Политика обработки персональных данных

Дата публикации: 22 декабря 2025 г.

1. Общие положения

1.1. Политика обработки персональных данных в Обществе с ограниченной ответственностью «Коммуникационное агентство «Эр Экс Код» ОГРН: 5157746121066, ИНН: 7726362941, адрес: 117485, Москва, ул. Обручева, д. 30/1, стр. 2, пом. XXIV, ком. 2, оф. 5 (далее соответственно - Политика, Общество), разработанная в соответствии со статьей 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ), устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, цели обработки персональных данных, а также определяет для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2. Политика разработана для реализации в Обществе требований законодательства Российской Федерации в области персональных данных, а также обеспечения защиты прав физических лиц при обработке их персональных данных.

1.3. Обработка персональных данных в Обществе осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, а также Политики.

1.4. Политика является основой для разработки распорядительных и организационно-правовых документов Общества, регламентирующих процессы обработки персональных данных различных категорий субъектов персональных данных, а также порядок реализации мер для защиты обрабатываемых персональных данных.

1.5. Политика обязательна для исполнения работниками, имеющими доступ к персональным данным и осуществляющими их обработку.

1.6. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Обществе используются следующие процедуры:

1.6.1 назначение лица, ответственного за организацию обработки персональных данных в Обществе;

1.6.2. издание локальных нормативных актов в области обработки и защиты персональных данных;

1.6.3. опубликование настоящей Политики на сайте https://medinternet.ru;

1.6.4. получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

1.6.5. предоставление субъектам персональных данных или их представителям информации о наличии персональных данных, относящихся к соответствующим субъектам, предоставление возможности ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;

1.6.6. осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;

1.6.7. оценка вреда, который может быть причинен субъектам персональных данных;

1.6.8. ознакомление лиц, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, Политикой и их обучение принципам и условиям обработки персональных данных;

1.6.9. ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;

1.6.10. недопущение обработки персональных данных, несовместимых с целями сбора персональных данных;

1.6.11. недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

1.6.12. обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки; обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

1.6.13. обеспечение при обработке персональных данных точности персональных данных, их достаточности, а также в необходимых случаях актуальности по отношению к целям их обработки; уничтожение обрабатываемых персональных данных в случаях, установленных законодательством Российской Федерации в области персональных данных;

1.6.14. организация обучения и проведение методической работы с работниками Общества, имеющими доступ к персональным данным и осуществляющими их обработку;

1.6.15. прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;

1.6.16. иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

1.7. Правовыми основаниями обработки персональных данных в Обществе являются: положения нормативных правовых актов, во исполнение и в соответствии с которыми Общество осуществляет обработку персональных данных, включая Конституцию Российской Федерации, Гражданский кодекс Российской Федерации, Гражданский процессуальный кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Арбитражный процессуальный кодекс Российской Федерации, Кодекс Российской Федерации об административных правонарушениях, Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью», Федеральный закон от 27.07.2006№ 149-ФЗ «Об информации, информационных технологиях и о защите информации», Закон РФ от 07.02.1992 № 2300-1«О защите прав потребителей», иные нормативные правовые акты Российской Федерации и уполномоченных органов государственной власти; Устав и локальные нормативные акты Общества; согласия субъектов персональных данных на обработку персональных данных, оформленные с учетом требований законодательства Российской Федерации для соответствующей категории персональных данных.

1.8. Политика применяется ко всей информации, которую Общество может получить о пользователях, посещающих https://medinternet.ru, а также иных пользователей, которые отнесены Обществом к определяемым им сегментам в базах данных и/или системах CRM в рамках осуществляемой Обществом хозяйственной деятельности.

2. Основные понятия, используемые в Политике

2.1. Сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по сетевому адресу https://medinternet.ru.

2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Оператор — юридическое лицо, указанное в п. 1.1 Политики, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.4. Пользователь — любой посетитель Сайта, в т.ч. прошедший регистрацию на Сайте.

