Положение о защите персональных данных

1. Общие положения

1.1 Настоящее Положение о защите персональных данных пользователей (далее – «Положение») является локальным нормативным актом общества с ограниченной ответственностью «ДокДок», определяет политику, порядок и условия обработки персональных данных пользователей веб-сайтов «oncocentr.ru», «docdoc.ru» и «sberhealth.ru» и приложения «СберЗдоровье» для мобильных устройств под управлением iOS и Android.

1.2 Следующие употребляемые в настоящем документе термины имеют следующие значения:

  • «Оператор» означает общество с ограниченной ответственностью «ДокДок»;
  • «Пользователь» означает физическое лицо, намеревающееся использовать и/или использующее Сервис;
  • «Персональные данные» означает любую информацию, необходимую Оператору в связи с использованием Пользователями Сервиса и относящаяся к конкретному Пользователю;
  • Под обработкой персональных данных Пользователя понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных определенного Пользователя;
  • «Сервис» означает веб-сайт «oncocentr.ru», «docdoc.ru» или «sberhealth.ru», а также приложение для мобильных устройств «СберЗдоровье» для IOS и Android.
  • «Партнер» означает организацию или индивидуального предпринимателя, сведения о которых размещены в Сервисе. Медицинские услуги, предлагаемые Партнерами для приобретения с использованием Сервиса, подлежат оказанию исключительно Партнерами, обладающими действующими лицензиями на осуществление медицинской деятельности.

1.3 Настоящее Положение регулирует процедуру получения, обработки, систематизации, хранения, использования, передачи и раскрытия персональных данных Пользователей и в полном объеме применяется ко всем Пользователям.

1.4 Принципы обработки персональных данных Пользователей основываются на положениях Конституции Российской Федерации, Федерального закона Российской Федерации № 152-ФЗ от 27.07.2006 г. «О персональных данных» и иных нормативных правовых актах Российской Федерации и включают в себя, помимо прочего:

  • законность целей и способов обработки персональных данных, добросовестность и справедливость в деятельности Оператора;
  • достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
  • обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
  • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

1.5 Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

1.6 Условия по обработке персональных данных Пользователей с подтвержденным или предполагаемым диагнозом «новая коронавирусная инфекция» (COVID-19), в том числе, при консультации Пользователей по вопросам диагностики и лечения COVID-19, определены в пункте 2.7 настоящего Положения.

2. Обработка персональных данных Пользователей

2.1 Персональные данные Пользователей обрабатываются для целей записи Пользователей на прием к врачу через Сервис, связи с центром поддержки пользователей (колл-центром) Оператора, предоставления поддержки при использовании Сервиса, рассылки рекламных и маркетинговых материалов, улучшения работы Сервиса, получения отзывов и пожеланий по работе Сервиса.

2.2 Осуществляя запись на прием к врачу через Сервис, Пользователь может предоставить Оператору следующие персональные данные: фамилия, имя, отчество, телефон, адрес электронной почты, пол, возраст, сведения о намерении обратиться к врачу. Пользователь подтверждает, что персональные данные являются полными, точными и актуальными и предоставляются лично Пользователем либо его законным представителем.

2.3 Пользователь вправе не предоставлять сотрудникам Оператора или колл-центра Оператора какие-либо дополнительные сведения или информацию при осуществлении записи к врачу с использованием Сервиса, включая сведения о состоянии здоровья Пользователя. При использовании мобильных приложений в составе Сервиса Пользователь предоставляет дополнительные сведения по своему выбору, если это необходимо для реализации функционала приложений.

2.4 Оператор не собирает и не обрабатывает персональные данные пользователей, касающиеся состояния здоровья и интимной жизни Пользователей. Такие данные предоставляются Пользователями непосредственно и только врачам или медицинским организациям, включая Партнеров, которые обязаны соблюдать их конфиденциальность в соответствии с применимым законодательством Российской Федерации.

2.5 При использовании Сервиса Пользователи предоставляют Оператору согласие на обработку своих персональных данных путем акцепта условий текста согласия, размещенного в Сервисе.

2.6 Оператор за свой счет и в порядке, предусмотренном законодательством Российской Федерации, обеспечивает защиту персональных данных Пользователей от утраты, неправомерного и/или несанкционированного доступа к ним.

2.7 Пользователь может использовать некоторые функции Сервиса, предназначенные для оказания Партнерами медицинских и иных услуг пациентам с подозрением на COVID-19 или пациентам с диагностированным COVID-19, а именно:

2.7.1. Загрузка и распознавание результатов анализов на COVID-19. При использовании указанной функции Партнерами обрабатывается следующий набор данных: дата проведения анализа, ФИО, дата рождения, возраст, пол, наименование медицинской организации, наименование лабораторного исследования, исследуемый биологический материал, параметры исследования, результаты исследования. Сведения используются исключительно для предоставления Пользователю информации о выполненных в интересах Пользователя лабораторных исследованиях;

2.7.2. Загрузка и обработка информации о вакцинациях, включая вакцинацию против COVID-19. При использовании указанной функции Партнерами обрабатывается следующий набор данных: ФИО, дата рождения, возраст, пол, наименование вакцины, дата вакцинации. Сведения используются исключительно для предоставления Пользователю информации о проведенных Пользователю вакцинациях;

2.7.3. Мониторинг состояния здоровья Пользователей с диагностированным COVID-19 на основании договоров (контрактов) с уполномоченными государственными (муниципальными) органами и медицинскими организациями. При использовании указанной функции Партнерами обрабатывается следующий набор данных: ФИО, дата рождения, возраст, пол, температура тела, общее самочувствие. Сведения используются исключительно для предоставления Пользователю и медицинским организациям, назначившим дистанционное наблюдение за состоянием здоровья Пользователя, актуальной информации о состоянии здоровья Пользователей с диагностированным COVID-19;

2.7.4. Проведение Партнерами телемедицинских консультаций с использованием Сервиса, в том числе, для Пользователей с диагностированным COVID-19. При использовании указанной функции Партнерами обрабатывается следующий набор данных: ФИО, дата консультации, жалобы Пользователя, анамнез заболевания, рекомендации медицинского работника. Сведения используются исключительно для предоставления Пользователю консультаций врачей с применением телемедицинских технологий и предоставления Пользователя доступа к результатам таких консультаций.

