ПОЛИТИКА В ОТНОШЕНИИ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АО «МЕДБЭНК»
1. Преамбула
1.1. Настоящая политика Акционерного общества «Медбэнк» (АО «Медбэнк», ИНН 7713488270, ОГРН 1227700191487, юридический адрес: 127422, г. Москва, ул. Тимирязевская, д. 1, стр. 3, эт. 6., комната 4, сайт: https://медбанк.рф, далее – Оператор) в отношении обработки и защиты персональных данных (далее – Политика) разработана в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»), Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Рекомендациями по составлению документа, определяющего политику Оператора в отношении обработки персональных данных субъектов персональных данных (далее – Субъект/Субъекты). Политика предназначена для информирования Субъектов о том, кто, как, для чего и в каком объеме собирает и обрабатывает данные Субъектов.
2. Термины и определения
«Персональные данные» – любая информация, относящаяся прямо или косвенно к определенному или определяемому Субъекту.
«Оператор» – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящей Политики Оператором является АО «Медбэнк».
«Субъект» — определенное или определяемое физическое лицо, чьи персональные данные обрабатывает Оператор согласно настоящей Политики.
«Обработка персональных данных» – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. Обработка персональных данных включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
«Автоматизированная обработка персональных данных» – обработка персональных данных с помощью средств вычислительной техники.
«Неавтоматизированная обработка персональных данных» – действия с персональными данными, в том числе использование, уточнение, распространение, уничтожение, осуществляемые при непосредственном участии человека.
«Конфиденциальность персональных данных» – режим использования персональных данных, при котором они не раскрываются третьим лицам и не распространяются без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
«Информационная система персональных данных» – совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.
«Сайт» – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://медбанк.рф.
«Файл cookie»— небольшой фрагмент данных, который Сайт запрашивает у пользовательского устройства (компьютер, мобильное устройство, смартфон и т.п.) Технология cookie позволяет Сайту «запоминать» действия или предпочтения Пользователя. Файлы cookie хранятся локально на устройстве Пользователя. Пользователи могут удалять сохраненные файлы cookie по своему желанию через настройки браузера.
«Пользователь» – любой посетитель сайта, являющийся Субъектом.
«Работник» — физическое лицо, являющееся Субъектом и состоящее в трудовых отношениях с Оператором на основании трудового договора, а также:
- работник, с которым заключен срочный трудовой договор;
- исполнитель, оформленный по договору гражданско-правового характера (привлекаемый Оператором для выполнения временных необходимых работ);
- бывший работник, персональные данные которого сохраняются в соответствии с требованиями законодательства РФ).
В контексте настоящей Политики термин «Работник» включает также соискателей, кандидатов на трудоустройство в компанию Оператора, чьи персональные данные подлежат обработке на этапе отбора.
«Трансграничная передача персональных данных» – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
«Блокирование персональных данных» – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
«Обезличивание персональных данных» – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту или иному субъекту персональных данных.
«Предоставление персональных данных» – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
«Распространение персональных данных» – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
«Уничтожение персональных данных» – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.
3. Основания и принципы обработки персональных данных
3.1. Обработка персональных данных осуществляется на законной и справедливой основе.
3.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных, а также избыточная по отношению к целям сбора персональных данных.
3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.
3.6. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки.
3.7. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
3.8. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом «О персональных данных», договором, стороной которого является Субъект персональных данных.
3.9. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом «О персональных данных».
3.10. Оператор является российским юридическим лицом и ведет свою деятельность на территории РФ. Деятельность оператора направлена на российских пользователей, граждан РФ или лиц, проживающих на территории РФ, и не нацелена на получение прибыли или ведение иной деятельности за пределами территории РФ, поэтому Оператор руководствуется:
— Конституцией РФ;
— Федеральным законом «О персональных данных»;
— Гражданским кодексом РФ;
— Трудовым кодексом РФ;
— Налоговым кодексом РФ;
— иными законами и подзаконными нормативно-правовыми актами, регулирующими обработку персональных данных в РФ;
— уставом Оператора;
— согласиями Субъектов;
— договорами, стороной которых либо выгодоприобретателем или поручителем, по которым являются Субъекты.