2.5. Субъект персональных данных (не ограничиваясь): Пользователи Сайта, специалисты здравоохранения и любые работники медицинской сферы, данные которых получены в ходе осуществления Оператором хозяйственной деятельности, лица, которые каким-либо образом передали свои персональные данные и согласие на их обработку Оператору, в том числе при посещении конференций и иных мероприятий в сфере здравоохранения, а также лица, данные которых получены Оператором при заключении договоров с контрагентами, в т.ч. с поручением на обработку таких данных.

2.6. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

2.7. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.8. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.9. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.10. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом № 152-ФЗ.

2.11. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.12. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.13. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.14. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.15. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.16. Cookie («куки») — текстовые файлы, размещаемые на компьютере пользователей с целью анализа их пользовательской активности на Сайте.

2.17. Партнеры Оператора – третьи лица, с которыми заключены Договоры с условием поручения обработки персональных данных, а также перечнем персональных данных, действий, целей и соблюдением конфиденциальности. Оператор вправе передавать персональные данные третьим лицам только в случаях, предусмотренных действующим законодательством, а также, когда это необходимо, на основании согласия Субъекта персональных данных.

2.18. Надзорный орган – орган, уполномоченный на осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ (Роскомнадзор).

3. Основные права и обязанности Оператора

3.1. Оператор имеет право:

3.1.1 обрабатывать персональные данные Субъектов персональных данных в отсутствие согласия на обработку персональных данных в случаях, предусмотренных Федеральным законом № 152-ФЗ;

3.1.2. осуществлять передачу персональных данных Субъектов персональных данных Партнерам, государственным органам и/или учреждениям, судебным органам, иным лицам (если применимо), а также поручить обработку персональных данных Субъектов персональных данных Партнерам, иным лицам при наличии соответствующих правовых оснований и соблюдении требований Федерального закона № 152-ФЗ;

3.1.3. отказать Субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных Федеральным законом № 152-ФЗ;

3.1.4. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством РФ;

3.1.5. самостоятельно, с учетом требований Федерального закона № 152-ФЗ и принятых в соответствии с ним нормативных правовых актов, определять перечень необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных на основании проведенной оценки актуальных угроз безопасности персональных данных, а также определять порядок реализации указанных мер и проводить оценку эффективности принимаемых мер;

3.1.6. реализовывать иные права, предусмотренные законодательством РФ

3.2. Оператор обязан:

3.2.1. соблюдать требования законодательства РФ в отношении обработки и защиты персональных данных, в том числе требования, предусмотренные для сбора персональных данных;

3.2.2. обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъектов персональных данных (граждан РФ) с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных законодательством РФ;

3.2.3. опубликовать на Сайте документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;

3.2.4. в случае, если предоставление персональных данных и/или согласия на их обработку является обязательным в соответствии с требованиями законодательства РФ и Субъект персональных данных отказывается предоставить персональные данные и/или предоставить согласие на их обработку, разъяснить юридические последствия непредоставления персональных данных и/или согласия на их обработку;

3.2.5. в случае получения персональных данных не от Субъекта персональных данных до начала обработки персональных данных предоставить Субъекту персональных данных информацию, предусмотренную Федеральным законом № 152-ФЗ, с учетом установленных законодательством РФ исключений;

3.2.6. выполнять обязанности, предусмотренные для Операторов персональных данных, при получении запросов и/или обращений по вопросам персональных данных от Субъекта персональных данных и/или его Представителя (обладающего полномочиями на представление интересов Субъекта персональных данных), и/или от Надзорного органа;

3.2.7. принимать меры, направленные на обеспечение выполнения требований Федерального закона № 152-ФЗ/;

3.2.8. принимать меры по обеспечению безопасности персональных данных при их обработке;

3.2.9. выполнять обязанности по устранению нарушений законодательства РФ, если такие нарушения были допущены при обработке персональных данных, а также выполнять обязанности по уточнению, блокированию, уничтожению персональных данных в случаях, предусмотренных законодательством РФ;

3.2.10. выполнять обязанности, установленные Федеральным законом № 152-ФЗ для Операторов персональных данных, в случае получения от Субъекта персональных данных требования о прекращении обработки персональных данных, и/или отзыва согласия на обработку персональных данных, и/или правомерных и соответствующих требованиям Федерального закона № 152-ФЗ запросов, обращений;

3.2.11. взаимодействовать с Надзорным органом по вопросам, связанным с обработкой и защитой персональных данных, в случаях, предусмотренных Федеральным законом № 152-ФЗ;

3.2.12. выполнять иные обязанности, предусмотренные законодательством РФ.

