Политика конфиденциальности

УТВЕРЖДАЮ

Заместитель Генерального директора

ООО Центры Семейной Медицины "Здравица"

Е.А. Мельникова

«25» ноября 2025 года

1. Общие положения

1.1. Назначение политики

Настоящая Политика в отношении обработки персональных данных в обществе с ограниченной ответственностью Центры Семейной Медицины «Здравица» (далее – Политика) разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные принципы, цели, условия и способы обработки персональных данных, права субъектов персональных данных, а также обязанности общества с ограниченной ответственностью Центры Семейной Медицины «Здравица» (далее – Общество) при обработке персональных данных.

Политика является основой для организации обработки и защиты персональных данных в Обществе, в том числе для разработки локальных нормативных актов, регламентирующих указанный порядок.

1.2. Информация об Операторе

Полное наименование: общество с ограниченной ответственностью Центры Семейной Медицины «Здравица».
Сокращенное наименование: ООО ЦСМ «Здравица».
Юридический адрес: 630008, г. Новосибирск, ул. Шевченко 31а.
ОГРН: 1145476127488.
ИНН/КПП: 5406792123/ 540501001.
Адрес электронной почты: info@zdravitsa.ru

1.3. Область действия политики

Действие настоящей Политики распространяется на процессы Общества персональных данных, в рамках которых осуществляется обработка персональных данных, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.

Требования Политики являются обязательными для исполнения всеми работниками Общества.

1.4. Утверждение и пересмотр Политики

Политика вступает в силу с момента ее утверждения и действует до ликвидации или реорганизации Общества. В соответствии с требованиями ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» настоящая Политика открыто опубликована и доступна для ознакомления в информационно-телекоммуникационной сети Интернет на официальном сайте ООО ЦСМ «Здравица» (https://www.zdravitsa.ru).

Общество оставляет за собой право обновлять и изменять Политику, в том числе в случаях изменения требований законодательства РФ к порядку обработки и обеспечению безопасности персональных данных, а также при изменении внутренних процессов обработки персональных данных в Обществе.

1.5. Сокращения, термины и определения

Для целей настоящего документа используются следующие основные понятия:

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Законодательство Российской Федерации – совокупность издаваемых в Российской Федерации законов и подзаконных нормативных правовых актов;

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Работник – лицо, состоящее с Обществом в трудовых отношениях на основании заключенного трудового договора;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Субъект персональных данных – прямо или косвенно определенное или определяемое физическое лицо на основе персональных данных;

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационных системах персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Цели обработки персональных данных

Общество обрабатывает персональные данные субъектов для достижения конкретных, заранее определенных и законных целей, а именно:

• предоставление пациентам информации о проведенных приемах;
• аналитика веб-сайта.

Обработка персональных данных, не совместимая с заявленными целями обработки, Обществом не допускается.

3. Правовые основания обработки персональных данных

Правовые основания обработки персональных данных субъектов персональных данных устанавливаются с учетом условий обработки персональных данных, определённых ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Правовыми основаниями обработки персональных данных в Обществе, являются:

• согласие субъекта персональных данных на обработку его персональных данных;
• договор, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также договор, заключенный по инициативе субъекта персональных данных, или договор, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• локальные акты, принятые Обществом в соответствии с законодательством о персональных данных.

Кроме того, обработка персональных данных допускается в следующих случаях:

• обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.

4. Категории обрабатываемых персональных данных, категории субъектов персональных данных

В целях предоставления пациентам информации о проведенных приемах Общество обрабатывает персональные данные пациентов (Фамилия, имя, отчество, дата рождения, контактные данные (e-mail, номер контактного телефона), сведения о состоянии здоровья).

В целях аналитики веб-сайта Общество обрабатывает сведения, собираемые посредством метрических программ (файлы cookies).

5. Категории обрабатываемых персональных данных, категории субъектов персональных данных

5.1. Способы обработки персональных данных

Для каждой цели обработки персональных данных, указанной в п.3 настоящей Политики, предусмотрен один из следующих способов обработки персональных данных:

• автоматизированная обработка персональных данных (с использованием средств вычислительной техники) с передачей по информационно-телекоммуникационным сетям или без таковой.

При обработке персональных данных автоматизированном способом Общество принимает необходимые меры по обеспечению безопасности обрабатываемых персональных данных, в том числе с учетом требований Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

5.2. Сроки обработки персональных данных

Сроки обработки и хранения персональных данных для каждой цели обработки персональных данных, указанной в п.3 настоящей Политики, устанавливаются с учетом соблюдения требований, определенных законодательством РФ, и (или) с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает субъект персональных данных, и (или) согласия субъекта персональных данных на обработку его персональных данных.

Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

5.3. Сроки обработки персональных данных

Уничтожение персональных данных, обработка которых осуществляется в рамках целей, указанных в п.3 настоящей Политики, производится в следующих случаях:

• достижения целей обработки персональных данных или утраты необходимости в их достижении;
получение от субъекта отзыва согласия субъекта на обработку его персональных данных или требования о прекращении обработки персональных данных, (если исполнение указанного требования влечет за собой уничтожение персональных данных);
• истечение срока согласия субъекта персональных данных;
• получения соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных;
• при выявлении факта неправомерной обработки персональных данных.

В случае отсутствия возможности уничтожения персональных данных в течение срока, определенного Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Общество может заключать договоры с третьими сторонами на оказание услуг по уничтожению материальных носителей. При этом Общество и третья сторона соблюдают все правила для обеспечения конфиденциальности уничтожаемых данных.

Факт уничтожения персональных данных подтверждается в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.

5.4. Особенности обработки файлов cookie

Cookie – это небольшой текстовый фрагмент данных, который загружается на устройство (компьютер или смартфон) пользователей сайта, используемое для доступа к сайту.

Общество может использовать файлы cookie, полученные с устройств посетителей сайта, с целью обеспечения функционирования сайта в т.ч.:

• строго необходимые файлы cookie – для поддержания корректной работы и отображения сайта. Эти файлы cookie не хранят личные данные, которые могут идентифицировать пользователей сайта как личность;
• статистические (аналитические) файлы cookie, при помощи которых осуществляется сбор статистических сведений о работе с сайтом, в т.ч. об общем количестве посетителей сайта и показателях отказов – для улучшения пользовательского опыта в части навигации и исправления ошибок.

Общество использует информацию, содержащуюся в файлах cookie только в указанных выше целях, после чего собранные данные продолжают храниться на устройстве посетителя сайта в течение периода, который может зависеть от соответствующего типа файлов cookie. По срокам обработки файлы cookie делятся на следующие типы:

• сессионные cookie – действуют в течение времени, пока открыт веб-браузер, с которого посетитель сайта зашел на сайт, и удаляются при его закрытии;
• постоянные cookie – хранятся на компьютере посетителя сайта и не удаляются при закрытии браузера. В большинстве случаев срок использования таких файлов cookie не превышает двух лет.

Общество на Сайте использует сервисы веб-аналитики (Яндекс.Метрика и Сalltouch) с целью анализа пользовательской активности при помощи файлов cookie, оценки использования посетителями сайта, совершенствования сайта. Файлы cookie могут быть получены Обществом с использованием метрических программ Яндекс.Метрика и Сalltouch. При использовании указанных сервисов веб-аналитики Общество со своей стороны принимает условия использования сервисов, размещенные на сайтах поставщиков услуг, а также применяемые на стороне поставщиков способы защиты передаваемой информации. Общество убеждается в соблюдении принципов и правил обработки персональных данных, соблюдении конфиденциальности ПДн и принятии необходимых мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Посетители сайта уведомляются об использовании метрических программ и сбора файлов cookie при переходе на сайт. Большинство веб-браузеров изначально настроены автоматически принимать файлы cookie. Посетитель сайта в любой момент может изменить настройки своего веб-браузера таким образом, чтобы блокировать использование файлов cookie на устройстве.

Информацию о способах управления и блокировке файлов cookie в различных веб-браузерах можно получить по следующим ссылкам:

1. Chrome: https://support.google.com/chrome/answer/95647;

2. Firefox: https://support.mozilla.org/en-US/kb/enable-and-disable-cookies-website-preferences;

3. Internet Explorer / Microsoft Edge: https://support.microsoft.com/ru-ru/help/17442/windows-internetexplorer-delete-manage-cookies;

4. Opera: https://www.opera.com/help/tutorials/security/privacy;

5. Safari: https://support.apple.com/kb/PH19214.

Посетитель сайта вправе отказаться от использования Обществом Яндекс.Метрики, воспользовавшись инструкцией, опубликованной по ссылке: https://yandex.com/support/metrica/general/opt-out.html?lang=ru.

