Политика обработки персональных данных

1. Общие положения

1.1. Настоящая Политика определяет цели, порядок и условия Обработки Персональных данных Субъектов – пользователей Сайта, чьи Персональные данные (далее – «ПДн») собираются на Сайте, права и обязанности Субъектов и Компании в связи с Обработкой ПДн, собранных Компанией посредством Сайта, а также реализуемые в Компании требования к защите ПДн. Электронная версия Политики расположена на Сайте по адресу https://healthymoderator.ru/politika-obrabotki-personalnykh-dannykh

1.2. Компания оставляет за собой право в любое время Обновлять и изменять Политику.

1.3. Политика вступает в силу со дня ее размещения на Сайте и действует в отношении ПДн Субъектов, полученных Компанией посредством Сайта.

2. Права и обязанности субъектов

2.1. Субъекты ПДн вправе:

  1. получать информацию, касающуюся Обработки своих Персональных данных, в порядке и в объеме, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  2. осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии всех записей, содержащих ПДн, за исключением случаев, когда законодательством Российской Федерации предусматривается иное;
  3.  назначать представителей;
  4. требовать от Компании уточнения ПДн, Блокирования или Уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели Обработки,
  5. принимать предусмотренные законодательством Российской Федерации меры по защите своих прав;
  6. отзывать согласие на обработку ПДн в порядке, предусмотренном настоящей Политикой;
  7. обжаловать действия и бездействие оператора в судебном и ином, предусмотренном законодательством Российской Федерации порядке;
  8. осуществлять иные права, предоставленные им законодательством Российской Федерации.

2.2. Субъекты ПДн должны принимать во внимание и учитывать, что отказ от предоставления Компании ПДн, отказ от предоставления Компании согласия на Обработку ПДн или отзыв ранее данного Компании согласия на Обработку ПДн может повлечь невозможность дальнейшего выполнения Компанией своих обязательств в отношении Субъекта ПДн.

3. Права и обязанности Компании при осуществлении обработки персональных данных

3.1. Компания, осуществляя Обработку ПДн, вправе:

  1. осуществлять Обработку ПДн, полученных Компанией законным способом, для целей, установленных настоящей Политикой и согласиями на Обработку ПДн;
  2. поручить Обработку ПДн другому лицу с согласия Субъектов ПДн на основании заключаемого с этим лицом договора;
  3. ограничить Доступ Субъекта ПДн к его ПДн в соответствии с федеральными законами, в том числе в случае, если Доступ нарушает права и законные интересы третьих лиц;
  4. совершать иные действия с ПДн, не противоречащие законодательству Российской Федерации в области ПДн.

3.2. При осуществлении Обработки ПДн Компания выполняет следующие обязанности:

  1. не сообщает, не раскрывает третьим лицам и не распространяет ПДн без согласия Субъектов ПДн, за исключением случаев, когда такое Раскрытие и/или Распространение допускается или требуется в соответствии федеральными законами;
  2. получает согласия Субъектов на Обработку их ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации, в которых Обработка ПДн возможна без согласия Субъекта ПДн;
  3. при сборе ПДн обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн Субъектов, являющихся гражданами Российской Федерации, с использованием баз данных, находящихся на территории Российской Федерации;
  4. принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного Доступа к ним, Уничтожения, изменения, Блокирования, копирования, Предоставления, Распространения, Разглашения, а также от иных неправомерных действий в отношении ПДн;
  5. обеспечивает неограниченный доступ к настоящей Политике Компании и к сведениям о реализуемых требованиях к защите ПДн;
  6. блокирует или обеспечивает Блокирование ПДн на период внутренней проверки в случае выявления: неправомерной Обработки ПДн; неточных ПДн; отсутствия возможности Уничтожения ПДн в течение срока, указанного в законодательстве Российской Федерации в области ПДн или в локальных актах Общества;
  7. сообщает в установленном порядке Субъектам ПДн или их представителям информацию о наличии ПДн, относящихся к соответствующим Субъектам, безвозмездно предоставляет возможность ознакомления с этими ПДн при Обращении и (или) поступлении запросов указанных Субъектов ПДн или их представителей, если иное не установлено законодательством Российской Федерации;
  8. по запросу Субъекта ПДн или его представителя в установленные законом сроки вносит необходимые изменения в ПДн, если они являются неполными, неточными или неактуальными, или уничтожает ПДн, если в соответствии с предоставленными Субъектом или его представителем сведениями ПДн не являются необходимыми для заявленной цели Обработки;
  9. информирует в письменном виде получателей документов, электронных файлов и иной информации, содержащей ПДн, о необходимости соблюдения конфиденциальности получаемых ПДн;
  10. выполняет иные обязанности, возложенные на Компанию как на оператора ПДн в соответствии с законодательством Российской Федерации.