4. Основные права и обязанности субъектов персональных данных

4.1. Субъекты персональных данных имеют право:

4.1.1. свободно, своей волей и в своем интересе предоставлять согласие на обработку персональных данных с учетом требований Федерального закона № 152-ФЗ к форме и содержанию согласий на обработку персональных данных;

4.1.2. направлять запросы и/или обращения, в том числе повторные, и получать информацию по вопросам обработки персональных данных, принадлежащих Субъекту персональных данных, в порядке, форме, объеме и в сроки, установленные законодательством РФ;

4.1.3. требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ меры по защите своих прав с учетом исключений, установленных Федеральным законом № 152-ФЗ;

4.1.4. обратиться с требованием к Оператору прекратить обработку своих персональных данных, а также отозвать предоставленное согласие на обработку персональных данных;

4.1.5. осуществлять иные права, предусмотренные законодательством РФ.

4.2 Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

5. Принципы обработки персональных данных

5.1. Организация обработки и защиты персональных данных, а также реализация процессов, в которых осуществляется обработка персональных данных, производится с учетом общих принципов обработки персональных данных, закрепленных в Федеральном законе № 152-ФЗ, которые являются основой соблюдения требований законодательства РФ, обеспечения безопасности (конфиденциальности, целостности, доступности) персональных данных Субъектов персональных данных, а также защиты прав Субъектов персональных данных. Среди таких принципов:

5.1.1. осуществление обработки персональных данных на законной и справедливой основе;

5.1.2. обеспечение ограничения обработки персональных данных конкретными, заранее определенными и законными целями, в том числе недопущение обработки персональных данных, несовместимой с целями сбора (получения) персональных данных;

5.1.3. недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

5.1.4. осуществление обработки исключительно тех персональных данных, которые отвечают целям обработки персональных данных;

5.1.5. обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных, в том числе недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;

5.1.6. обеспечение точности персональных данных, их достаточности и в необходимых случаях актуальности по отношению к целям обработки персональных данных, а также принятие необходимых мер по уничтожению или уточнению неполных или неточных персональных данных;

5.1.7. осуществление хранения персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;

5.1.8. уничтожение или обеспечение уничтожения персональных данных (если обработка персональных данных осуществляется другим лицо, действующим по поручению Оператора), по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

5.2. Сбор, запись, систематизация, накопление, хранение и уточнение (обновление, изменение) персональных данных субъектов персональных данных осуществляется путем:

5.2.1. получения оригиналов документов;

5.2.2. копирования оригиналов документов;

5.2.3. внесения сведений в учетные формы на бумажных и электронных носителях;

5.2.4. создания документов на бумажных и электронных носителях;

5.2.5. внесения сведений в информационные системы персональных данных Общества.

5.3. Оператор осуществляет обработку персональных данных, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных либо по его просьбе (далее — общедоступные персональные данные).

5.4. Оператор на веб-сайте использует сервисы, использующие технологию «cookies», в том числе Яндекс.Метрика, Рейтинг@Mail.ru. Общество записывает cookies на устройство клиента, которое клиент использует для реализации своих потребностей на сайте. Cookies – это небольшие фрагменты данных, отправленные веб-сервером и хранимые на электронном устройстве клиента. Cookies могут быть отнесены к категории персональных данных в случае, если они предоставляют возможность идентифицировать клиента или посетителя сайта. Cookies могут помочь улучшить работу сайта. Cookies используются для упрощения клиентского опыта пользования сайтом и для сбора аналитики Оператором для улучшения качества предоставляемых услуг на сайте. Cookies не содержат конфиденциальную информацию. Посетитель сайта настоящим дает согласие на сбор, анализ и использование cookies, в том числе третьими лицами для целей формирования статистики и оптимизации рекламных сообщений. Данная информация не используется для установления личности посетителя.

