+ 7 (812) 602-93-38
Пн-Пт 09:00–18:00
0
+ 7 (812) 602-93-38

Политика конфиденциальности и обработки персональных данных

1. Общие положения

1.1. Настоящая Политика в отношении обработки и защиты персональных данных (далее «Политика») разработана в Обществе с ограниченной ответственностью «Сербалаб» (далее «Оператор», «Общество») в соответствии с:

Конституцией Российской Федерации;

Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ»;

Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

нормативными правовыми актами Правительства РФ, Роскомнадзора, ФСТЭК и Минздрава России в сфере защиты персональных данных и оказания медицинских услуг.

1.2. Политика определяет порядок обработки персональных данных и обеспечения безопасности персональных данных в ООО «Сербалаб» при осуществлении медицинской деятельности (генетические и иные лабораторные исследования) и эксплуатации сайта www.cerbalab.ru (далее «Сайт»).

1.3. Политика обязательна для исполнения всеми работниками Оператора, имеющими доступ к персональным данным, а также применяется ко всем лицам, чьи персональные данные обрабатываются Оператором.

1.4. Текст действующей Политики постоянно доступен в сети Интернет по адресу: https://cerbalab.ru/privacy-policy/. Ссылка на Политику размещается в нижней части (футере) каждой страницы Сайта, а также непосредственно у каждой формы сбора персональных данных.

2. Термины и определения

В настоящей Политике используются термины в значениях, установленных ФЗ № 152 и ФЗ № 323. Ниже приведены ключевые понятия.

Персональные данные (ПДн) любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн).

Специальные категории персональных данных ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрические и генетические данные. Их обработка допускается только в случаях, предусмотренных ст. 10 ФЗ № 152, и при наличии письменного согласия субъекта.

Биометрические персональные данные сведения, которые характеризуют физиологические и биологические особенности человека и используются Оператором для установления его личности.

Персональные данные, разрешённые субъектом для распространения ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путём дачи отдельного согласия в порядке статьи 10.1 ФЗ № 152.

Распространение ПДн действия, направленные на раскрытие ПДн неопределённому кругу лиц (в том числе посредством размещения на сайтах в сети Интернет).

Трансграничная передача ПДн передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

Врачебная тайна сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при медицинском обследовании и лечении, охраняемые в соответствии со ст. 13 ФЗ № 323.

Обработка ПДн любое действие или совокупность действий с ПДн, совершаемых с использованием средств автоматизации или без таковых, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Субъект ПДн физическое лицо, к которому относятся персональные данные (пациент, посетитель Сайта, контрагент, представитель контрагента, работник, кандидат и иные лица).

Оператор Общество с ограниченной ответственностью «Сербалаб» (ОГРН 1157847439045), осуществляющее обработку ПДн.

Согласие на обработку ПДн свободное, конкретное, информированное и сознательное волеизъявление субъекта на обработку его ПДн, оформляемое отдельным документом (ч. 1 ст. 9 ФЗ № 152).

3. Сведения об Операторе

Полное наименование: Общество с ограниченной ответственностью «Сербалаб».

Сокращённое наименование: ООО «Сербалаб».

ОГРН: 1157847439045.

ИНН/КПП: 7801297356 / 780101001.

Юридический и фактический адрес: 199106, г. Санкт-Петербург, Большой пр. В.О., д. 90, корп. 2, лит. З.

Телефон: +7 (812) 602-93-38.

Адрес электронной почты: info@cerbalab.ru.

Сайт: www.cerbalab.ru.

Лицензия на осуществление медицинской деятельности: реквизиты лицензии и сканированные копии размещены на странице https://cerbalab.ru/documents/.

Ответственный за организацию обработки персональных данных: генеральный директор ООО «Сербалаб» Асеев Михаил Владимирович.

Регистрационный номер в Реестре операторов, осуществляющих обработку персональных данных (Роскомнадзор): 78-19-006415.

Перечень информационных ресурсов Оператора, на которых может осуществляться распространение ПДн (для целей статьи 10.1 ФЗ № 152):

официальный сайт https://cerbalab.ru, в том числе разделы https://cerbalab.ru/staff/, https://cerbalab.ru/science/, https://cerbalab.ru/contacts/, индивидуальные страницы специалистов;

официальные страницы Оператора в социальных сетях и мессенджерах (ВКонтакте: https://vk.com/cerbalab, Telegram-канал, иные публичные ресурсы Оператора).

4. Правовые основания обработки персональных данных

4.1. Правовыми основаниями обработки ПДн Оператором являются:

Федеральные законы «О персональных данных» (ФЗ № 152) и «Об основах охраны здоровья граждан в РФ» (ФЗ № 323), иные федеральные законы и подзаконные акты;

Устав ООО «Сербалаб» и иные локальные нормативные акты Общества;

договоры, заключаемые с субъектами ПДн (договоры оказания медицинских услуг, трудовые и иные гражданско-правовые договоры);

согласия субъектов ПДн на обработку их персональных данных, в том числе согласия на обработку специальных категорий ПДн, согласия на распространение ПДн (ст. 10.1 ФЗ № 152) и согласия на получение рекламно-информационной рассылки, оформляемые отдельными документами;

необходимость защиты жизни, здоровья или иных жизненно важных интересов субъекта (п. 6 ч. 1 ст. 6, п. 3 ч. 2 ст. 10 ФЗ № 152);

необходимость осуществления медицинской деятельности и оказания медицинских услуг лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну (п. 4 ч. 2 ст. 10 ФЗ № 152).