3.11. Деятельность Оператора строится на следующих принципах:
— законность;
— справедливость;
— минимизация данных;
— целевая обработка данных;
— срочность обработки данных;
— конфиденциальность данных;
— локализация обработки данных;
— Оператор не осуществляет трансграничную передачу персональных данных.
3.12. Оператор обрабатывает персональные данные Субъекта только в случаях:
— заполнения персональных данных Субъектом и/или отправки персональных данных Субъектом самостоятельно через заполнение специальных форм, расположенных на сайте https://медбанк.рф.
— заполнения персональных данных Субъектом и/или предоставление персональных данных Субъектом самостоятельно через заполнение специальных форм на бумажном носителе.
Заполняя соответствующие формы и/или отправляя (предоставляя) свои персональные данные Оператору, Субъект выражает свое согласие с настоящей Политикой.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных:
4.1. Содержание и объем обрабатываемых Оператором персональных данных Субъектов соответствуют целям обработки, указанным в настоящем разделе Политики для каждой категории Субъектов. Обрабатываемые Оператором персональные данные не являются избыточными по отношению к заявленным целям их обработки.
Оператор не проверяет достоверность персональных данных, предоставляемых Субъектом, и не имеет возможности оценивать их достоверность, но исходит из того, что Субъект предоставляет достоверную и достаточную персональную информацию о себе и поддерживает эту информацию в актуальном состоянии.
4.2. Цели, виды и объем обрабатываемых персональных данных:
5. Использование Сайта и файлов cookie
5.1. Политика применяется, в части настоящего раздела, только к Сайту Оператора и не регулирует сайты третьих лиц, на которые Пользователь может перейти по ссылкам, размещённым на Сайте (при наличии таковых).
5.2. Использование Сайта означает полное и безоговорочное согласие Пользователя со всеми условиями настоящей Политики. В случае, если Пользователь не согласен с какими-либо условиями Политики полностью или частично либо условиями Политики в целом, Пользователь должен воздержаться от использования Сайта.
5.3. При использовании Сайта Пользователю запрещено предпринимать какие-либо действия, которые могут нарушить функциональность Сайта.
5.4. Цели обработки персональных данных на Сайте:
— идентификация Пользователей Сайта;
— предоставление доступа в личный кабинет на Сайте в порядке и с учетом ограничений, предусмотренных законодательством Российской Федерации и локальными нормативными актами Оператора, для обеспечения информационной безопасности Пользователей и Оператора;
— мониторинг активности Пользователей Сайта. Обезличенные данные, собираемые с помощью сервисов интернет-статистики (в том числе Yandex.Metrica), служат для сбора информации о действиях посетителей на Сайте, улучшения качества работы Сайта и его содержания;
— оказание технической поддержки Пользователям при использовании Сайта;
— осуществление новостных и рекламных рассылок, в том числе направление Пользователям информационных сообщений о новых продуктах и услугах, специальных предложениях и различных событиях;
— в иных целях, предусмотренных законодательством Российской Федерации.
5.5. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов cookie и использование технологии JavaScript).
5.6. Следующие файлы cookie собираются от Пользователя Сайта:
— строго необходимые файлы cookie / технические файлы cookie: эти файлы cookie необходимы для работы Сайта, они позволяют идентифицировать аппаратное и программное обеспечение Пользователя, включая тип браузера Пользователя;
— статистические / аналитические файлы cookie: эти файлы cookie позволяют распознавать Пользователя(-ей), подсчитывать их количество и собирать информацию, такую как произведенные Пользователем операции на сайтах и в сервисах, включая информацию о посещенных Пользователем веб-страницах и контенте, который Пользователь получает;
— технические файлы cookie: эти файлы cookie собирают информацию о том, как Пользователь взаимодействует с сайтами и/или сервисами, что позволяет выявлять ошибки и тестировать новые функции для повышения производительности сайтов и сервисов;
— функциональные файлы cookie: эти файлы cookie позволяют предоставлять определенные функции, чтобы облегчить использование Пользователем сайтов, например, сохраняя предпочтения Пользователя (такие как язык и местоположение);
— сторонние файлы отслеживания / рекламные файлы cookie: эти файлы cookie собирают информацию о Пользователях, источниках трафика, посещенных страницах и рекламе, отображенной для Пользователя, а также той, по которой Пользователь перешел на рекламируемую страницу. Они позволяют отображать рекламу, которая может заинтересовать Пользователя, на основе анализа персональной информации, собранной о Пользователе. Они также используются в статистических и исследовательских целях.