6. Перечень персональных данных, способы обработки и цели

6.1. Оператор использует смешанный способ обработки персональных данных, который представляет собой совокупность указанных ниже способов:

6.1.1. автоматизированного - с применением средств вычислительной техники и специальных сетевых каталогов, предназначенных для работы с конфиденциальной информацией и (или) в информационных системах персональных данных;

6.1.2. неавтоматизированного - путём ведения журналов и фиксации персональных данных на иных бумажных носителях в соответствии с локальными нормативными актами Оператора.

6.2. Обработка персональных данных включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

6.3. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

6.4. Обработка на Сайте персональных данных осуществляется с целью предоставления обратной связи, включая обработку заявок, запросов и обращений, информирования о предоставляемых услугах и о работе Сайта (Сайтов), в том числе:

6.4.1. регистрация на Сайте и принадлежащих Оператору субдоменах и изменение регистрационных данных;

6.4.2. проведение онлайн- и офлайн-мероприятий, в том числе очных визитов, тренингов, семинаров, фарм-кружков, лекций, конференций и иных подобных мероприятий;

6.4.3. проведение проектов и программ;

6.4.4. предоставление субъектам персональных данных информации, документов и материалов, сервисов, продуктов и услуг, в том числе информации о разработке Оператором новых продуктов и услуг, материалов рекламного характера;

6.4.5. контроль и улучшение качества услуг и сервисов Оператора, в том числе предложенных на Сайте (Сайтах);

6.4.6. формирование статистической отчетности.

6.5. Категории субъектов персональных данных, персональные данные которых обрабатываются в соответствии с целью, предусмотренной п. 6.4 настоящей Политики:

6.5.1. Пользователи Сайта;

6.5.2. Физические лица — участники проектов и программ, в т.ч. потенциальные.

6.6. Для цели указанной, в п. 6.4 настоящей Политики, обрабатываются следующие персональные данные:

6.6.1. учетная информация (уникальное имя Пользователя (логин) и пароль для входа на Сайт, указываемые Пользователем при регистрации на Сайте);

6.6.2. фамилия, имя, отчество;

6.6.3. дата, месяц, год рождения, возраст;

6.6.4. адрес места нахождения;

6.6.5. контактные данные (телефон, электронная почта, почтовый адрес и иные, которые будут указаны Пользователем в Личном кабинете);

6.6.6. фотографии (при наличии) без биометрических данных;

6.6.7. место работы, должность и специализация/ сфера деятельности;

6.6.8. сведения об образовании (с целью подтверждения принадлежности к целевой аудитории).

6.7. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.

7. Условия обработки персональных данных

7.1. Оператор без согласия субъекта персональных данных не распространяет персональные данные, если иное не предусмотрено Федеральным законом № 152-ФЗ.

7.2. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора в соответствии с требованиями части 3 статьи 6 Федерального закона № 152-ФЗ.

7.3. Обработка персональных данных Оператором допускается в случаях, установленных статьей 6 Федерального закона № 152-ФЗ.

7.4. В рамках реализации бизнес процессов, для целей обработки данных Оператор может предоставлять персональные данные (за исключением работников Оператора) третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных сведений, в том числе поручить обработку персональных данных в поручении должны быть указаны перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона №152-ФЗ «О персональных данных», а также в иных случаях, предусмотренных Федеральным законом № 152-ФЗ.

При предоставлении персональных данных в электронном виде третьим лицам по открытым каналам связи Оператор обязан принимать все необходимые меры по защите передаваемой информации в соответствии с требованиями действующего законодательства Российской Федерации в порядке, регламентированным локальными актами.

