фамилия, имя, отчество; данные документа, удостоверяющего личность; данные документа, подтверждающего полномочия представителя.

Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

3.3.5. Подготовка, заключение и исполнение гражданско-правового договора.

Категории субъектов персональных данных: клиенты, контрагенты, выгодоприобретатели по договорам, посетители Сайта, представители контрагентов и клиентов.

Категории обрабатываемых персональных данных:

• клиенты, контрагенты, выгодоприобретатели по договорам: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; профессия;

• посетители Сайта: фамилия, имя, отчество; адрес электронной почты; номер телефона; файлы cookie.

• представители контрагентов и клиентов: фамилия, имя, отчество; данные документа, удостоверяющего личность; данные документа, подтверждающего полномочия представителя.

Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.

3.3.6. Продвижение товаров, работ, услуг на рынке.

Категории субъектов персональных данных: работники, клиенты.

Категории обрабатываемых персональных данных: фамилия, имя, отчество; должность; фото-видео изображение лица; данные голоса человека.

Перечень действий: сбор; запись; систематизация; накопление; хранение; извлечение; использование; распространение; обезличивание; блокирование; удаление; уничтожение.

4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

4.1. Обработка персональных данных осуществляется на основе следующих принципов:

- соблюдение законности целей и способов обработки персональных данных;

- обработка персональных данных ограничивается достижением конкретных, заранее определенных целей;

- обработке подлежат только персональные данные, которые отвечают целям обработки;

- содержание и объем обрабатываемых персональных данных, а также способы их обработки должны соответствовать целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- не допускается обработка персональных данных, несовместимая с целями обработки;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки;

- обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки;

- уничтожение персональных данных по истечении срока хранения;

- обеспечение конфиденциальности и защиты персональных данных.

4.2. Оператор получает персональные данные непосредственно от Субъектов или их законных (уполномоченных) представителей.

4.3. Обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации на основании согласия Субъекта, кроме случаев, предусмотренных Законом о персональных данных.

4.4. Обработка персональных данных происходит как с использованием средств автоматизации, так и без их использования (смешанная обработка)

4.5. Оператор вправе передать персональные данные третьим лицам только в следующих случаях:

- Субъект выразил согласие на такие действия;

- передача необходима для использования Субъектом определенного сервиса либо для исполнения определенного соглашения или договора с Субъектом;

- передача предусмотрена действующим законодательством в рамках установленной законодательством процедуры.

4.6. Оператор не осуществляет трансграничную передачу персональных данных.

4.7. Оператор не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, личной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

4.8. Оператор не проверяет актуальность и достоверность предоставляемых Субъектом сведений. Оператор исходит из того, что Субъекты, действуя разумно и добросовестно, предоставляют достоверные и достаточные персональные данные и поддерживают их в актуальном состоянии.

4.9. В случае выявления неточных персональных данных при обращении Субъекта Оператор осуществляет блокирование персональных данных с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы третьих лиц. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом или иных необходимых документов, уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

4.10. В случае выявления неправомерной обработки персональных данных, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет Субъекта.

4.11. Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

5. МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ.

5.1. Основными мерами защиты персональных данных, используемыми Оператором, являются:

- обеспечение неограниченного доступа к Политике путем размещения ее на сайте Оператора;

- применение организационных и технических мер, необходимых для обеспечения установленного уровня защищенности персональных данных;

- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;

- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных»;

Оператор применяет иные меры, предусмотренные законодательством Российской Федерации в области персональных данных, в том числе:

- определяет угрозы безопасности персональных данных при их обработке;

- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

- назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;

- создает необходимые условия для работы с персональными данными;

- организует учет документов, содержащих персональные данные;

- организует работу с информационными системами, в которых обрабатываются персональные данные;

- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

- организует обучение работников Оператора, осуществляющих обработку персональных данных.

6. СРОКИ ОБРАБОТКИ (ХРАНЕНИЕ) ПЕРСОНАЛЬНЫХ ДАННЫХ.

6.1. Согласие Субъекта на обработку его персональных данных действует со дня предоставления согласия до дня его отзыва в порядке, предусмотренном настоящей Политикой.

6.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого является Субъект.

6.3. Персональные данные Субъектов подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не установлено федеральными законами.

6.4. В случае обращения Субъекта к Оператору с требованием о прекращении обработки персональных данных Оператор в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекращает их обработку.

6.5. Уничтожение персональных данных осуществляется Оператором в следующих случаях:

- поступление от Субъекта отзыва согласия на обработку своих персональных данных;

- получение от Субъекта требования об уничтожении персональных данных;

- истечение срока действия согласия на обработку персональных данных.

6.6. В случае отзыва Субъектом согласия на обработку своих персональных данных Оператор прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва. Об уничтожении персональных данных Оператор обязан уведомить Субъекта. Подлежащие уничтожению документы или иные материальные носители персональных данных должны быть уничтожены без их возможности восстановления.

7. ПРАВА СУБЪЕКТОВ.

7.1. Субъект имеет право:

7.1.1. На получение относящихся к нему персональных данных и информации, касающейся их обработки.

7.1.2. На уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

7.1.3. На защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

7.1.4. На обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.1.5. Иные права, предусмотренные действующим законодательством РФ.

7.2. Субъекты имеют право получать информацию, касающуюся обработки их персональных данных Оператором, направив электронное сообщение по адресу электронной почты Оператора Сведения предоставляются Субъектам в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

7.2.1. Сведения предоставляются Субъекту или его представителю при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись Субъекта или его представителя.

7.2.2. Оператор рассматривает обращение Субъекта в следующем порядке:

- обращение регистрируется в Журнале учета обращений Субъектов;

- проверяется наличие всех обязательных реквизитов обращения;

- проверяется обоснованность обращения;

- предоставляется ответ на обращение.

В зависимости от сути обращения ответ на него должен содержать:

- запрашиваемую Субъектом информацию об обрабатываемых персональных данных;

- мотивированный отказ в предоставлении запрашиваемой информации об обрабатываемых персональных данных;

- уведомление о действиях, совершаемых с персональными данными Субъекта по его обращению.

Ответ на обращение направляется в форме, соответствующей форме обращения Субъекта.

7.3. Субъект вправе отозвать свое согласие на обработку персональных данных в любой момент, направив электронное сообщение по адресу электронной почты Оператора либо направив письменное уведомление по месту нахождения Оператора. После получения такого сообщения обработка персональных данных субъекта персональных данных будет прекращена, а его персональные данные будут удалены, за исключением случаев, когда обработка может быть продолжена в соответствии с законодательством Российской Федерации.

7.4. В случае отзыва Субъектом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Субъекта при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи Федерального закона «О персональных данных».

8. РАЗРЕШЕНИЕ СПОРОВ.

8.1. До обращения в суд с иском по спорам, возникающим из отношений между Оператором и Субъектом, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).

8.2. Срок ответа на претензию составляет 10 (десять) календарных дней с момента ее получения противоположной стороной.

8.3. В случае, если стороны не достигли соглашения, то спор подлежит разрешению в судебном порядке по месту нахождения Оператора.

8.4. К настоящей Политике и отношениям между Оператором и Субъектом применяется действующее законодательство Российской Федерации, где бы ни находился Субъект и используемое им оборудование и программное обеспечение.

9. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ.

ООО «МЕДМАКС»

ИНН 3906390757

ОГРН 1203900004824

236003, г. Калининград, Московский пр-кт, д. 257

Телефон: +7 906 237 55 20

Адрес электронной почты: medmax.kld@mail.ru