5.7. Сайт использует файлы cookie для того, чтобы:
— помогать Пользователю оставаться авторизованным на Сайте;
— обеспечить функционирование и безопасность Сайта;
— улучшать качество работы Сайта;
— показывать приоритетную для Пользователя информацию;
— собирать информацию о количестве просмотров рекламы и переходов по рекламным ссылкам (оценка конверсии), персонализация предложений и рекламы для Пользователя (например, Пользователю не будет повторно демонстрироваться та реклама, которую Пользователь недавно видел);
— переходить из сторонних рекламных сервисов на релевантную страницу;
— собирать информации о пользовательской сессии, формирования статистики использования Сайта (например, подсчета посетителей Сайта, выявления часов пиковой пользовательской активности), анализа опыта пользовательского взаимодействия с Сайтом (например, определения индивидуального «пути следования» пользователя при использовании Сайта), т.е. для оптимизации дизайна и структуры Сайта с точки зрения удобства его использования, оперативного поиска нужной информации и общего улучшения пользовательского опыта.
5.8. Срок хранения файлов cookie на устройстве Пользователя:
5.8.1. Сайт использует сессионные файлы cookie, чтобы Пользователю было удобнее работать с Сайтом. Срок действия сессионных файлов cookie истекает в конце сессии (когда Пользователь закрывает страницу или окно браузера).
5.8.2. Оператор также может использовать файлы cookie, которые сохраняются в течение более длительного периода, например, чтобы запомнить предпочтения Пользователя на Сайте. Срок хранения данных зависит от типа файлов cookie. Такие файлы cookie будут автоматически удалены после того, как выполнят свою задачу.
5.9. Управление файлами cookie:
5.9.1. При первом посещении Сайта во всплывающем окне Пользователю может быть предложено выбрать типы файлов cookie, которые будут записаны на устройстве Пользователя. При этом, технические файлы cookie устанавливаются автоматически при загрузке страницы, если иное не указано в настройках браузера. Если Пользователь одобрил использование файлов cookie, но потом захотел изменить свое решение, то сделать он это может самостоятельно, удалив сохраненные файлы в своем пользовательском браузере.
5.9.2. Сайт не требует обязательного согласия на установку файлов cookie на устройство Пользователя. Пользователь может регулировать сбор информации cookie путем произведения соответствующих настроек в его веб-браузере. Чтобы получить инструкцию, как блокировать или удалить любые cookie, Пользователю необходимо зайти в раздел «Помощь» или «Поддержка» своего браузера. В случае отключения функции cookie или ее блокировки Оператор не сможет гарантировать работоспособность Сайта и доступность его функционала в полном объеме.
5.10. Третьи лица, имеющие доступ к информации, содержащейся в файлах cookie:
5.10.1. Партнеры Оператора и используемые Сайтом сервисы, также могут собирать информацию о Пользователях с помощью файлов cookie или пиксельных тегов в рамках использования Сайта. Использование файлов cookie и других технологий позволяет Оператору и его партнерам анализировать активность при использовании Сайта, подсчитывая количество посещений или показывая рекламу, адаптированную под услуги Сайта.
5.10.2. Инструмент веб-аналитики Яндекс.Метрика, который используется Сайтом, позволяет собирать обезличенную информацию об источниках трафика, посещаемости Сайта и оценивать эффективность рекламы. Для учета посетителей Яндекс.Метрика использует анонимные идентификаторы браузеров, которые сохраняются в файлах cookie.