4.2. Требование к оформлению согласия отдельным документом. В соответствии с действующей редакцией статьи 9 ФЗ № 152 согласие субъекта на обработку персональных данных, требуемое в случаях, установленных Федеральным законом, оформляется отдельным документом и не может быть включено в текст договора оказания медицинских услуг, в пользовательское соглашение Сайта, в иные договоры или формы взаимодействия с субъектом. Включение согласия в указанные документы влечёт его ничтожность как полученного с нарушением требований ФЗ № 152.

4.3. Оператор обеспечивает соблюдение требования об автономности согласия путём:

оформления каждого согласия (на обработку специальных категорий ПДн, на распространение ПДн, на рекламную рассылку) самостоятельным документом по соответствующей форме (Приложения № 1, 2, 3 к настоящей Политике);

размещения на формах сбора данных Сайта отдельных непредзаполненных чек-боксов с самостоятельной активацией пользователем для каждого требуемого согласия;

исключения из договоров оказания медицинских услуг и пользовательских соглашений положений, имеющих признаки согласия на обработку ПДн.

5. Принципы обработки персональных данных

5.1. Обработка ПДн осуществляется Оператором на следующих принципах (ст. 5 ФЗ № 152):

законность и справедливость целей и способов обработки;

ограничение обработки достижением конкретных, заранее определённых и законных целей;

недопустимость объединения баз данных, обработка которых ведётся в несовместимых целях;

обработка только тех ПДн, которые отвечают целям обработки;

соответствие содержания и объёма обрабатываемых ПДн заявленным целям;

точность, достаточность, актуальность ПДн;

хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки.

6. Особенности обработки персональных данных при дистанционном взаимодействии с пациентами

6.1. ООО «Сербалаб» оказывает медицинские (лабораторные) услуги как при личном обращении пациентов в офис Оператора, так и в дистанционной форме — путём пересылки пациентом биологического материала по почте или через стороннюю курьерскую службу без личного посещения офиса Оператора.

6.2. При дистанционном взаимодействии обработка персональных данных пациента осуществляется в двухэтапном режиме:

6.2.1. Этап 1 — оформление заказа и доставка комплекта для самозабора биоматериала.

На данном этапе пациент через сайт www.cerbalab.ru или иными доступными каналами связи (по электронной почте, телефону) предоставляет Оператору общие персональные данные, необходимые для оформления заказа и доставки комплекта: фамилия, имя, отчество, дата рождения, паспортные данные, контактный телефон, адрес электронной почты, почтовый адрес для доставки комплекта.

Правовым основанием обработки общих персональных данных на данном этапе является:

заключение и исполнение договора возмездного оказания медицинских услуг (пункт 5 части 1 статьи 6 ФЗ № 152), оформленного в виде публичной оферты, размещённой на Сайте, и акцепта пациента путём оформления заказа на Сайте;

отдельное согласие пациента на обработку общих персональных данных в указанных целях, оформляемое путём проставления отметки в непредзаполненном чек-боксе на форме оформления заказа на Сайте.

На данном этапе обработка специальных категорий персональных данных (сведений о состоянии здоровья), биометрических и генетических данных Оператором не осуществляется. Сведения о цели исследования (например, наименование заказанного исследования) обрабатываются исключительно в составе заказа и не являются сведениями о состоянии здоровья субъекта.

6.2.2. Этап 2 — получение Согласия на обработку специальных категорий ПДн и проведение исследования.

Оператор направляет пациенту через стороннюю курьерскую службу (на основании договора поручения обработки ПДн с курьерской службой) комплект для самозабора биоматериала, в состав которого включаются:

пробирки, иные средства и расходные материалы для самостоятельного забора биоматериала пациентом;

инструкция по самостоятельному забору биоматериала и упаковке его для обратной отправки;

сопроводительное письмо пациенту с пошаговой инструкцией оформления и отправки;

бланк направления на исследование;

бланк Согласия на обработку персональных данных по форме Приложения № 1 к настоящей Политике (далее — «Согласие»);

обратная упаковка (перевозочная тара) для возврата биоматериала и сопутствующих документов в адрес Оператора.

6.3. Пациент самостоятельно осуществляет забор биоматериала, заполняет и подписывает собственноручно бланк Согласия и направление, помещает биоматериал, подписанное Согласие и направление в обратную упаковку и направляет посылку Оператору через стороннюю курьерскую службу.

6.4. После получения посылки Оператором работник, ответственный за приём дистанционных заказов, осуществляет:

проверку наличия в посылке подписанного Согласия по форме Приложения № 1;

проверку соответствия паспортных данных и иных идентифицирующих сведений, указанных в Согласии, сведениям, указанным пациентом при оформлении заказа на Сайте (этап 1);

проверку полноты заполнения Согласия (наличие даты, подписи, всех обязательных полей);

проверку целостности и пригодности биоматериала.

6.5. Идентификация пациента при дистанционной схеме осуществляется путём сопоставления паспортных данных, ФИО и иных персональных данных, указанных пациентом самостоятельно при оформлении заказа на Сайте на этапе 1, с данными, указанными пациентом в собственноручно подписанном Согласии. Совпадение указанных сведений подтверждает идентификацию субъекта в целях оформления Согласия в письменной форме.

6.6. Особый порядок при отсутствии или дефектах Согласия в посылке.