4. Цели обработки персональных данных

4.1. Компания обрабатывает ПДн Субъектов для достижения следующих целей:

  1. обеспечения доступа к Сайту, регистрации на Сайте, заполнения форм обратной связи на Сайте;
  2. получения технической поддержки администратора Сайта при возникновении проблем с работой Сайта;
  3. оформления заказов на информационно-консультационные услуги, а так же исполнения договоров и обязательств с Субъектами ПДн;
  4. реализации обратной связи и обеспечения коммуникации с Субъектами ПДн;
  5. проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг;
  6. при наличии согласия Субъекта ПДн, предоставленного путем проставления галочки на Сайте, подписки на рассылку информационных материалов Компании, в том числе рекламных рассылок, уведомлений о проводимых Компанией мероприятиях, акциях и новостей Компании;
  7. при наличии согласия Субъекта ПДн, предоставленного путем проставления галочки на Сайте, предоставления ПДн Субъекта для изучения Компанией потребительского спроса и направления Субъекту материалов и сообщений, в том числе рекламных рассылок, уведомлений о проводимых Компанией мероприятиях, акциях и новостей;
  8. обеспечения защиты и безопасности ПДн, в том числе при расследовании кибератак, случаев мошенничества и других злоупотреблений;
  9. в иных целях, предусмотренных законодательством Российской Федерации.

4.2. Обработка ПДн, не совместимая с заявленными целями Обработки, Компанией не допускается.

5. Правовые основания обработки персональных данных

5.1. Компания осуществляет Обработку ПДн, основываясь на следующих законах и нормативных актах:

  1. Конституция Российской Федерации;
  2. Гражданский кодекс Российской Федерации;
  3. Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  4. Федеральный закон от 13 марта 2006 года № 38-ФЗ «О рекламе»;
  5. Федеральный закон от 7 июля 2003 года № 126-ФЗ «О связи»;
  6. иные применимые нормативные правовые акты Российской Федерации.

5.2. Компания осуществляет Обработку ПДн, руководствуясь также:

  1. локальными актами Компании, регламентирующими вопросы Обработки ПДн;
  2. договорами, заключаемыми Компанией с Субъектами ПДн;
  3. согласиями Субъектов ПДн на Обработку их ПДн.

6. Объём и категории персональных данных, обрабатываемых Компанией. Категории субъектов персональных данных

6.1. При наличии соответствующих правовых оснований и в рамках достижения целей, указанных в п.4 Политики, Компанией осуществляется Обработка следующих ПДн Субъектов:

  1. фамилия, имя, отчество;
  2. пол;
  3. почтовый адрес;
  4. номер телефона;
  5. адрес электронной почты;
  6. иные ПДн, предоставляемые Субъектами ПДн.

6.2. ПДн Субъекта также являются IP-адрес, вид операционной системы, тип устройства (персональный компьютер, мобильный телефон, планшет), тип браузера, географическое положение, формат заполнения веб – форма, провайдер – поставщик услуг сети интернет, если Компания может соотнести эту информацию с конкретным Субъектом.

6.3. Компания использует файлы cookie. Посещая Сайт, Субъект дает согласие на обработку файлов cookie с использованием метрических сервисов Google Analytics, Яндекс.Метрика и иных подобных сервисов для аналитики и повышения уровня работы Сайта.

6.4. Компания не обрабатывает Специальные категории ПДн Субъектов, а также Биометрические ПДн.

6.5. Компания не проверяет достоверность полученных ПДн.

6.6. В соответствии с настоящей Политикой Компания обрабатывает ПДн Субъектов (пользователей Сайта) по перечню, приведенным в п. 6.1. – 6.3.

7. Порядок и условия обработки персональных данных

7.1. Обработка ПДн осуществляется Компанией следующими способами:

  1. Неавтоматизированная Обработка ПДн;
  2. Автоматизированная Обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  3. смешанная Обработка ПДн.

7.2. Для достижения целей Обработки и на основании согласия Субъекта ПДн Компания может поручать Обработку ПДн третьим лицам. При заключении договора с лицом, осуществляющим Обработку ПДн по поручению Компании, Компания определяет перечень действий с ПДн, которые будут совершаться лицом, осуществляющим Обработку, цели Обработки ПДн, обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при Обработке, а также требования к защите обрабатываемых ПДн в соответствии с законодательством Российской Федерации.

7.3. Передача ПДн третьим лицам (за исключением Общедоступных Персональных данных и Обезличенных данных) допускается с согласия Субъектов ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации.

7.4. При передаче ПДн третьим лицам Компания информирует принимающую сторону в сопроводительном письме или сообщении о том, что передаваемая информация содержит ПДн, в отношении которых должны соблюдаться требования конфиденциальности.

7.5. Компания принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного Доступа к ним, Уничтожения, изменения, Блокирования, копирования, Предоставления, Распространения, а также от иных неправомерных действий в отношении ПДн. В частности, Компания:

  1. назначает Ответственного за организацию Обработки;
  2. принимает настоящую Политику, а также локальные акты по вопросам Обработки ПДн, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  3. осуществляет внутренний контроль и (или) аудит соответствия Обработки ПДн действующему законодательству Российской Федерации и локальным актам Общества;
  4. организует учет Материальных носителей, содержащих ПДн;
  5. хранит Материальные носители ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный Доступ к ним;
  6. исключает передачу ПДн третьим лицам при отсутствии согласия Субъекта ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации;
  7. знакомит Работников Компании, осуществляющих Обработку ПДн, с положениями законодательства Российской Федерации о Персональных данных и соответствующими локальными нормативными актами.