6. Взаимодействие Общества с третьими лицами по вопросам обработки персональных данных

6.1. Передача персональных данных

Общество в ходе своей деятельности вправе осуществлять передачу персональных данных третьим лицам в целях исполнения договорных обязательств перед субъектами персональных данных, обеспечения своей деятельности или исполнения требований законодательства РФ. При этом субъект персональных данных вправе беспрепятственно получить доступ к перечню третьих лиц, которым предоставляется доступ к его персональным данным.

Категории третьих лиц, которым может осуществляться передача персональных данных:

• государственные органы;
• контрагенты Общества либо иные третьи лица.

Общество осуществляет передачу персональных данных третьим лицам только в объеме, необходимом для достижения заявленных целей обработки.

Существенным условием договоров с третьими сторонами, в рамках исполнения которых осуществляется передача персональных данных, является обязанность соблюдения сторонами мер обеспечения конфиденциальности и безопасности персональных данных.

Трансграничная передача персональных данных в рамках деятельности Общества не осуществляется.⁠

7. Права субъектов персональных данных

Субъект персональных данных имеет право

• свободно, своей волей и в своем интересе предоставлять согласие на обработку персональных данных с учетом требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» к форме и содержанию согласий на обработку персональных данных;
• направлять запросы и (или) обращения и получать информацию по вопросам обработки персональных данных в порядке, форме, объеме и в сроки, установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Для каждого из типов запросов или обращений Обществом разработаны примеры форм, которые приведены в Регламенте реагирования на запросы субъектов и надзорных органов. Субъект персональных данных имеет право отказаться от использования примера формы и предоставить запрос или обращение в другой форме с соблюдением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными или не являются необходимыми для заявленной цели обработки;
• обратиться в Общество с требованием прекратить обработку своих персональных данных, а также отозвать предоставленное согласие на обработку персональных данных;
• осуществлять иные права, предусмотренные законодательством РФ.

По всем вопросам, касающимся сбора и обработки персональных данных, а также реализации своих прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», субъект вправе обратиться в Общество, путем направления писем по юридическому адресу Общества, либо по адресу электронной почты: info@zdravitsa.ru.

8. Обязанности Общества при обработке персональных данных

При обработке персональных данных Общество обязано:

• соблюдать требования законодательства РФ в отношении обработки и защиты персональных данных;
• при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные и (или) дать согласие на их обработку, если в соответствии с федеральным законом предоставление персональных данных и (или) получение согласия на обработку персональных данных являются обязательными;
• в случае получения персональных данных не от субъекта персональных данных до начала обработки персональных данных предоставить субъекту персональных данных информацию, предусмотренную Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» с учетом установленных исключений;
• при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов персональных данных (граждан РФ) с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных законодательством РФ;
• принимать меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативными правовыми актами;
• принимать меры по обеспечению безопасности персональных данных при их обработке;
• выполнять обязанности, предусмотренные для Операторов персональных данных, при получении запросов и (или) требований по вопросам персональных данных от субъекта персональных данных и (или) его представителя и (или) от уполномоченного органа по защите прав субъектов персональных данных;
• выполнять обязанности по уточнению, блокированию, уничтожению персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• взаимодействовать с уполномоченным органом по защите прав субъектов персональных данных по вопросам, связанным с обработкой и защитой персональных данных, в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• выполнять иные обязанности, предусмотренные законодательством РФ.

9. Меры, направленные на обеспечение выполнения Обществом обязанностей, предусмотренных законодательством

9.1. Перечень принимаемых в Обществе мер

В Обществе принимаются меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152‑ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

К таким мерам, принимаемым в Обществе, в частности относятся:

1. назначение Обществом ответственного за организацию обработки персональных данных;

2. издание Обществом локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;

3. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

4. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Общества в отношении обработки персональных данных, локальным актам Общества;

5. оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

6. ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

9.2. Меры по обеспечению безопасности персональных данных при их обработке

Общество при обработке персональных данных принимает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К таким мерам, в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в частности, относятся:

• определение угроз безопасности персональных данных при их обработке;

• соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;

• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

• применение сертифицированных средств защиты информации, прошедших в установленном порядке процедуры оценки соответствия;

• оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

• резервирование персональных данных специальными программно-аппаратными методами с последующей возможностью восстановления модифицированных или уничтоженных персональных данных вследствие несанкционированного доступа к ним;

• установление правил доступа к персональным данным, а также обеспечение регистрации и учета действий, совершаемых с персональными данными, обрабатываемыми в информационной системе персональных данных;

• учет машинных носителей персональных данных;

• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.