В случае если посылка с биоматериалом получена Оператором без подписанного Согласия либо Согласие подписано с дефектами (отсутствие даты, подписи, обязательных полей), биоматериал помещается в карантинное хранение, и исследование не проводится. Оператор в течение 1 (одного) рабочего дня уведомляет пациента о выявленном недостатке любым доступным каналом связи (e-mail, SMS, телефонный звонок) и предлагает направить подписанное Согласие в виде сканированной (фото) копии по адресу электронной почты Оператора info@cerbalab.ru.

6.7. Поступление сканированной (фото) копии подписанного Согласия по электронной почте от пациента приравнивается к получению надлежаще оформленного Согласия в письменной форме при условии:

копия направлена с адреса электронной почты, указанного пациентом при оформлении заказа на Сайте;

на копии видны собственноручная подпись пациента, дата подписания и все обязательные поля Согласия;

паспортные и иные идентифицирующие сведения, указанные в Согласии, соответствуют сведениям, указанным пациентом при оформлении заказа на Сайте.

Оригинал подписанного Согласия в указанном случае подлежит направлению пациентом Оператору почтой при первой возможности и приобщается к делу пациента по поступлении.

6.8. Если в течение 14 (четырнадцати) календарных дней с даты направления уведомления, предусмотренного пунктом 6.6 настоящей Политики, пациент не направил подписанного Согласия (ни в виде сканированной копии, ни в оригинале) и не отозвал заказ, Оператор:

а) прекращает обработку персональных данных пациента и осуществляет уничтожение биоматериала с оформлением Акта уничтожения по форме, предусмотренной Регламентом подтверждённого уничтожения персональных данных;

б) осуществляет возврат денежных средств пациенту за вычетом фактически понесённых Оператором расходов в порядке, предусмотренном договором (публичной офертой);

в) уничтожает иные персональные данные пациента, обработка которых утратила правовое основание, в порядке, предусмотренном Политикой и Регламентом подтверждённого уничтожения.

6.9. Только после получения собственноручно подписанного Согласия в письменной форме (либо его сканированной копии в порядке пункта 6.7 настоящей Политики) и положительной идентификации пациента Оператор приступает к обработке специальных категорий персональных данных пациента — проведению лабораторного исследования биоматериала и формированию медицинских заключений.

6.10. Результаты исследования направляются пациенту через личный кабинет на Сайте либо по адресу электронной почты, указанному пациентом, при условии надлежащей идентификации пациента и соблюдения требований к защите персональных данных при их передаче по каналам связи.

6.11. При дистанционном взаимодействии Оператор передаёт персональные данные пациента (общие — на этапе 1; общие совместно с биоматериалом — на этапе 2) сторонней курьерской службе, осуществляющей доставку. Передача осуществляется на основании договора поручения обработки персональных данных, заключённого Оператором с курьерской службой в соответствии с частью 3 статьи 6 ФЗ № 152, обеспечивающего конфиденциальность и сохранность персональных данных в процессе доставки.

6.12. Особенности дистанционного взаимодействия с пациентами регулируются также:

договором возмездного оказания медицинских услуг (публичной офертой), размещённым на Сайте по адресу https://cerbalab.ru/…;

Регламентом дистанционного взаимодействия с пациентами и оформления Согласий в комплекте с биоматериалом, утверждённым Оператором (внутренний документ);

настоящей Политикой и иными локальными нормативными актами Оператора в области обработки и защиты персональных данных.

7. Категории субъектов и состав обрабатываемых персональных данных

7.1. Пациенты (заказчики медицинских услуг) и их законные представители (включая пациентов, обращающихся в Оператора как при личном визите, так и в дистанционной форме в порядке раздела 6 настоящей Политики):

фамилия, имя, отчество;

дата и место рождения;

пол;

паспортные данные (серия, номер, кем и когда выдан, код подразделения), для несовершеннолетних — данные свидетельства о рождении;

адрес регистрации и фактического проживания;

СНИЛС, ИНН (при необходимости);

номер полиса ОМС/ДМС (при необходимости);

контактный телефон, адрес электронной почты;

реквизиты для возврата платежей.

7.2. Посетители Сайта www.cerbalab.ru:

ФИО, контактные данные, указанные при заполнении форм;

IP-адрес, тип и версия операционной системы, тип браузера, информация о геолокации, дата и время посещения, источник перехода (referrer);

идентификаторы файлов cookie и иные пользовательские идентификаторы;

история заказов в интернет-магазине Сайта.

7.3. Контрагенты — физические лица и представители контрагентов — юридических лиц:

ФИО, должность, контактные данные;

реквизиты документа, удостоверяющего полномочия;

платёжные реквизиты.

7.4. Кандидаты, работники и бывшие работники Оператора:

ПДн, обрабатываемые в объёме, предусмотренном Трудовым кодексом РФ и локальными актами Общества (ФИО, паспортные данные, СНИЛС, ИНН, сведения об образовании, квалификации, стаже, медицинские документы, обязательные при приёме на работу, и иные сведения);

ПДн, размещаемые в открытом доступе на Сайте Оператора в целях исполнения требований Приказа Минздрава России от 13.03.2025 № 118н (фотография, фамилия, имя, отчество, должность, уровень образования, квалификация, учёная степень и звание, специализация, сведения об аккредитации специалиста или сертификате специалиста, график работы) — обрабатываются исключительно в режиме статьи 10.1 ФЗ № 152 на основании отдельного письменного согласия работника по форме Приложения № 3 к настоящей Политике. Особенности такой обработки определены в разделе 8 Политики.