Подробнее о файлах cookie Яндекс.Метрики можно прочитать на странице https://yandex.ru/support/metrica/general/cookie-usage.html.
6. Порядок и условия обработки персональных данных
6.1. Источником персональных данных является сам Субъект.
6.2. Субъект персональных данных дает согласие на их обработку свободно, своей волей и в своем интересе.
Если персональные данные Субъекта получены от третьей стороны, то от Субъекта должно быть получено согласие на их обработку.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Согласие на обработку персональных данных в электронной форме считается подписанным Субъектом собственноручно.
Если от имени Субъекта согласие на обработку персональных данных подписывает представитель Субъекта, полномочия данного представителя на дачу согласия от имени Субъекта должны быть подтверждены и проверены Оператором.
6.3. В случае, если обработка персональных данных осуществляется третьими лицами, Субъект дает свое согласие на обработку его персональных данных третьим лицам, которые в силу гражданско-правовых правоотношений с Оператором, имеют доступ к персональным данным, исключительно при условии обеспечения конфиденциальности, а также защиты и безопасности персональных данных.
6.4. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
6.5. Оператор осуществляет обработку персональных данных смешанным (как автоматизированным, так и неавтоматизированным) способом.
6.6. Оператор обязан опубликовать на сайте в сети Интернет или иным образом обеспечить неограниченный доступ к документу, определяющему его Политику, и к сведениям о реализуемых требованиях к защите персональных данных.
6.7. Условием прекращения обработки персональных данных является:
— истечение срока, предусмотренного законом, договором, или согласием Субъекта на обработку его персональных данных;
— достижение целей обработки персональных данных, а также в случае получения требования Субъекта о прекращении обработки персональных данных и/или отзыве согласия на обработку его персональных данных и отсутствии правовых оснований на обработку персональных данных, предусмотренных законом, в том числе Федеральным законом от 22.10.2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации».
6.8. Порядок хранения персональных данных:
6.8.1 В соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных», Оператор при сборе персональных данных обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
6.9. Уточнение, удаление, уничтожение персональных данных производится следующим образом:
6.9.1. В случае выявления неточностей в персональных данных, Субъект может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора info@medbank.pro с пометкой «Актуализация персональных данных».
6.9.2. Обрабатываемые персональные данные подлежат уничтожению в срок, не превышающий 30 (тридцати) дней, после достижения целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.
Субъект может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора info@medbank.pro с пометкой «Отзыв согласия на обработку персональных данных».
6.9.3. Уничтожение персональных данных осуществляет непосредственно лицо, ответственное за обработку персональных данных, назначенное приказом Оператора.
6.9.4. Уничтожение персональных данных на бумажных носителях осуществляется путем измельчения в шредере, на электронных носителях — путем стирания или форматирования, исключающего возможность восстановления и дальнейшего использования персональных данных.
6.9.5. Каждый факт уничтожения персональных данных подтверждается Актом об уничтожении бумажных или иных носителей. Лицо, ответственное за обработку персональных данных, обеспечивает учет и хранение актов об уничтожении персональных данных.
6.10. Порядок передачи персональных данных:
6.10.1. Оператор передает персональные данные третьим лицам в следующих случаях:
— субъект выразил свое согласие на такие действия;
— передача осуществляется в рамках предусмотренных законодательством РФ случаев.
7. Порядок защиты персональных данных
7.1. Оператор принимает все необходимые меры по обеспечению безопасности персональных данных и их конфиденциальности.