7.5. Если предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, то оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

7.6. Субъект персональных данных имеет право в любое время отозвать свое согласие. Отзыв согласия не должен влиять на законность обработки, основанной на согласии до его отзыва. Отзыв согласия на обработку персональных данных может быть оформлен в письменной форме, подписан собственноручной подписью и направлен по адресу: 117485, г. Москва, ул. Обручева, д. 30/1, стр. 2, эт. 5, пом. XXIV, ком 2, оф. 5. В случае, если такое согласие получено на сайте или в мобильном приложении, то процедура отзыва согласия должна быть такой же простой (аналогичной), как и процедура предоставления согласия - отзыв согласия на обработку персональных данных может быть направлен путем направления отзыва согласия на адрес электронной почты: info@medinternet.ru. Общество удаляет персональные данные и прекращает их обработку в сроки, установленные в статье 21 Федерального закона № 152-ФЗ «О персональных данных».

7.7. В целях внутреннего информационного обеспечения Оператором могут создаваться справочники и другие источники, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его персональные данные.

7.8. Доступ к обрабатываемым Оператором персональным данным разрешается только работникам, занимающим должности, включенные в перечень должностей, замещение которых предусматривает осуществление обработки персональных данных.

7.9. Обработка персональных данных Оператором осуществляется с использованием или без использования средств автоматизации работниками, трудовые обязанности которых предусматривают осуществление функций по обработке персональных данных.

7.10. Оператор не осуществляет трансграничную передачу персональных данных.

7.11. Субъект персональных данных понимает важность и необходимость уведомления Оператора в случае, если персональные данные изменились или стали неактуальными, и обязуется в срок не позднее 1 (Одного) дня со дня наступления указанного события актуализировать данные путем внесения изменений в разделе «Личный кабинет» на сайте либо уведомить Оператора об указанных изменениях путем направления заявления в свободной форме Оператору по адресу: 117485, г. Москва, ул. Обручева, д. 30/1, стр. 2, эт. 5, пом. XXIV, ком 2, оф. 5 или на адрес электронной почты: info@medinternet.ru.

8. Обработка персональных данных в информационных системах персональных данных Оператора

8.1. Доступ к информационным системам персональных данных Оператора (далее - информационные системы) работников, осуществляющих обработку персональных данных в информационных системах, предоставляется в соответствии с соответствующим приказом директора Оператора, и реализуется посредством учетной записи, содержащей имя пользователя и пароль.

8.2. Информация в информационные системы может вноситься как в автоматическом режиме, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

8.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, осуществляется в соответствии со статьей 19 Федерального закона №152-ФЗ и с соблюдением требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 № 1119.

8.4. В целях обеспечения безопасности персональных данных осуществляется:

8.4.1. предотвращение несанкционированного доступа к персональным данным и (или) их передачи лицам, не имеющим права на доступ к ним;

8.4.2. обнаружение фактов несанкционированного доступа к персональным данным и незамедлительное доведение этой информации до ответственного за организацию обработки персональных данных;

8.4.3. недопущение воздействия на технические средства обработки персональных данных, в результате которого может быть нарушено их функционирование;

8.4.4. постоянный контроль за обеспечением уровня защищенности персональных данных;

8.4.5. соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

8.4.6. учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, машинных носителей персональных данных;

8.4.7. незамедлительное приостановление предоставления персональных данных пользователям информационных систем при обнаружении нарушений порядка предоставления персональных данных до выявления причин нарушений и устранения этих причин;

8.4.8. разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению последствий подобных нарушений;

8.4.9. незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

8.5. При обработке персональных данных осуществляется реализация организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, состав и содержание которых утверждены приказом ФСТЭК России от 18.02.2013 № 21.

8.6. Доступ к персональным данным, находящимся в информационных системах, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

8.7. При выявлении нарушений порядка обработки персональных данных в информационных системах уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

8.8. При установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, уполномоченные должностные лица Оператора обязаны с момента выявления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных:

8.8.1. в течение двадцати четырех часов о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий такого инцидента, а также предоставить сведения о лице, уполномоченном на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных по вопросам, связанным с выявленным инцидентом;

8.8.2. в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

9. Сроки обработки и хранения персональных данных, порядок их уничтожения

9.1. Персональные данные на бумажных носителях хранятся в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации (Федеральный закон от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утв. Приказом Росархива от 20.12.2019 № 236).