8. Специальные категории персональных данных и врачебная тайна

8.1. В связи с осуществлением медицинской деятельности Оператор обрабатывает специальные категории ПДн, относящиеся к состоянию здоровья, а также биометрические и генетические данные субъектов. К ним относятся, в частности:

сведения о состоянии здоровья, заболеваниях, медицинском анамнезе, факте обращения за медицинской помощью;

результаты лабораторных и генетических исследований (включая результаты NGS-секвенирования, метагеномного анализа, цитогенетических, биохимических, молекулярно-генетических исследований);

биологический материал (кровь, буккальный эпителий, иной биоматериал) и сведения о нём;

биометрические и генетические данные, в том числе последовательности нуклеиновых кислот;

медицинская документация (направления, заключения, протоколы исследований).

8.2. Обработка специальных категорий ПДн осуществляется исключительно при наличии одного или нескольких оснований, предусмотренных ч. 2 ст. 10 ФЗ № 152, в том числе:

а) письменного согласия субъекта ПДн, оформленного отдельным документом (форма согласия — Приложение № 1 к настоящей Политике);

б) необходимости защиты жизни, здоровья или иных жизненно важных интересов субъекта при невозможности получения его согласия;

в) обработки в целях оказания медицинских услуг лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

8.3. Врачебная тайна. Сведения о факте обращения субъекта за медицинской помощью, состоянии его здоровья, диагнозе, результатах генетических и иных исследований и иные сведения, полученные при медицинском обследовании и лечении, составляют врачебную тайну и охраняются в соответствии со ст. 13 ФЗ № 323.

8.4. Все работники Оператора, имеющие доступ к сведениям, составляющим врачебную тайну, проинформированы об ответственности за её разглашение и принимают на себя обязательство по её сохранению. Передача сведений, составляющих врачебную тайну, допускается только в случаях, прямо предусмотренных ч. 3 и ч. 4 ст. 13 ФЗ № 323, либо с письменного согласия субъекта (его законного представителя).

8.5. Биометрические персональные данные обрабатываются исключительно при наличии согласия субъекта в письменной форме, за исключением случаев, прямо предусмотренных ч. 2 ст. 11 ФЗ № 152.

9. Особенности обработки персональных данных, разрешённых субъектом персональных данных для распространения (статья 10.1 ФЗ № 152)

9.1. В целях информирования общественности о деятельности Оператора и исполнения требований Приказа Минздрава России от 13.03.2025 № 118н к содержанию информации, размещаемой на официальном сайте медицинской организации, Оператор размещает на Сайте сведения о медицинском персонале (врачах, биологах, медицинских сёстрах и иных медицинских работниках в значении, приведённом в ст. 2 ФЗ «Об основах охраны здоровья граждан в Российской Федерации»).

9.2. К ПДн медицинских работников, размещаемым Оператором на Сайте в открытом доступе, относятся:

фотография работника;

фамилия, имя, отчество;

должность работника (по штатному расписанию в соответствии с Номенклатурой должностей медицинских работников, утверждённой Приказом Минздрава России от 02.05.2023 № 205н);

уровень образования, квалификация, учёная степень и учёное звание;

сведения об аккредитации специалиста или сертификате специалиста;

специализация и сведения о профессиональной переподготовке;

опыт работы и стаж по специальности;

график работы;

служебные средства связи (рабочий телефон, рабочий e-mail) — при необходимости.

9.3. Размещение указанных ПДн на Сайте является распространением ПДн в смысле статьи 10.1 ФЗ № 152 и осуществляется исключительно при наличии отдельного письменного согласия работника, оформленного по форме, утверждённой Приказом Роскомнадзора от 24.02.2021 № 18. Форма согласия приведена в Приложении № 3 к настоящей Политике.

9.4. Согласие на распространение ПДн является самостоятельным документом, не объединяется с согласием работника на обработку его ПДн в рамках трудовых отношений и не может быть условием приёма на работу. Молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на распространение его ПДн.

9.5. В согласии работник самостоятельно определяет:

категории и перечень ПДн, на распространение которых он даёт согласие, и категории и перечень ПДн, в отношении которых согласие не даётся (раздельно по каждому виду данных);

категории и перечень ПДн, для обработки которых он устанавливает условия и запреты (например, запрет передачи третьим лицам в коммерческих целях, запрет использования в материалах, не связанных с деятельностью Оператора), а также сами эти условия и запреты;

условия, при которых полученные ПДн могут передаваться Оператором только по его внутренней сети либо могут передаваться неограниченному кругу лиц через сеть Интернет;

срок действия согласия (как правило, до прекращения трудовых отношений с Оператором или до отзыва согласия — в зависимости от того, что наступит ранее).

9.6. Оператор обязан в срок не позднее трёх рабочих дней с момента получения согласия работника опубликовать на Сайте информацию об условиях обработки и о наличии установленных работником запретов и условий на обработку его ПДн неограниченным кругом лиц (ч. 10 ст. 10.1 ФЗ № 152).

9.7. На страницах Сайта, содержащих распространяемые ПДн работников (включая раздел «Специалисты» https://cerbalab.ru/staff/ и индивидуальные страницы работников), Оператор размещает информационную оговорку следующего содержания:

«Размещение фотографий, фамилий, имён, отчеств и иных сведений о работниках ООО «Сербалаб» осуществляется в порядке статьи 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» на основании письменных согласий работников по форме, утверждённой Приказом Роскомнадзора от 24.02.2021 № 18, хранящихся у Оператора. Опубликованные персональные данные работников допускается использовать только в целях ознакомления с деятельностью ООО «Сербалаб». Любое иное использование указанных данных третьими лицами, в том числе их копирование в иные информационные ресурсы, передача, использование в коммерческих, рекламных или иных целях, не связанных с целью первоначальной публикации, без получения отдельного согласия работника не допускается».

