ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «ЦЭМИД»

ООО «ЦЭМИД» (далее — «Компания») ИНН 3525407899 ОГРН 1173525028115
Адрес местонахождения: Вологда, Южакова д. 4, 5 этаж

Настоящая Политика регулирует отношения, связанные с обработкой персональных данных пациентов, работников ООО «ЦЭМИД», а также иных лиц. Документ предназначен для публичного ознакомления неограниченного круга лиц на официальном веб-сайте Компании в информационно-телекоммуникационной сети Интернет.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика действует в отношении всех персональных данных, которые обрабатывает Компания, являющаяся оператором персональных данных.

1.2. Политика распространяется на отношения в области обработки персональных данных, возникшие у Компании как до, так и после утверждения настоящей Политики.

1.3. Основные понятия, используемые в Политике:

• персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
• оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), привлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, уничтожение, блокирование;
• автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
• предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
• блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.4. Основные права Компании:

• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязательств, предусмотренных законодательством о персональных данных;
• поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;
• отказать субъекту персональных данных в предоставлении информации в случаях, предусмотренных законом;
• обрабатывать персональные данные без согласия субъекта в предусмотренных законом случаях (в т. ч. в медико-профилактических целях, для защиты жизненно важных интересов и т. д.).

1.5. Основные обязанности Компании:

• организовывать обработку персональных данных в соответствии с требованиями законодательства;
• отвечать на обращения и запросы субъектов персональных данных и их законных представителей в установленный срок;
• разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные и (или) дать согласие на их обработку в случаях, когда это обязательно по закону;
• не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством;
• осуществлять трансграничную передачу данных в порядке и на условиях, предусмотренных законодательством;
• в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу уполномоченного органа по защите прав субъектов персональных данных — осуществить блокирование неправомерно обрабатываемых персональных данных или обеспечить их блокирование;
• уведомлять уполномоченный орган по защите прав субъектов персональных данных о факте неправомерной или случайной передачи персональных данных, повлёкшей нарушение прав субъектов;
• прекратить обработку и уничтожить персональные данные при достижении цели их обработки или по истечении установленных сроков;
• уведомить Роскомнадзор о намерении осуществлять обработку персональных данных и сообщать об изменениях в ранее представленных сведениях;
• предоставлять Роскомнадзору необходимую информацию по запросу в течение 10 рабочих дней.

1.6. Основные права субъекта персональных данных:

• получать информацию, касающуюся обработки его персональных данных (с учётом ограничений, установленных законом);
• требовать уточнения, блокирования или уничтожения своих персональных данных, если они неполные, устаревшие, неточные, незаконно получены или не нужны для заявленной цели обработки;
• требовать прекращения передачи своих персональных данных, ранее разрешённых для распространения;
• выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения товаров, работ и услуг;
• обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Компании при обработке его персональных данных.

1.7. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в Компании.

1.8. Ответственность Компании за нарушение требований законодательства в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.3. Обработка Компанией персональных данных осуществляется в следующих целях:

• обеспечение соблюдения Конституции РФ и федеральных законов;
• осуществление уставной деятельности Компании;
• соблюдение требований трудового, налогового, пенсионного законодательства;
• содействие работникам в трудоустройстве, получении образования, продвижении по службе;
• выполнение требований законодательства о размещении информации о работниках на официальном сайте Компании;
• привлечение и отбор кандидатов на работу в Компании;
• организация постановки на индивидуальный учёт работника в системе обязательного пенсионного страхования;
• заполнение и передача отчётности в органы исполнительной власти;
• выполнение требований законодательства в сфере охраны здоровья граждан;
• оформление пациентами социального вычета по расходам на лечение;
• исполнение договоров, стороной которых является субъект персональных данных;
• информирование пациентов и третьих лиц об услугах и акциях Компании;
• оформление клубных карт и подарочных сертификатов;
• коммуникация с Компанией через телефон, смс, мессенджеры, соцсети, веб-сайт;
• предоставление сведений о пациенте страховой компании или другим медицинским организациям в интересах обследования и лечения;
• ведение бухгалтерского учёта;
• осуществление пропускного режима.

3. СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Категории субъектов персональных данных:

• посетители Сайта;
• клиенты Оператора;
• потенциальные клиенты;
• лица, записавшиеся через виджет UNIVERSE.

3.2. Перечень обрабатываемых персональных данных:

• фамилия, имя, отчество;
• дата рождения;
• контактный номер телефона;
• адрес электронной почты;
• паспортные данные (при необходимости идентификации);
• данные о записи на процедуры (дата, время, специалист, выбранная услуга);
• IP-адрес, cookie, данные браузера (через Яндекс Метрику);
• платёжные реквизиты (при оплате услуг);
• дополнительные комментарии пользователя (при наличии);
• иные данные, необходимые для оказания услуг.

3.3. Обработка данных с использованием Яндекс Метрики

При посещении Сайта автоматически собираются следующие данные:

• IP-адрес;
• тип и версия браузера;
• операционная система;
• страницы посещения и время на сайте;
• источник перехода на сайт;
• cookie-файлы.

Цели обработки: анализ поведения пользователей, оптимизация контента, оценка эффективности рекламных кампаний, выполнение обязательств Оператора перед Пользователями в отношении использования Сайта и его сервисов, анализ пользовательской активности с помощью Яндекс Метрики, организация обратной связи с пользователями (через формы «Остались вопросы», «Заказать обратный звонок»), улучшение продуктов, услуг и коммуникаций Оператора, исполнение договоров с Пользователями, организация записи пользователей к специалистам Оператора на процедуры через сервис UNIVERSE.

Правовое основание: согласие пользователя, полученное через баннер уведомления при первом посещении Сайта.

Возможность отказа: пользователь вправе отказаться от обработки данных через Яндекс Метрику:

• в настройках браузера (отключение cookie);
• с помощью надстройки Яндекса: https://yandex.com/support/metrica/general/opt-out.html?lang=ru

Политика конфиденциальности Яндекса: https://yandex.ru/legal/confidential/?lang=ru

3.4. Обработка данных с использованием UNIVERSE

Категории субъектов персональных данных: посетители сайта, клиенты Оператора, потенциальные клиенты, партнёры Оператора.

3.4.1. Какие персональные данные мы собираем с использованием UNIVERSE

Мы можем собирать различные данные/информацию, включая:

• имя и фамилию;
• дату рождения;
• почтовый адрес;
• номер телефона;
• адрес электронной почты.

Персональные данные могут также включать в себя дополнительно предоставляемые Пользователями по запросу Оператора в целях исполнения Оператором обязательств перед Пользователями, вытекающих из договора на оказание услуг. Оператор вправе, в частности, запросить у Пользователя копию документа, удостоверяющего личность, либо иного документа, содержащего имя, фамилию, фотографию Пользователя, а также иные дополнительные данные, которые, по усмотрению Оператора, будут являться необходимыми и достаточными для идентификации такого Пользователя и позволят исключить злоупотребления и нарушения прав третьих лиц.

3.4.2. Использование персональных данных, собранных с использованием UNIVERSE

Собираемые нами персональные данные позволяют направлять Вам уведомления о новых продуктах, специальных предложениях и различных событиях. Они также помогают нам улучшать наши услуги, контент и коммуникации. Если Вы не желаете быть включённым в наш список рассылки, Вы можете в любое время отказаться от рассылки путём информирования нас по указанным контактам для обратной связи.

Мы можем использовать Ваши персональные данные для отправки важных уведомлений о расписании, поздравлении с днем рождения, содержащих информацию об изменениях наших положений, условий и политик, а также подтверждающих размещённые Вами заказы и совершённые покупки. Поскольку такая информация важна для Ваших взаимоотношений с Оператором, Вы не можете отказаться от получения таких сообщений.

Мы также можем использовать персональную информацию для внутренних целей, таких как: проведение аудита оказанных услуг, анализ данных и различных исследований в целях улучшения продуктов и услуг Оператора, а также взаимодействие с потребителями.

