Политика конфиденциальности и обработки персональных данных в ООО «Сербалаб»

Настоящая политика конфиденциальности и обработки персональных данных (далее – Политика) разработана на основе Конституции РФ, Гражданского кодекса РФ, федерального закона «О защите персональных данных» № 152-ФЗ и Регламента № 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных (General data Protection Regulation)» и иных международных и российских правовых актов. Настоящее положение устанавливает единые цели, принципы и правила обработки персональных данных в обществе с ограниченной ответственностью «Сербалаб» (далее также – «Сербалаб») и определяет основные меры, реализуемые ООО «Сербалаб» для защиты персональных данных своих клиентов.

ООО «Сербалаб» является оператором, организующим и осуществляющим обработку персональных данных, обеспечивает защиту прав и свобод своих клиентов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О защите персональных данных» и Регламентом ЕС № 2016/679.

1. Основные понятия

В целях настоящего Положения используются следующие основные понятия:

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Клиент – субъект персональных данных, к которому относятся обрабатываемые «Сербалаб» персональные данные;

Данные в отношении здоровья – персональные данные, касающиеся физического или психического здоровья Клиента, в том числе предоставление медицинских услуг, которые раскрывают информацию о состоянии Клиента;

Генетические данные – персональные данные, касающиеся унаследованных или приобретенных генетических характеристик Клиента, которые предоставляют уникальную информацию о его физиологии или здоровье и которые являются результатом, в частности, анализа биологического образца Клиента;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Конфиденциальность персональных данных – обязательное для соблюдения оператором требование не раскрывать третьим лицам и не допускать распространения персональных данных Клиента без его согласия или наличия иного законного основания;

Утечка персональных данных – нарушение безопасности, ведущее к случайному или незаконному разрушению, потере, изменению, несанкционированному раскрытию или доступу к переданным, сохраненным или иным образом обработанным персональным данным;

Защита персональных данных – деятельность оператора, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.

Клиент – физическое лицо, которое совершает какие-либо действия на Сайте, а также является потребителем продуктов и услуг «Сербалаб» вне зависимости от использования Интернета.

Cookies – фрагмент данных, отправленный веб-сервером и хранимый на компьютере Клиента, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в НТТР-запросе при попытке открыть страницу соответствующего сайта.

IР-адрес – уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

2. Цели обработки персональных данных

Обработка персональных данных Клиентов «Сербалаб» осуществляется в следующих целях:

• Предоставление Клиентам информации (в том числе рекламного характера) об услугах, оказываемых «Сербалаб», с помощью телефонной связи, смс-сообщений, электронной почты;
• Предоставление Клиентам консультаций «Сербалаб» по вопросам оказываемых услуг;
• Заключение договоров с Клиентами, в том числе через сайт «Сербалаб»;
• Исполнение договоров с Клиентами;
• Проведение научных исследований в областях естественных и технических наук;
• Оказание Клиентам медицинских услуг, в том числе, с применением телемедицинских технологий;
• Подготовка и публикация научных статей в официальных печатных и электронных изданиях;
• Иные цели, предусмотренные законодательством Российской Федерации о персональных данных, Регламентом ЕС № 2016/679.

3. Принципы обработки персональных данных

Обработка персональных данных в ООО «Сербалаб» базируется на принципах, предусмотренных Федеральным законом «О защите персональных данных», Регламентом ЕС № 2016/679 и учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиту права на неприкосновенность частной жизни, личную и семейную тайны, а именно:

• Обработка персональных данных осуществляется на законной и справедливой основе;
• Обработка персональных данных в ООО «Сербалаб» осуществляется только с согласия Клиента или его законного представителя;
• Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• Обработке подлежат только персональные данные, которые отвечают целям их обработки;
• Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных;
• Хранение персональных данных должно осуществляться в форме, позволяющей определить Клиента, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки ил-и в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.

4. Обрабатываемые персональные данные
   • В рамках оказания услуг ООО «Сербалаб» обрабатывает следующие данные своих клиентов:

• Фамилия, имя, отчество, число, месяц, год рождения, контактные данные (адрес места жительства, номер телефона, адрес электронной почты, другие контактные данные);
• Вид и номер документа, удостоверяющего личность, гражданство, дата и место рождения;
• Генетические данные (только в результате выполнения «Сербалаб» своих договорных обязательств);
• Данные о здоровье (только в случае предоставления Клиенту медицинских услуг).
  • Также для осуществления целей обработки персональных данных «Сербалаб» может самостоятельно получать и обрабатывать следующие персональные данные Клиентов:
• Источник захода на сайт и информация поискового запроса;
• Данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
• Пользовательские клики, просмотры страниц, заполнения полей, показы, просмотры баннеров и видео;
• Данные, характеризующие аудиторные сегменты;
• Параметры сессии;
• Идентификатор клиента, хранимый в cookie;
• IР-адреса клиента.
  • В ООО «Сербалаб» также могут обрабатываться другие персональные данные Клиентов, необходимые для осуществления целей обработки персональных данных, указанных в главе 2 настоящей Политики.
  • Клиент имеет все права, предусмотренные Федеральным законом от 27 июля 2006 года No 152-ФЗ «О персональных данных», а в случае, если Клиент имеет гражданство страны Европейского союза, то все права, предусмотренные Регламентом ЕС № 2016/679.
  • Клиент подтверждает, что ознакомился с настоящей Политикой конфиденциальности и дает свое информированное и добровольное согласие на обработку персональных данных в следующих случаях:
• с момента начала использования Сайта в отношении информации, предусмотренной пунктом 4.2 Политики конфиденциальности.
• в момент заполнения форм обратной связи на Сайте, телефонного звонка, либо визита в офис «Сербалаб» в отношении информации, предусмотренной в пункте 4.1 Политики конфиденциальности.
• с момента заключения с Клиентом гражданско-правового договора в отношении всех персональных данных, предусмотренных пунктами 4.1 и 4.2. Политики конфиденциальности.

5. Обработка персональных данных
   • Обработка персональных данных осуществляется добровольно на основании договора с Клиентом, если иное не предусмотрено действующим законодательством.
   • «Сербалаб» вправе осуществлять автоматизированную, неавтоматизированную и смешанную обработку персональных данных. В процессе обработки персональных данных может составляться профиль Клиента, который необходим для предоставления услуг, в том числе медицинских, а также для предоставления более высокого уровня обслуживания.
   • Обработка персональных данных осуществляется путем:

• Получения информации, содержащей персональные данные, в устной или письменной форме непосредственно от Клиента;
• Предоставления Клиентом необходимых оригиналов либо заверенных в установленном порядке копий документов;
• Получения персональных данных в результате направления запросов в органы государственной власти, иные государственные органы, государственные и муниципальные учреждения, коммерческие и некоммерческие организации, физическим лицам в случаях и в порядке, предусмотренном действующим законодательством;
• Анализа биологических материалов Клиента;
• Получение информации от администратора сайта «Сербалаб» о параметрах веб-сессии пользователя;
• Получение персональных данных из общедоступных источников.
  • «Сербалаб» применяет следующие виды обработки персональных данных: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  • Запросы Клиентов о предоставлении сведений об обрабатываемых «Сербалаб» персональных данных, а также запросы о блокировке, изменении уточнении или удалении персональных данных направляются Клиентами по электронной почте, почтовой связью, либо курьером. Запросы направляются с электронного адреса, ранее предоставленного Клиентом «Сербалаб», либо с приложением паспортных данных Клиента.
  • «Сербалаб» рассматривает запросы субъектов персональных данных и направляет ответы на них в течение 30 (тридцати) дней.
  • Запросы об изменении неполных, неточных или неактуальных персональных данных, а также запросы об удалении данных, которые были незаконно получены «Сербалаб» или не соответствуют заявленным целям обработки, подлежат рассмотрению в течение 7 (семи) рабочих дней.
  • Ответ «Сербалаб» на запрос Клиента направляется по адресу, указанному Клиентом в соответствующем запросе и в той же форме.
  • Клиент в любое время вправе отозвать свое согласие на обработку персональных данных. Отзыв согласия на обработку персональных данных осуществляется путем направления соответствующего заявления в порядке, предусмотренных п. 5.6. настоящей Политики.
  • Все споры, возникшие между «Сербалаб» и Клиентом, стороны стараются урегулировать путем переговоров. В случае невозможности разрешения спора путем переговоров, Клиент имеет право обратиться с жалобой в соответствующий уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор в Российской Федерации) или с исковым заявлением в суд.
  • Согласно положениям Регламента ЕС № 2016/679 Клиенты, являющиеся гражданами Европейского союза, имеют право на перенос хранимых персональных данных и получение копии хранимых персональных данных.
  • Обработка персональных данных Клиента осуществляется в течение всего срока действия договорных обязательств между «Сербалаб» и Клиентом или до отзыва Клиентом согласия на обработку его персональных данных в порядке, указанном в п. 5.9. настоящего Положения.

6. Обеспечение безопасности персональных данных
   • В соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных «Сербалаб» предпринимает необходимые организационно-правовые и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
   • Меры по обеспечению безопасности, реализуемые «Сербалаб» при обработке персональных данных, могут включать в себя, но не ограничиваться, следующим:

• Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• Учетом машинных носителей персональных данных;
• Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
• Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
  • Ответственность за нарушение требований законодательства Российской Федерации и Европейского Союза в сфере обработки и защиты персональных данных определяется в соответствии с законодательством соответствующего государства.