7.2. Основными мерами защиты персональных данных являются:
— определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
— назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, внутренний контроль над соблюдением работниками требований к защите персональных данных;
— разработка мер и мероприятий по защите персональных данных;
— оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
— учет машинных носителей персональных данных;
— установление правил доступа к персональным данным, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными;
— установление индивидуального, ограниченного доступа работников к персональным данным в соответствии с их должностными обязанностями;
— применение сертифицированного антивирусного программного обеспечения;
— контроль доступа в помещения, в которых осуществляется обработка персональных данных;
— обеспечение сохранности персональных данных и исключение несанкционированного к ним доступа;
— обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
— принятие неотложных мер при обнаружении фактов несанкционированного доступа к персональным данным;
— восстановление уничтоженных или измененных персональных данных в результате несанкционированного доступа к ним;
— контроль эффективности применяемых мер и средств по обеспечению безопасности персональных данных, а также контроль уровня защищенности информационных систем персональных данных;
— обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, требованиям к защите персональных данных, ознакомление с документами, определяющими Политику Оператора в отношении обработки персональных данных, с локальными нормативными актами по вопросам обработки персональных данных.
7.3. Персональные данные не могут быть использованы в целях, противоречащих требованиям Федерального закона «О персональных данных», нарушающих права и законные интересы граждан, создающих угрозу безопасности государства.
7.4. Все Работники Оператора, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с настоящей Политикой, требованиями законодательства РФ.
7.5. Лица, виновные в нарушении требований Политики, несут административную, гражданскую и уголовную ответственность, предусмотренную действующим законодательством РФ.
8. Основные права Субъекта и обязанности Оператора
8.1. Основные права Субъекта:
8.1.1. Субъект имеет право на доступ к его персональным данным и следующим сведениям:
— о подтверждении факта обработки его персональных данных. Факт обработки персональных данных подтверждается заключенным между Оператором и Субъектом персональных данных гражданско-правовым договором, а также подписанным субъектом персональных данных согласием на обработку его персональных данных;
— о правовых основаниях и целях обработки персональных данных;
— о применяемых Оператором способах обработки персональных данных;
— об обрабатываемых персональных данных и источнике их получения;
— о наименовании и месте нахождения Оператора, сведениях о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
— о наименовании и месте нахождения организации, или фамилии, имени, отчестве и адресе лица, осуществляющих обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
— о сроках обработки персональных данных (определяются в соответствии со сроком действия гражданско-правового договора, согласия на обработку персональных данных, иного документа, определяющего правоотношения Оператора и Субъекта);
— о сроках хранения персональных данных (определяются в соответствии со сроками хранения материальных носителей, содержащих персональные данные, с учетом Приказа Росархива от 20.12.2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»);
— иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
8.1.2. Субъект вправе:
— получать у Оператора информацию, касающуюся обработки его персональных данных;
— требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
— требовать прекращения передачи (распространения, предоставления, доступа) персональных данных, разрешенных субъектом персональных данных для распространения ранее;
— обжаловать действия или бездействие Оператора в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по Центральному федеральному округу или в судебном порядке в случае, если Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных», или иным образом нарушает его права и свободы;
— направлять обращения и запросы, в том числе повторные запросы Оператору.