9.8. Работник вправе в любой момент отозвать согласие путём направления Оператору требования о прекращении распространения ПДн. Требование должно содержать ФИО, контактную информацию работника и сведения об информационном ресурсе Оператора, на котором осуществляется распространение. Действие согласия прекращается с момента поступления Оператору указанного требования (ч. 12, 13 ст. 10.1 ФЗ № 152). Требование направляется одним из способов, указанных в пункте 17.2 настоящей Политики.

9.9. При отзыве согласия работником, при прекращении трудовых отношений или в случае установления судом или иным уполномоченным органом неправомерности обработки Оператор обязан незамедлительно прекратить распространение ПДн работника и обеспечить их удаление с Сайта и иных информационных ресурсов Оператора. При прекращении трудовых отношений данные удаляются также во исполнение требований Приказа Минздрава России от 13.03.2025 № 118н.

9.10. Передача ПДн работников, опубликованных на Сайте, неограниченному кругу лиц через сеть Интернет осуществляется в соответствии с пределами, определёнными работником в согласии. Иная обработка таких ПДн третьими лицами (за пределами цели ознакомления с деятельностью Оператора) допускается только с получения от работника дополнительного согласия. Оператор не несёт ответственности за неправомерные действия третьих лиц в отношении опубликованных ПДн работников, однако обязан принимать меры по пресечению таких действий, в том числе путём направления требований об удалении ПДн.

9.11. Учёт согласий работников на распространение ПДн ведётся ответственным за организацию обработки ПДн в Обществе. Согласия хранятся в кадровой документации в течение всего срока трудовых отношений и не менее 5 лет после их прекращения, если законодательством не установлен иной срок.

10. Цели обработки персональных данных

10.1. Оператор обрабатывает ПДн в следующих целях:

заключение, исполнение, изменение и прекращение договоров оказания медицинских услуг, в том числе генетических и лабораторных исследований;

идентификация субъекта ПДн (в том числе при оформлении заказа на Сайте, в личном кабинете и при предоставлении результатов исследований);

проведение генетических, метагеномных, цитогенетических и иных лабораторных исследований;

формирование, оформление и передача субъекту медицинских заключений и иных документов;

ведение медицинской документации в порядке, установленном законодательством, в том числе в форме электронных документов в случае принятия Оператором решения о ведении электронного документооборота в порядке, установленном Приказом Минздрава России от 25.03.2026 № 209н;

осуществление расчётов с субъектом, оформление налоговых вычетов, возврат денежных средств;

обеспечение функционирования Сайта, личного кабинета и интернет-магазина;

информирование субъекта о ходе оказания услуг, изменении их сроков, готовности результатов;

ответы на запросы и обращения субъектов ПДн (включая «обратный звонок» и обращения по электронной почте);

исполнение требований законодательства РФ о бухгалтерском учёте, налогах и сборах, статистике;

осуществление прав и законных интересов Оператора, включая судебную защиту;

осуществление кадровой деятельности, в том числе содействие в трудоустройстве, обучении и продвижении по службе;

информирование общественности о деятельности Оператора и его работниках (в порядке статьи 10.1 ФЗ № 152) — при наличии письменного согласия каждого работника;

направление субъекту рекламно-информационных сообщений (новости, акции, предложения о медицинских и иных услугах) — исключительно при наличии отдельного согласия субъекта (Приложение № 2 к настоящей Политике).

11. Способы и сроки обработки персональных данных

11.1. Обработка ПДн осуществляется как с использованием средств автоматизации (автоматизированная обработка), так и без таковых (неавтоматизированная обработка). Способы обработки включают сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПДн.

11.2. В случае ведения медицинской документации в форме электронных документов Оператор обеспечивает соблюдение Порядка организации системы документооборота в сфере охраны здоровья, утверждённого Приказом Минздрава России от 25.03.2026 № 209н, в том числе в части подписания электронных медицинских документов усиленной квалифицированной электронной подписью, регистрации и хранения в Единой государственной информационной системе в сфере здравоохранения (ЕГИСЗ), а также соблюдения порядка и сроков выдачи пациенту бумажной копии электронного документа в соответствии с Приказом Минздрава России от 31.07.2020 № 789н.

11.3. Сроки хранения ПДн:

ПДн пациентов в составе медицинской документации — в течение сроков, установленных профильными нормативными правовыми актами по видам медицинской документации, разъяснениями Минздрава России (в частности, Письмо Минздрава России от 07.12.2015 № 13-2/1538) и Перечнем типовых управленческих архивных документов, утверждённым Приказом Росархива от 20.12.2019 № 236 (для медицинской карты амбулаторного больного — не менее 25 лет);

первичные учётные документы и бухгалтерская отчётность — не менее 5 лет после отчётного года (ст. 29 ФЗ «О бухгалтерском учёте»);

документы по налогам и страховым взносам — не менее 5 лет (ст. 23 НК РФ);

кадровые документы — в соответствии с Перечнем типовых управленческих архивных документов (Приказ Росархива от 20.12.2019 № 236);

ПДн работников, размещаемые на Сайте в порядке ст. 10.1 ФЗ № 152, — в течение срока действия согласия (как правило, до прекращения трудовых отношений или до отзыва согласия); согласия хранятся не менее 5 лет после прекращения трудовых отношений;

ПДн посетителей Сайта (cookie, IP, история обращений), не относящиеся к медицинской документации, — не более 1 года с момента последнего взаимодействия;

ПДн, обрабатываемые на основании согласия субъекта на рекламную рассылку, — до отзыва согласия, но не более 5 лет.