2.7.5. Получение Партнером с помощью Единого портала государственных услуг Российской Федерации и демонстрация Пользователю в Сервисе сертификата о вакцинации Пользователя против новой коронавирусной инфекции и QR-кода вакцинированного лица или лица, перенесшего новую коронавирусную инфекцию.

3. Сбор, хранение и использование персональных данных Пользователей

3.1 Оператор осуществляет сбор и хранение персональных данных Пользователей с использованием электронной базы данных.

3.2 Оператор при сборе Персональных данных Пользователей обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных в базах данных, расположенных на территории РФ.

4. Передача персональных данных

4.1 Оператор осуществляет передачу персональных данных Пользователей только для целей, предусмотренных в согласии на обработку персональных данных, в частности, без ограничений, медицинским организациям или врачам, на запись к которым Пользователь оставил заявку, сотрудникам колл-центра, Партнерам.

4.2 Оператор обязуется предупреждать всех лиц, которым передаются персональные данные Пользователей, о том, что эти данные могут использоваться лишь в целях, для которых они сообщены. Все лица, получающие персональные данные Пользователя, обязаны строго соблюдать конфиденциальность в отношении таких данных. Данное положение не распространяется на случаи, когда обмен персональными данными Пользователей осуществляется в порядке, установленном законодательством Российской Федерации.

5. Права Пользователей в отношении их персональных данных

5.1 Для целей защиты персональных данных, хранящихся у Оператора, Пользователям предоставляются следующие права:

  • получать полную информацию о своих персональных данных и их обработке на основании соответствующего запроса;
  • иметь бесплатный доступ к своим персональным данным, за исключением случаев, когда российским законодательством предусматривается иное;
  • требовать удаления или исправления неверных, неполных или неактуальных персональных данных, а также данных, обрабатываемых с нарушением требований законодательства Российской Федерации.

5.2 В случаях, когда Оператор отказывается удалить или исправить персональные данные Пользователя, Пользователь имеет право направить Оператору заявление о своем несогласии с таким отказом в письменной форме с указанием причин своего несогласия.

6. Защита персональных данных

6.1 Для целей защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных Оператор принимает соответствующие правовые, организационные и технические меры.

6.2 Правовые меры включают в себя:

  • принятие настоящего Положения и его опубликование в Сервисе;
  • получение согласий на обработку персональных данных;
  • предоставление ответов на запросы Пользователей, касающихся обработки персональных данных;
  • привлечение к ответственности лиц, виновных в нарушении правил обработки персональных данных, предусмотренных законодательством Российской Федерации и настоящим Положением.

6.3 Организационные меры включают в себя:

  • назначение лица, ответственного за организацию обработки персональных данных у Оператора;
  • определение порядка хранения персональных данных в информационных системах, а также порядка доступа к ним;
  • регулярный мониторинг и анализ требований законодательства и современных технологий обработки персональных данных для своевременного изменения принимаемых Оператором мер правового, организационного и технического характера с целью улучшения методов и способов обработки, хранения и защиты персональных данных.

6.4 Технические меры включают в себя:

  • в офисе Оператора введен и поддерживается пропускной режим;
  • фактический доступ к электронным документам и материальным носителям персональных данных предоставлен только ограниченному кругу сотрудников Оператора, в должностные обязанности которых входит обработка персональных данных;
  • материальные носители персональных данных хранятся с соблюдением правил законодательства способом, исключающим доступ к ним третьих лиц;
  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • регистрация событий безопасности;
  • контроль (анализ) защищенности персональных данных;
  • защита среды виртуализации;
  • защита информационной системы, ее средств, систем связи и передачи данных;
  • управление конфигурацией информационной системы и системы защиты персональных данных.

7. Контроль обработки персональных данных

7.1 Внутренний контроль за соблюдением сотрудниками Оператора требований законодательства Российской Федерации и настоящего Положения заключается в проверке выполнения предусмотренных требований, а также в оценке обоснованности, адекватности и эффективности принятых мер. Он может проводиться структурным подразделением или работником, ответственным за обеспечение безопасности персональных данных.

7.2 Аудит соответствия обработки персональных данных требованиям законодательства Российской Федерации и настоящего Положения может быть осуществлен третьим лицом, имеющим соответствующую квалификацию, на договорной основе.

7.3 По результатам внутреннего контроля и (или) аудита Оператор проводит оценку вреда, который может быть причинен персональным данным Пользователей, и соответствия принимаемых мер выявленным угрозам. В случае необходимости Оператор вводит дополнительные меры по защите персональных данных и вносит соответствующие изменения в настоящее Положение.

8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных Пользователей

8.1 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.

8.2 Моральный вред, причиненный Пользователю вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных Федеральным законом № 152-ФЗ от 27.07.2006 г. «О персональных данных», подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных Пользователем убытков.

8.3 По результатам внутреннего контроля и (или) аудита Оператор проводит оценку вреда, который может быть причинен персональным данным Пользователей, и соответствия принимаемых мер выявленным угрозам. В случае необходимости Оператор вводит дополнительные меры по защите персональных данных и вносит соответствующие изменения в настоящее Положение.