Политика конфиденциальности и обработки персональных данных

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению их безопасности в ООО «Клиника микрохирургии «ГЛАЗ» им. академика С.Н. Федорова» (далее — «Оператор»).

1.2. Политика действует в отношении всех процессов по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче, обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых как с использованием средств автоматизации, так и без них.

1.3. Целью Политики является защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2. Состав обрабатываемых персональных данных

2.1. Оператор обрабатывает следующие категории персональных данных, полученные как через официальный сайт https://klinikaglaz.ru, так и в офлайн-формате (в клинике и салоне оптики клиники):

Общие персональные данные:

Фамилия, имя, отчество;
Пол;
Дата рождения;
Контактные телефоны;
Адреса электронной почты (e-mail);
Адрес проживания/регистрации;
Почтовый адрес доставки заказов;
Платежные реквизиты;
Данные о заказах и истории обращений.

Иные данные, необходимые для оказания услуг:

Реквизиты полиса ОМС (в случае получения услуги по программе ОМС);
Страховой номер индивидуального лицевого счета (СНИЛС) (для оформления больничного листа);
Профессия, должность и место работы (для оформления больничного листа).

Специальные категории персональных данных:

Данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью, результаты обследований и диагнозы, иная информация, составляющая врачебную тайну.

2.2. Обработка специальных категорий персональных данных осуществляется исключительно в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских услуг, управления медицинской деятельностью, при условии, что их обработка осуществляется лицом, обязанным сохранять врачебную тайну согласно законодательству РФ.

3. Использование файлов cookie (куки) и аналитики

3.1 Сайт Оператора для обеспечения корректной работы сервисов, аналитики посещаемости и улучшения качества обслуживания пользователей сайта https://klinikaglaz.ru собирает и использует файлы cookie следующих видов: обязательные (необходимые для работы сайта), аналитические, маркетинговые cookie.

3.2 Пользователь сайта может изменить настройки cookie в браузере или отказаться от аналитических cookie через соответствующие настройки.

4. Цели обработки персональных данных

4.1. Обработка персональных данных осуществляется в следующих целях:

Заключение и исполнение договоров на оказание медицинских услуг и продажу товаров;
Запись на прием, оформление и обработка заказов;
Обратная связь с пользователями, обработка запросов и обращений;
Регистрация пользователей на сайте и предоставление доступа к Личному кабинету;
Информирование о статусе заказа, отправка уведомлений, связанных с оказанием услуг;
Выполнение требований законодательства РФ в сфере здравоохранения и защиты прав потребителей;
Внутренние нужды Оператора для улучшения качества предоставляемых услуг.

5. Правовые основания обработки персональных данных

5.1. Правовыми основаниями обработки персональных данных являются:

Статья 6 Федерального закона № 152-ФЗ «О персональных данных»:

Заключение и исполнение договора (п. 5 ч. 1 ст. 6);
Согласие субъекта персональных данных на обработку его ПДн.

Статья 9 Федерального закона № 152-ФЗ «О персональных данных»:

Обработка специальных категорий данных осуществляется в соответствии с п. 4 ч. 2 ст. 10 Закона № 323-ФЗ «Об основах охраны здоровья граждан в РФ» и требует отдельного добровольного информированного согласия субъекта персональных данных (пациента) на обработку этих данных, оформленного в письменной форме.

Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

6. Порядок и условия обработки персональных данных

6.1. Обработка персональных данных осуществляется смешанным способом: как с использованием средств автоматизации, так и без их использования.

6.2. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. Применяются меры: разграничение прав доступа, антивирусная защита, резервное копирование и шифрование данных, аудит безопасности и обучение сотрудников, имеющих доступ к данным.

6.3. Оператор обеспечивает конфиденциальность обрабатываемых персональных данных.

6.4. Хранение персональных данных:

Первичная запись, систематизация и хранение данных осуществляется на серверах в РФ. Трансграничная передача возможна только при письменном согласии субъекта ПДн и уведомлении Роскомнадзора.

Данные, полученные через сайт, хранятся в административной панели сайта на хостинге, предоставляемом ООО «Селектэл» (серверы расположены на территории Российской Федерации).
Данные, полученные через сайт и в офлайн-формате, также хранятся и обрабатываются в корпоративной CRM-системе «Битрикс24».
Данные, полученные в офлайн-формате (включая медицинскую информацию), фиксируются и хранятся в медицинских информационных системах (МИС) «1С: Мед Услуги» и «1С: Салон Оптики».
Физическое хранение серверного оборудования МИС и резервных копий данных осуществляется внутри локальной сети по адресу местонахождения клиники/салона оптики на корпоративных серверах с ограниченным доступом извне.

6.5. Сроки хранения персональных данных:

Персональные данные обрабатываются в течение сроков, необходимых для достижения целей обработки, или до отзыва согласия субъектом персональных данных.
Сроки хранения медицинской документации, содержащей персональные данные, устанавливаются в соответствии с законодательством РФ (Приказ Минздрава России от 29.06.2016 N 425н).
Уничтожение или обезличивание персональных данных после прекращения цели обработки или при отзыве согласия субъектом осуществляется на основании его письменного заявления, если иное не предусмотрено договором или действующим законодательством РФ, требующим хранения данных в течение определенного срока.

7. Передача персональных данных

7.1. Оператор не передает персональные данные третьим лицам, за исключением случаев, прямо предусмотренных законодательством РФ, или при получении явного согласия субъекта персональных данных.

7.2. Оператор вправе передавать персональные данных контрагентам (например, логистическим службам для доставки заказов) только в объеме, необходимом для исполнения договора, при условии соблюдения ими конфиденциальности и обеспечения безопасности данных.

8. Права субъекта персональных данных

8.1. Субъект персональных данных имеет право:

На получение информации;
На уточнение, блокирование или уничтожение его персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
Отозвать свое согласие на обработку персональных данных;
На обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

8.2. Для реализации своих прав субъект персональных данных может направить соответствующий запрос по почтовому адресу Оператора или на адрес электронной почты, указанные в разделе 9 настоящей Политики. Запрос должен содержать ФИО, контактные данные субъекта ПДн и описание запроса. Ответ направляется в срок до 10 рабочих дней с момента получения запроса. При необходимости срок может быть продлён до 15 рабочих дней с письменным уведомлением субъекта.

9. Заключительные положения

9.1. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Оператора в сети Интернет по адресу: https://klinikaglaz.ru.

9.2. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на сайте. В случае внесения существенных изменений в Политику Оператор уведомляет субъектов ПДн путем размещения уведомления на сайте.