3.5. Правовые основания для каждой формы сбора данных:

• Форма «Остались вопросы»: согласие субъекта (п. 1 ч. 1 ст. 6 152-ФЗ), цель — организация обратной связи.
• Форма «Заказать обратный звонок»: согласие субъекта (п. 1 ч. 1 ст. 6 152-ФЗ), цель — организация обратной связи.
• Программа UNIVERSE: исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ), цели — запись на процедуры, подтверждение записи, информирование об изменениях.
• Платёжная форма: исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ), цель — обработка платежей.

4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Компания осуществляет обработку персональных данных, в т. ч.:

• Конституция РФ;
• Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Гражданский кодекс РФ;
• Трудовой кодекс РФ;
• Налоговый кодекс РФ;
• Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте»;
• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учёте в системе обязательного пенсионного страхования»;
• Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
• Постановление Правительства РФ от 04.10.2012 № 1006 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Компании.

4.2. Правовым основанием также являются: устав Компании, локальные нормативные акты, договоры, согласие субъектов персональных данных на обработку их персональных данных.

5. ОБЪЁМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ

5.1. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

5.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5.3. При обработке персональных данных должны быть обеспечены точность персональных данных и достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Компания должна принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

5.4. Компания может обрабатывать персональные данные следующих категорий субъектов персональных данных:

5.5.1. Кандидаты на вакантные должности, открытые в Компании:

• фамилия, имя, отчество;
• гражданство;
• дата и место рождения;
• контактная информация;
• сведения об образовании, опыте работы, квалификации;
• иные персональные данные, сообщаемые кандидатами в резюме, в т. ч. на сайтах по поиску работы, и сопроводительных письмах.

5.5.2. Работающие и бывшие работники Компании:

• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• паспортные данные;
• адрес регистрации и фактического проживания;
• контактная информация;
• банковские реквизиты;
• индивидуальный номер налогоплательщика (ИНН);
• страховой номер индивидуального лицевого счёта (СНИЛС);
• сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
• семейное положение;
• сведения о трудовой деятельности, в т. ч. наличие поощрений, награждений и (или) дисциплинарных взысканий;
• данные о регистрации брака при смене фамилии работником;
• сведения о воинском учёте;
• сведения об инвалидности;
• сведения об удержании алиментов;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового, налогового, пенсионного и другого применимого законодательства.

5.5.3. Пациенты Компании:

• фамилия, имя, отчество;
• дата и место рождения;
• паспортные данные;
• адрес регистрации и фактического проживания;
• контактная информация;
• банковские реквизиты в случае перечисления денежных средств;
• сведения о состоянии здоровья;
• данные полиса медицинского страхования;
• индивидуальный номер налогоплательщика;
• иные персональные данные, предоставляемые пациентами, необходимые для заключения и исполнения договора.

5.5.4. Представители пациентов, заказчики по договорам:

• фамилия, имя, отчество;
• паспортные данные;
• адрес регистрации и фактического проживания;
• контактная информация;
• банковские реквизиты в случае перечисления денежных средств;
• индивидуальный номер налогоплательщика;
• иные персональные данные, предоставляемые представителями и заказчиками, необходимые для заключения и исполнения договора.

5.5.5. Контрагенты Компании (физические лица):

• фамилия, имя, отчество;
• паспортные данные;
• адрес регистрации и фактического проживания;
• контактная информация;
• банковские реквизиты;
• индивидуальный номер налогоплательщика;
• иные персональные данные, предоставляемые контрагентами, необходимые для заключения и исполнения договора.

5.5.6. Представители контрагентов Компании (юридических лиц):

• фамилия, имя, отчество;
• паспортные данные;
• адрес регистрации и фактического проживания;
• контактная информация;
• занимаемая должность;
• иные персональные данные, предоставляемые представителями, необходимые для заключения и исполнения договора.

4.6. Обработка специальной категории персональных данных и биометрических персональных данных осуществляется только в объёме сведений о состоянии здоровья в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг.

6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных осуществляется Компанией в соответствии с требованиями законодательства Российской Федерации.

6.2. Обработка персональных данных осуществляется:

• с согласия субъектов персональных данных на обработку их персональных данных;
• без согласия в случаях, предусмотренных законодательством РФ, в частности, когда обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

6.3. Компания может осуществлять как автоматизированную, так и неавтоматизированную обработку персональных данных.