11.4. По достижении целей обработки или утрате необходимости в их достижении, а также при отзыве согласия (если иные основания для обработки отсутствуют) ПДн подлежат уничтожению или обезличиванию в срок, не превышающий 30 дней с момента наступления указанных обстоятельств, если иной срок не предусмотрен законодательством РФ.

11.5. Уничтожение ПДн оформляется актом. Информационные системы Оператора предусматривают возможность подтверждённого уничтожения ПДн в порядке, предусмотренном Приказом Роскомнадзора от 28.10.2022 № 179.

12. Локализация баз данных и трансграничная передача персональных данных

12.1. В соответствии с ч. 5 ст. 18 ФЗ № 152 при сборе персональных данных, в том числе посредством сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

12.2. Серверы, на которых размещены информационные системы Оператора (включая системы CRM, веб-аналитики, системы хранения медицинской документации), физически расположены на территории Российской Федерации. Адреса размещения и сведения о хостинг-провайдерах указаны во внутренних документах Оператора.

12.3. Трансграничная передача персональных данных Оператором в настоящее время не осуществляется.

12.4. В случае возникновения необходимости трансграничной передачи персональных данных (в том числе при использовании Оператором облачных сервисов, систем веб-аналитики, CRM или иного программного обеспечения иностранного производства, серверы которого размещены за пределами территории Российской Федерации, либо при передаче ПДн иностранным контрагентам) Оператор обязан соблюсти требования статьи 12 ФЗ № 152, в том числе:

до начала такой передачи направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных через портал pd.rkn.gov.ru или в иной форме, установленной частью 4 статьи 12 ФЗ № 152, отдельно от уведомления об обработке ПДн;

определить категорию страны-получателя в соответствии с Приказом Роскомнадзора от 05.08.2022 № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных»;

получить от органов власти иностранного государства, иностранных физических или юридических лиц, которым планируется передача, сведения, предусмотренные ч. 5 ст. 12 ФЗ № 152 (о принимаемых мерах защиты, об условиях прекращения обработки, о правовом регулировании в области ПДн соответствующего иностранного государства);

при передаче в государства, не включённые в перечень адекватных, — получить от субъекта отдельное письменное согласие на трансграничную передачу его ПДн в порядке части 4 статьи 9 и части 4 статьи 12 ФЗ № 152, а также соблюдать запрет на передачу до истечения 10 рабочих дней после подачи уведомления, за исключением случаев, прямо предусмотренных ФЗ № 152;

обеспечить возможность приостановления или прекращения трансграничной передачи по решению Роскомнадзора (ч. 8 ст. 12 ФЗ № 152).

12.5. Оператор проводит ежегодный аудит используемого программного обеспечения и хостинговой инфраструктуры на предмет выявления случаев трансграничной передачи. При установлении факта или возникновении риска такой передачи в Политику и в локальные акты Оператора в установленном порядке вносятся соответствующие изменения.

13. Передача персональных данных третьим лицам

13.1. Оператор вправе передавать ПДн третьим лицам только в следующих случаях:

при наличии согласия субъекта ПДн на такую передачу (за исключением случаев, прямо установленных законом);

если передача необходима для исполнения договора, стороной которого является субъект ПДн (например, передача в банк-эквайер, платёжный сервис, курьерскую службу для доставки результатов и материалов);

в случаях, предусмотренных федеральными законами (например, по запросам государственных органов в установленном порядке);

в обезличенном виде — для статистических, исследовательских и аналитических целей.

13.2. Передача ПДн работников, опубликованных на Сайте в порядке ст. 10.1 ФЗ № 152, третьим лицам в иных целях, чем те, для которых работником дано согласие, не допускается без получения дополнительного согласия работника.

13.3. Категории третьих лиц, которым могут передаваться ПДн (с указанием цели передачи), определяются внутренними документами Оператора и согласием субъекта.

13.4. При поручении обработки ПДн третьим лицам Оператор заключает договор поручения, содержащий перечень действий с ПДн, цели обработки, обязанность соблюдать конфиденциальность и обеспечивать безопасность ПДн (ч. 3 ст. 6 ФЗ № 152).

14. Меры по обеспечению безопасности персональных данных

14.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий, в том числе:

назначает ответственного за организацию обработки ПДн;

издаёт локальные нормативные акты по вопросам обработки и защиты ПДн;

осуществляет ознакомление работников с положениями законодательства о ПДн и локальными актами;

определяет угрозы безопасности ПДн при их обработке в информационных системах;

применяет средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;

проводит оценку эффективности принимаемых мер по обеспечению безопасности ПДн до ввода информационных систем в эксплуатацию;

осуществляет учёт машинных носителей ПДн;

обеспечивает обнаружение фактов несанкционированного доступа к ПДн и принятие мер по их устранению;

обеспечивает восстановление ПДн, изменённых или уничтоженных вследствие несанкционированного доступа;

устанавливает правила доступа к ПДн, обеспечивает регистрацию и учёт всех действий, совершаемых с ПДн;

осуществляет внутренний контроль и (или) аудит соответствия обработки ПДн требованиям законодательства.