9.2. Сроки хранения персональных данных, обрабатываемых в информационных системах, должны соответствовать срокам хранения документов на бумажных носителях, содержащих персональные данные.

9.3. Обработка и хранение персональных данных, указанных в п.6.6 настоящей Политики, осуществляется в течение сроков, установленных в согласии субъекта персональных данных на обработку его персональных данных.

9.4. Обработка персональных данных прекращается в случаях:

9.4.1. выявления факта неправомерной обработки персональных данных;

9.4.2. достижения цели обработки персональных данных или утраты необходимости в ее достижении;

9.4.3. отзыва субъектом персональных данных согласия на обработку его персональных данных, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами;

9.4.4. обращения субъекта персональных данных с требованием о прекращении обработки его персональных данных, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ.

9.5. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Общество прекращает обработку этих данных, если:

9.5.1. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

9.5.2. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

9.5.3. иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

9.6. В случае прекращения обработки персональных данных предпринимаются меры, предусмотренные статьей 21 Федерального закона № 152-ФЗ.

9.7. Документы, содержащие персональные данные, при достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации, подлежат уничтожению в порядке, установленном законодательством и локальными нормативными актами Оператора.

9.8. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.

10. Рассмотрение запросов субъектов персональных данных и их представителей

10.1. Субъекты персональных данных, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

10.1.1. подтверждение факта обработки персональных данных;

10.1.2. правовые основания и цели обработки персональных данных;

10.1.3. цели и применяемые у Оператора способы обработки персональных данных;

10.1.4. полное наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

10.1.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

10.1.6. сроки обработки персональных данных, в том числе сроки их хранения в Обществе;

10.1.7. порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;

10.1.8. информацию о предполагаемой трансграничной передаче персональных данных;

10.1.9. полное наименование организации или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такой организации или лицу;

10.1.10. информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона №152-ФЗ;

10.1.11. иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.

10.2. Субъекты персональных данных вправе обращаться к Оператору с требованием об уточнении, блокировании или уничтожении их персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав.

10.3. Сведения, указанные в пункте 10.1. настоящей Политики, предоставляются субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

10.4. Сведения, указанные в пункте 10.1. настоящей Политики, предоставляются субъекту персональных данных или его представителю лицом, уполномоченным осуществлять обработку персональных данных, в течение десяти рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя.

Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

10.5. Запрос субъекта персональных данных должен содержать:

10.5.1. номер документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

10.5.2. сведения, подтверждающие участие субъекта персональных данных в правоотношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки Оператором персональных данных, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в письменной форме и подписан собственноручной подписью, в форме электронного документа и подписанного электронной подписью в соответствии с законодательством Российской Федерации.

10.6. Общество предоставляет сведения, указанные в пункте 10.1. настоящей Политики, субъекту персональных данных или его представителю в той форме, в которой направлены обращение либо запрос, если иное не указано в обращении или запросе.

10.7. В случае если сведения, указанные в пункте 10.1. настоящей Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно или направить повторный запрос в целях получения указанных сведений и ознакомления с ними не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

10.8. Субъект персональных данных вправе обратиться повторно в Общество или направить повторный запрос в целях получения сведений, указанных в пункте 10.1. настоящей Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 9.7. настоящей Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 9.5. настоящей Политики, должен содержать обоснование направления повторного запроса.

10.9. Общество вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 10.5 и 10.8 настоящей Политики. Такой отказ должен быть мотивированным.

10.10. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случаях, установленных частью 8 статьи 14 Федерального закона №152-ФЗ.

11. Внутренний контроль соответствия обработки персональных данных законодательству о персональных данных

11.1. Внутренний контроль соответствия обработки персональных данных положениям Федерального закона № 152-ФЗ и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, настоящей Политике и локальным нормативным актам Оператора осуществляется лицом, ответственным за организацию обработки персональных данных, в порядке, определенном локальными нормативными актами Оператора в области персональных данных.

11.2. Лица, виновные в нарушении положений законодательства Российской Федерации и локальных нормативных актов Оператора в области персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.