7.6. Компания применяет меры по обеспечению безопасности ПДн при Обработке в информационных системах ПДн. К таким мерам, в частности, относится:

  1. определение типа Актуальных угроз безопасности ПДн, применимых к информационным системам ПДн Компании;
  2. применение организационных и технических мер по обеспечению безопасности ПДн при их Обработке в информационных системах ПДн;
  3. при необходимости, применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
  4. оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
  5. обнаружение фактов несанкционированного Доступа к ПДн и принятие необходимых мер;
  6. восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного Доступа к ним;
  7. установление правил Доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с Персональными данными в информационной системе ПДн;
  8. контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн;
  9. определение вида (видов) информационной системы ПДн Компании;
  10. определение категорий ПДн, обрабатываемых в соответствующей информационной системе ПДн;
  11. определение категорий Субъектов, ПДн которых обрабатываются в информационной системе ПДн;
  12. определение числа Субъектов, ПДн которых обрабатываются в информационной системе ПДн;
  13. реализация иных мер, направленных на соблюдение требований к безопасности информационной системы ПДн на основании требований к уровню защищенности, применимых к соответствующей информационной системе.

7.7. Хранение ПДн осуществляется в форме, позволяющей определить Субъекта ПДн не дольше, чем этого требуют цели Обработки ПДн, за исключением случаев, когда иные сроки хранения установлены законодательством Российской Федерации, согласием Субъекта ПДн или договором.

8. Актуализация, исправление, удаление и уничтожение персональных данных

8.1. В срок, не превышающий 7 (семи) рабочих дней со дня получения от Субъекта ПДн или его представителя сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Компания обязана внести в них необходимые изменения.

8.2. В срок, не превышающий 7 (семи) рабочих дней со дня получения от Субъекта ПДн или его представителя сведений, подтверждающих, что его ПДн являются незаконно полученными или не являются необходимыми для заявленной цели Обработки, Компания обязана уничтожить такие ПДн.

8.3. Сведения, указанные в пп. 8.1. и 8.2., считаются полученными от Субъекта ПДн или его представителя, если они предоставлены в виде письма на бумажном носителе за подписью Субъекта ПДн или его представителя либо направлены с адреса электронной почты, указанного Субъектом ПДн или его представителем при заполнении форм обратной связи на Сайте.

8.4. Компания обязана уведомить Субъекта ПДн или его представителя о внесенных изменениях и мерах, предпринятых в соответствии с пп. 8.1 и 8.2 выше, и принять разумные меры для уведомления третьих лиц, которым ПДн этого Субъекта были переданы.

8.5. При достижении целей Обработки ПДн, а также в случае отзыва Субъектом ПДн согласия на их Обработку в срок, не превышающий 30 дней, Компания уничтожает ПДн, за исключением случаев, если:

  1. иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн;
  2. Компания вправе осуществлять Обработку без согласия Субъекта ПДн на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
  3. иное предусмотрено иным соглашением между Компанией и Субъектом ПДн.

8.6. Компания обязана сообщить Субъекту ПДн или его представителю по его Обращению информацию о наличии ПДн, относящихся к данному Субъекту, и об осуществляемой Компанией Обработке ПДн Субъекта.

8.7. Компания прекращает Обработку ПДн или обеспечивает прекращение такой Обработки (если Обработка осуществляется другим лицом, действующим по поручению Компании) и уничтожает ПДн или обеспечивает их Уничтожение (если Обработка осуществляется другим лицом, действующим по поручению Компании) в случаях и в сроки, установленные законодательством Российской Федерации.

9. Рассмотрение обращений и запросов субъектов персональных данных и их представителей

9.1. Обращения и запросы могут быть переданы Субъектами ПДн или их законными представителями в Компанию направлены по электронной почте на адрес info@healthymoderator.ru с указанием желаемого способа получения ответа из Компании: по почте или по электронной почте на адрес Субъекта ПДн или его законного представителя, указанный в Обращении или запросе.

9.2. Ответ на Обращение или запрос предоставляется Компанией при получении соответствующего Обращения или запроса или в течение 30 дней с момента их получения.

9.3. В случае если указанные сведения, а также обрабатываемые ПДн были предоставлены для ознакомления Субъекту ПДн по его запросу, Субъект ПДн вправе обратиться повторно в Компанию или направить повторный запрос в целях получения указанных сведений и ознакомления с такими ПДн не ранее чем через 30 дней после первоначального Обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект ПДн.

9.4. Субъект ПДн вправе обратиться повторно в Компанию или направить повторный запрос в целях получения указанных сведений, а также в целях ознакомления с обрабатываемыми ПДн до истечения 30-дневного срока, в случае если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального Обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

9.5. Компания вправе отказать Субъекту ПДн в выполнении повторного запроса, не соответствующего вышеуказанным условиям. Такой отказ должен быть мотивированным.

9.6. Работники Компании, виновные в нарушении порядка обработки и защиты ПДн, несут ответственность, предусмотренную законодательством Российской Федерации и локальными актами Компании.