14.2. Уровень защищённости информационных систем ПДн определяется в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119.

15. Оценка вреда, который может быть причинён субъектам персональных данных

15.1. В соответствии с пунктом 5 части 1 статьи 18.1 ФЗ № 152 и Приказом Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинён субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»» Оператор обязан проводить оценку вреда субъектам персональных данных и оформлять её результаты в порядке, установленном указанным Приказом (далее — Требования).

15.2. Оценка вреда проводится ответственным за организацию обработки персональных данных в ООО «Сербалаб» либо комиссией, образуемой приказом Оператора. В состав комиссии включаются ответственный за обработку ПДн, представитель IT-подразделения, юрист и иные специалисты по решению Оператора.

15.3. Для целей оценки вреда Оператор определяет одну из трёх степеней вреда, который может быть причинён субъекту в случае нарушения ФЗ № 152:

высокая степень вреда — связана с возможным неправомерным распространением, предоставлением, доступом или иной обработкой специальных категорий ПДн (ст. 10 ФЗ № 152), биометрических ПДн (ст. 11 ФЗ № 152), ПДн несовершеннолетних, а равно с нарушениями, способными повлечь существенное ограничение прав и свобод субъекта;

средняя степень вреда — иные нарушения, не относящиеся к высокой степени, в результате которых возможна неправомерная передача (распространение, предоставление, доступ) ПДн, в том числе при наличии у субъекта установленных условий и запретов на обработку;

низкая степень вреда — нарушения, не отнесённые к высокой и средней степени.

15.4. В случае если по итогам оценки установлено, что субъекту могут быть причинены различные степени вреда, применяется более высокая степень вреда (п. 6 Требований).

15.5. С учётом характера деятельности Оператора (медицинская организация, обрабатывающая специальные категории ПДн (сведения о состоянии здоровья), биометрические и генетические ПДн, ПДн несовершеннолетних, а также сведения, составляющие врачебную тайну) установленная Оператором степень возможного вреда — высокая. Соответственно, к информационным системам Оператора применяются требования по обеспечению безопасности, соответствующие 1-му уровню защищённости персональных данных (УЗ-1) согласно Постановлению Правительства РФ от 01.11.2012 № 1119.

15.6. Результаты оценки вреда оформляются Актом оценки вреда. Акт должен содержать:

наименование и адрес Оператора;

дату издания Акта оценки вреда;

дату проведения оценки вреда;

фамилии, имена, отчества (при наличии), должности и подписи лиц, проводивших оценку вреда;

определённую степень вреда (высокая / средняя / низкая) с обоснованием.

15.7. Форма Акта оценки вреда приведена в Приложении № 4 к настоящей Политике.

15.8. Оценка вреда проводится не реже одного раза в год, а также при наступлении следующих обстоятельств:

ввод в эксплуатацию новых информационных систем персональных данных или существенное изменение существующих;

изменение состава обрабатываемых категорий ПДн или категорий субъектов;

изменение требований законодательства, влияющих на оценку вреда;

выявление инцидента в области обработки ПДн (внеочередная переоценка).

15.9. По результатам оценки вреда (в особенности при подтверждении высокой степени вреда) Оператор разрабатывает и реализует план мероприятий по поддержанию и (или) усилению мер защиты ПДн. Контроль за исполнением плана возлагается на ответственного за организацию обработки ПДн.

15.10. Акты оценки вреда хранятся у ответственного за организацию обработки ПДн в течение всего срока деятельности Оператора, но не менее 3 лет с даты издания каждого акта.

16. Реагирование на инциденты, связанные с персональными данными

16.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Оператор обязан:

в течение 24 часов уведомить Роскомнадзор о произошедшем инциденте и о причинах его возникновения, а также о мерах, принятых для устранения последствий (ч. 3.1 ст. 21 ФЗ № 152);

в течение 72 часов уведомить Роскомнадзор о результатах внутреннего расследования и привлечённых лицах;

уведомить субъектов ПДн, чьи интересы затронуты, в порядке, предусмотренном законодательством.

16.2. Оператор взаимодействует с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) в порядке, установленном Приказом Роскомнадзора от 14.11.2022 № 187.

17. Права субъектов персональных данных

17.1. Субъект ПДн имеет право:

получать сведения, касающиеся обработки его ПДн (ст. 14 ФЗ № 152);

требовать уточнения ПДн, их блокирования или уничтожения, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

отозвать согласие на обработку ПДн, в том числе согласие на распространение ПДн (ст. 10.1 ФЗ № 152), в любое время;

обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) или в судебном порядке;

на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

получать информацию о наличии ПДн, относящихся к нему, ознакомление с такими ПДн (за исключением случаев, предусмотренных ч. 8 ст. 14 ФЗ № 152).

17.2. Запросы и обращения субъектов ПДн направляются Оператору одним из следующих способов:

по адресу электронной почты: info@cerbalab.ru;

по почтовому адресу: 199106, г. Санкт-Петербург, Большой пр. В.О., д. 90, корп. 2, лит. З;

через форму обратной связи на Сайте.

17.3. Запрос должен содержать сведения, предусмотренные ч. 3 ст. 14 ФЗ № 152, в том числе сведения, подтверждающие участие субъекта в отношениях с Оператором, либо иные документы, подтверждающие факт обработки ПДн Оператором, а также подпись субъекта или его представителя.

