ПОЛИТИКА ООО «ТОРГОВЫЙ ДОМ МЕДИЦИНА ПЛЮС» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.Сведения о Компании
1.1.Общество с ограниченной ответственностью «Торговый Дом Медицина Плюс», именуемое в дальнейшем Компания, зарегистрировано на территории Российской Федерации.
Краткое наименование: ООО «Торговый Дом Медицина Плюс»
ИНН / КПП: 3702692809/370201001
Юридический адрес: 153002, г. Иваново, ул. Громобоя, д. 1Д, литер С, оф. 107
Официальный сайт Компании: doctorbig.ru
2.Общие положения
2.1.Настоящая Политика в отношении обработки персональных данных (далее – «Политика») подготовлена в соответствии с п. 2 ч .1 ст. 18.1 Федерального закона Российской Федерации «О персональных данных» N 152-ФЗ от 27 июля 2006 года (далее – «152-ФЗ») и раскрывает способы и принципы обработки Компанией персональных данных, права и обязанности Компании при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Компанией в целях обеспечения безопасности персональных данных при их обработке.
3.Принципы обработки персональных данных
3.1.Компания в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
3.2.Обработка Компанией персональных данных осуществляется только в соответствии с целями, определившими их получение, при этом персональные данные, полученные работниками Компании, при исполнении ими должностных обязанностей подлежат защите.
3.3.В Компании не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.4.На работников Компании возлагается обязанность по соблюдению конфиденциальности полученной информации. Право доступа для обработки персональных данных имеют только ответственные должностные лица (работники Компании) в соответствии с возложенными на них функциональными обязанностями.
3.5.Обработка персональных данных Компанией осуществляется с учетом соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных, достоверности персональных данных, их достаточности для целей обработки, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных. Компания принимает необходимые меры по удалению или уточнению неполных, или неточных данных в соответствии с локальными нормативными актами Компании.
3.6.Хранение персональных данных в Компании осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.7.Сроки хранения персональных данных определяются в соответствии со сроком действия гражданско-правовых отношений между субъектом персональных данных и Компанией, сроком исковой давности, сроками хранения документов на бумажных носителях и документов в электронных базах данных, иными требованиями законодательства Российской Федерации, а также сроком действия согласия субъекта на обработку его персональных данных.
3.8.Обработка персональных данных в целях проведения маркетинговых мероприятий путем осуществления прямых контактов с субъектами персональных данных с помощью средств связи допускается только при условии получения согласия от субъекта персональных данных. Компания не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.
3.9.Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных настоящей Политикой.
3.10.Обработка персональных данных Компанией включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.11.Компания не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
3.12.Компания не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
3.13.При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
3.14.Компания не осуществляет трансграничную передачу персональных данных.
3.15.Компанией не принимаются решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
3.16.Компания осуществляет смешанную обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.
3.17.Компания вправе поручить обработку персональных данных третьей стороне с согласия субъекта персональных данных и в иных случаях, предусмотренных действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора, (далее – поручение). Третья сторона, осуществляющая обработку персональных данных по поручению Компании, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152, обеспечивая конфиденциальность и безопасность персональных данных при их обработке.
4.Меры по надлежащей организации обработки и обеспечению безопасности персональных данных
4.1.Компания при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами
4.1.1.Назначением ответственного лица за организацию обработки и обеспечение безопасности персональных данных.
4.1.2.Осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.
4.1.3.Ознакомлением работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и/или обучением указанных работников.
4.1.4.Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
4.1.5.Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
4.1.6.Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
4.1.7.Учетом машинных носителей персональных данных.
4.1.8.Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
4.1.9.Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
4.1.10.Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
4.1.11.Контролем над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
5.Права субъектов персональных данных
5.1.Субъекты, чьи ПДн обрабатываются в Компании, могут получить разъяснения по вопросам обработки своих ПДн, обратившись лично в Компанию или направив соответствующий письменный запрос по адресу местонахождения Компании.
5.2.В случае направления официального запроса в Компанию в тексте запроса необходимо указать:
5.2.1.фамилию, имя, отчество субъекта ПДн или его представителя;
5.2.2.номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
5.2.3.сведения, подтверждающие наличие у субъекта ПДн отношений с ИФ (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения);
5.2.4.подпись субъекта ПДн (или его представителя).
5.3.Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
5.3.1.подтверждение факта обработки персональных данных оператором;
5.3.2.правовые основания и цели обработки персональных данных;
5.3.3.цели и применяемые Компанией способы обработки персональных данных;
5.3.4.наименование и место нахождения Компании, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона № 152-ФЗ;
5.3.5.обрабатываемые персональные данные, относящиеся к соответствующему субъекту, источник их получения;
5.3.6.сроки обработки персональных данных, в том числе сроки их хранения;
5.3.7.информацию об осуществленной или о предполагаемой трансграничной передаче данных;
5.3.8.наименование лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
5.3.9.иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
5.4.Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта к его персональным данным нарушает права и законные интересы третьих лиц;
5.5.Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.6.Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться в Компанию. Компания рассматривает обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
5.7.Субъект персональных данных вправе обжаловать действия или бездействие Компании путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
5.8.Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
6.Заключительные положения
6.1.Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Компании по адресу opt.medodegda.ru/confidential/
6.2.Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже 1 раза в три года.
6.3.Контроль исполнения требований настоящей Политики осуществляется Ответственным за организацию обработки персональных данных Компании.
6.4.Ответственность должностных лиц Компании, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Компании.