6.4. К обработке персональных данных допускаются работники Компании, в должностные обязанности которых входит обработка соответствующих категорий персональных данных.

6.5. Компания при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.6. Компания получает персональные данные в устной и письменной форме:

• непосредственно от субъектов персональных данных;
• из общедоступных источников;
• от других операторов персональных данных.

6.7. Компания вносит персональные данные работников в трудовой договор, дополнения и приложения к нему.

6.8. Компания вносит персональные данные пациентов:

• в медицинские документы, предусмотренные законодательством в сфере охраны здоровья граждан;
• в клубные карты и подарочные сертификаты;
• в информационные системы Компании для достижения целей, предусмотренных настоящей Политикой.

6.9. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

6.10. Передача персональных данных органам дознания и следствия, в суд, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти осуществляется в соответствии с требованиями законодательства РФ.

6.11. Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных, в т. ч.:

• определяет угрозы безопасности персональных данных при их обработке;
• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Компании;
• создаёт необходимые условия для работы с персональными данными;
• организует учёт документов, содержащих персональные данные;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
• принимает иные необходимые меры.

6.12. Компания осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договорами, стороной которых, выгодоприобретателем или поручителем по которым является субъект персональных данных.

6.13. При сборе персональных данных, в т. ч. посредством информационно-телекоммуникационной сети Интернет, Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в законе.

7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

7.1. В случае подтверждения факта неточности персональных данных Компания на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, осуществляет уточнение персональных данных в течение 7 рабочих дней с даты представления таких сведений и уведомляет об этом субъекта персональных данных или его представителя, а также Роскомнадзор (если запрос поступил от него).

7.2. В случае выявления неправомерной обработки персональных данных, осуществляемой Компанией либо лицом, действующим по поручению Компании, Компания в срок не более 3 рабочих дней с момента выявления такого факта:

• прекращает неправомерную обработку персональных данных;
• если обеспечить правомерность обработки персональных данных невозможно, в срок не более 10 рабочих дней уничтожает соответствующие персональные данные или обеспечивает их уничтожение;
• уведомляет субъекта персональных данных или его представителя и Роскомнадзор о принятых мерах.

7.3. В случае достижения цели обработки персональных данных Компания в срок, не превышающий 30 дней с даты достижения цели, прекращает обработку персональных данных или обеспечивает её прекращение (если обработка осуществляется другим лицом, действующим по поручению Компании) и уничтожает персональные данные или обеспечивает их уничтожение в течение 30 дней.

7.4. Уничтожение персональных данных осуществляется:

• для материальных носителей — путём физического уничтожения (измельчение, сжигание и т. д.) или необратимого удаления данных с носителей (стирание, форматирование с перезаписью);
• для электронных баз данных — путём необратимого удаления записей из баз данных и резервных копий, удаления файлов и папок с носителей, включая архивные копии.

7.5. Компания обеспечивает документальное подтверждение факта уничтожения персональных данных путём составления акта об уничтожении персональных данных, содержащего:

• наименование Компании;
• дату уничтожения персональных данных;
• перечень категорий уничтожаемых персональных данных;
• способ уничтожения;
• должности, фамилии и подписи лиц, ответственных за уничтожение персональных данных.

7.6. Срок хранения персональных данных определяется исходя из:

• требований законодательства РФ (трудового, налогового, пенсионного, архивного и т. д.);
• условий договоров, стороной которых является субъект персональных данных.

7.7. Сроки хранения отдельных категорий персональных данных:

• Данные из форм обратной связи — 30 дней после ответа (ч. 4 ст. 21 152-ФЗ);
• Данные клиентов — в течение срока действия договора + 5 лет (Налоговый кодекс РФ);
• Cookie и данные Яндекс Метрики — 12 месяцев (согласие пользователя);
• История записей UNIVERSE — 3 года (внутренние регламенты Оператора);
• Подтверждения записи (SMS/email) — 6 месяцев (внутренние регламенты Оператора);
• Платёжные данные — в соответствии с требованиями банка;
• Персональные данные работников — в соответствии с требованиями архивного законодательства (до 75 лет для некоторых документов);
• Персональные данные пациентов — не менее 25 лет с момента последнего обращения (в соответствии с требованиями законодательства в сфере здравоохранения);
• Персональные данные кандидатов на вакантные должности — не более 1 года с даты получения данных (если не заключён трудовой договор);

8. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Компания вправе осуществлять трансграничную передачу персональных данных при соблюдении требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

8.2. Перед началом трансграничной передачи Компания обязана:

• убедиться, что иностранное государство, на территорию которого планируется передача данных, обеспечивает адекватную защиту прав субъектов персональных данных;
• получить от получателя данных письменные обязательства о соблюдении конфиденциальности и обеспечении безопасности персональных данных;
• уведомить Роскомнадзор о намерении осуществлять трансграничную передачу данных с указанием категорий передаваемых персональных данных, целей передачи, перечня иностранных государств, на территории которых будут обрабатываться данные, сведений о мерах защиты данных, которые обязуется принять получатель.

8.3. Трансграничная передача персональных данных не допускается, если:

• иностранное государство не обеспечивает адекватную защиту прав субъектов персональных данных;
• передача противоречит целям сбора персональных данных;
• имеются прямые запреты, установленные законодательством РФ.

8.4. Передача персональных данных:

8.4.1. Передача осуществляется только в случаях: исполнения договора с пользователем, с согласия субъекта, по требованию закона.

8.4.2. Конкретные получатели:

• ООО «Юниверс» (для виджета UNIVERSE): цель — организация записи на процедуры, основание — договор поручения, страна местонахождения: РФ;
• Яндекс Метрика (ООО «Яндекс»): цель — аналитика поведения пользователей, основание — согласие пользователя, страна местонахождения: РФ;
• Банк ВТБ (ПАО) (ИНН 7702070139): цель — обработка платежей, основание — исполнение договора, меры защиты: шифрование данных, ограничение доступа, страна местонахождения: РФ;
• Хостинг-провайдеры: цель — обеспечение работы Сайта, основание — договор на оказание услуг, страна местонахождения: РФ.

Механизмы защиты при передаче: шифрование данных при передаче, заключение соглашений о конфиденциальности, ограничение доступа к данным, аудит безопасности получателей данных.

9. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

9.1. Компания принимает следующие меры для защиты персональных данных:

Правовые меры: разработка и утверждение локальных нормативных актов по обработке и защите персональных данных, заключение соглашений о неразглашении с работниками и контрагентами, имеющими доступ к персональным данным, включение в договоры с контрагентами условий о защите персональных данных.

Организационные меры: назначение ответственного за организацию обработки персональных данных, ограничение доступа к персональным данным только для уполномоченных работников, разграничение прав доступа в информационных системах, обучение работников правилам обработки и защиты персональных данных, организация режима охраны помещений, в которых ведётся обработка персональных данных, учёт и хранение материальных носителей персональных данных.

Технические меры (ст. 19 152-ФЗ): использование сертифицированных средств защиты информации, аутентификация пользователей информационных систем, шифрование данных при передаче по открытым каналам связи, антивирусная защита, резервное копирование данных, регистрация и учёт всех действий с персональными данными, защита от несанкционированного доступа к информационным системам.

10. ПОРЯДОК ВНЕСЕНИЯ ИЗМЕНЕНИЙ В ПОЛИТИКУ

10.1. Изменения в настоящую Политику могут вноситься в связи с:

• изменением законодательства РФ в сфере обработки персональных данных;
• изменением целей и способов обработки персональных данных Компанией;
• выявлением новых угроз безопасности персональных данных.

10.2. Изменения утверждаются приказом директора Компании.

10.3. Обновлённая версия Политики публикуется на официальном веб-сайте Компании в течение 10 рабочих дней после утверждения изменений.

10.4. Субъекты персональных данных считаются уведомлёнными об изменениях в Политике с момента публикации обновлённой версии на сайте Компании.

10.5. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://cemid.ru/privacy-policy

11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

11.1. Настоящая Политика вступает в силу с даты её утверждения генеральным директором Компании.

11.2. Все споры и разногласия, возникающие в связи с применением настоящей Политики, разрешаются в порядке, установленном законодательством Российской Федерации.