17.4. Оператор предоставляет ответ на запрос субъекта ПДн в срок не более 10 рабочих дней с даты получения запроса. Срок может быть продлён не более чем на 5 рабочих дней с уведомлением субъекта.

17.5. В случае поступления уведомления об отзыве согласия на обработку ПДн Оператор прекращает обработку и обеспечивает уничтожение ПДн в срок, не превышающий 30 дней с даты поступления уведомления, если иное не предусмотрено законодательством или иными основаниями обработки. В случае отзыва согласия на распространение (ст. 10.1 ФЗ № 152) распространение прекращается незамедлительно с момента получения требования.

18. Файлы Cookie и иные данные, собираемые автоматически

18.1. На Сайте используются файлы cookie и аналогичные технологии (web-маяки, идентификаторы устройств) для обеспечения работоспособности Сайта, анализа поведения пользователей, повышения удобства использования и таргетирования рекламы.

18.2. Категории cookie:

строго необходимые — обеспечивают функционирование Сайта (корзина, авторизация); используются без согласия пользователя;

аналитические — Яндекс.Метрика и иные сервисы, серверы которых расположены на территории Российской Федерации (используются при наличии согласия);

маркетинговые — таргетирование рекламы (используются при наличии согласия).

18.3. При первом посещении Сайта пользователю предоставляется возможность принять или настроить использование cookie через специальную панель (cookie-banner). Пользователь может в любое время изменить настройки cookie или удалить их через настройки своего браузера.

18.4. Перечень собираемых автоматически данных: IP-адрес, тип устройства, операционная система, тип и версия браузера, геолокация (на уровне страны/региона), время посещения, источник перехода (referrer), идентификаторы cookie и счётчиков.

18.5. Использование сервисов веб-аналитики или иных инструментов, предполагающих передачу собранных данных за пределы территории Российской Федерации (Google Analytics, Meta Pixel и иные), Оператором не осуществляется. В случае возникновения такой необходимости Оператор соблюдает порядок, предусмотренный пунктом 12.4 настоящей Политики.

19. Контролирующие (надзорные) органы и порядок обращения

19.1. Государственный контроль и надзор за соответствием обработки персональных данных требованиям законодательства осуществляют:

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)

Сайт: rkn.gov.ru;

Электронная приёмная: rkn.gov.ru/treatments/ask-question/;

Управление Роскомнадзора по СЗФО: 190900, г. Санкт-Петербург, BOX 1166, тел. +7 (812) 670-26-37.

Федеральная антимонопольная служба (ФАС России)

Сайт: fas.gov.ru;

Управление ФАС по г. Санкт-Петербургу: 199004, г. Санкт-Петербург, 4-я линия В.О., д. 13, лит. А, тел. +7 (812) 313-12-25.

Федеральная служба по надзору в сфере здравоохранения (Росздравнадзор)

Сайт: roszdravnadzor.gov.ru;

Территориальный орган по г. Санкт-Петербургу и Ленинградской области: 191124, г. Санкт-Петербург, ул. Моисеенко, д. 5, лит. А, тел. +7 (812) 714-69-83.

20. Заключительные положения

20.1. Настоящая Политика подлежит изменению (актуализации) в случае изменения законодательства РФ, локальных нормативных актов Оператора, а также по результатам внутренних проверок и аудитов.

20.2. Новая редакция Политики вступает в силу с момента её утверждения и опубликования на Сайте, если иное не предусмотрено новой редакцией.

20.3. Контроль за исполнением требований настоящей Политики возлагается на лицо, ответственное за организацию обработки персональных данных в ООО «Сербалаб».

20.4. Лица, виновные в нарушении требований законодательства РФ о персональных данных и настоящей Политики, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в соответствии с законодательством.

20.5. В случае изменения действующего законодательства РФ в области персональных данных, настоящая Политика продолжает действовать в части, не противоречащей новым нормам. До внесения изменений в текст Политики, обработка персональных данных осуществляется в соответствии с актуальными редакциями нормативно-правовых актов. Ссылки на конкретные приказы, законы или их реквизиты в тексте Политики признаются отсылочными к актуальным актам, принятым взамен прежних, и не требуют немедленного пересмотра настоящего документа.

20.6. С момента вступления в силу настоящей Политики все ранее действовавшие в ООО «Сербалаб» локальные нормативные акты, регулирующие вопросы обработки и защиты персональных данных, признаются утратившими силу и не подлежат применению.

20.7. Приложения к настоящей Политике:

Приложение № 1 — Согласие на обработку персональных данных, включая специальные категории, и сведений, составляющих врачебную тайну;

Приложение № 2 — Согласие на получение рекламно-информационной рассылки;

Приложение № 3 — Согласие работника на обработку персональных данных, разрешённых субъектом персональных данных для распространения;

Приложение № 4 — Акт оценки вреда, который может быть причинён субъектам персональных данных.

Корзина
Оформить - 0 ₽
  • 0
  • 1
Генетические анализы | CERBALAB
Powered by  Соблюдение GDPR Cookie
Обзор конфиденциальности

На этом сайте используются файлы cookie, что позволяет нам обеспечить наилучшее качество обслуживания пользователей. Информация о файлах cookie хранится в вашем браузере и выполняет такие функции, как распознавание вас при возвращении на наш сайт и помощь нашей команде в понимании того, какие разделы сайта вы считаете наиболее интересными и полезными.