8.2. Обязанности Оператора:
— при обращении Субъекта или его уполномоченного представителя сообщить о наличии сведений, перечисленных в п.8.1.1. настоящей Политики, а также предоставить возможность ознакомления с указанными сведениями в срок, не превышающий 10 (десяти) дней со дня получения соответствующего запроса от Субъекта или его уполномоченного представителя;
— дать письменный мотивированный ответ об отказе от предоставления информации о наличии персональных данных Субъекта со ссылкой на конкретные положения Федерального закона «О персональных данных», являющиеся основанием такого отказа, при обращении либо при получении запроса от Субъекта или его представителя в срок, не превышающий 10 (десяти) дней со дня получения соответствующего запроса от Субъекта или его уполномоченного представителя;
— в случае достижения цели обработки персональных данных, незамедлительно прекратить обработку персональных данных и уничтожить либо обезличить соответствующие персональные данные в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами. Либо обеспечить уничтожение, обезличивание, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора. Уведомить об этом Субъекта или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
— в случае отзыва Субъектом согласия на обработку своих персональных данных, прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и Субъектом. Либо обеспечить прекращение обработки персональных данных и их уничтожение, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора. Об уничтожении персональных данных Оператор обязан уведомить Субъекта;
— в случае поступления требования Субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных. Либо обеспечить прекращение обработки персональных данных, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора;
— в случае поступления требования Субъекта о прекращении передачи (распространения, предоставления, доступа) персональных данных, разрешенных Субъектом для распространения ранее, Оператор обязан в течение 3 (трех) рабочих дней с момента получения требования Субъекта прекратить передачу (распространение, предоставление, доступ) этих персональных данных;
— при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, отдельно указанных в Федеральном законе «О персональных данных»;
— внести изменения в персональные данные Субъекта в случае предоставления этим Субъектом или его уполномоченным представителем подтверждающих сведений, что персональные данные являются неполными, неточными или неактуальными. Изменения должны быть внесены в срок, не превышающий 7 (семи) рабочих дней со дня предоставления соответствующих сведений Субъектом или его уполномоченным представителем;
— уничтожить персональные данные Субъекта в случае предоставления этим Субъектом или его уполномоченным представителем подтверждающих сведений, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки. Персональные данные должны быть уничтожены в срок, не превышающий 7 (семи) рабочих дней со дня предоставления соответствующих сведений Субъектом или его уполномоченным представителем;
— уведомить Субъекта или его уполномоченного представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, если им были переданы персональные данные этого Субъекта;
— заблокировать персональные данные Субъекта в случае выявления неправомерности их обработки при обращении Субъекта, его уполномоченного представителя или по запросу Роскомнадзора, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки;
— заблокировать персональные данные Субъекта в случае выявления их неточности при обращении Субъекта, его уполномоченного представителя или по запросу Роскомнадзора, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта или третьих лиц.
При подтверждении факта неточности персональных данных Оператор на основании сведений, представленных Субъектом, его уполномоченным представителем либо Роскомнадзором обязан уточнить персональные данные или обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 7 (семи) рабочих дней со дня представления таких сведений и снять их блокирование (обеспечить снятие блокирования);
— прекратить обработку персональных данных или обеспечить ее прекращение лицом, действующим по поручению Оператора, в случае выявления неправомерности такой обработки, в срок, не превышающий 3 (трех) рабочих дней с даты выявления.
В случае невозможности правомерности обработки персональных данных Оператор обязан уничтожить или обеспечить уничтожение таких персональных данных в срок, не превышающий 10 (десяти) рабочих дней с даты выявления их неправомерной обработки. Уведомить Субъекта, его уполномоченного представителя и Роскомнадзор (если им был направлен запрос Оператору) о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, если им были переданы персональные данные этого Субъекта;
— уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели их обработки, или получения отзыва Субъектом своего согласия на обработку;
— уведомить Субъекта о получении его персональных данных в случаях, если такие данные были получены не от него самого;
— при отказе в предоставлении персональных данных Субъекту разъяснить последствия такого отказа;
— обеспечить хранение персональных данных с использованием баз данных, находящихся на территории Российской Федерации;
— опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему Политику Оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
9. Трансграничная передача персональных данных
9.1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав Субъектов.
9.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме Субъекта на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является Субъект.
10. Заключительные положения
10.1. Настоящая Политика вступает в силу с момента утверждения и действует бессрочно до принятия новой Политики. Оператор вправе вносить изменения в Политику в одностороннем порядке. Новая редакция Политики вступает в силу с момента ее размещения на сайте Оператора.
10.2. Настоящая Политика подлежит немедленному опубликованию на сайте https://медбанк.рф.
10.3. В случае, если по тем или иным причинам одно или несколько положений настоящей Политики будут признаны недействительными или не имеющими юридической силы, данные обстоятельства не оказывают влияния на действительность или применимость остальных положений Политики.
10.4. Оператор обеспечивает неограниченный доступ к настоящей Политике.
10.5. Требования Политики являются обязательными для исполнения всеми Работниками Оператора, имеющими доступ к персональным данным.
10.7. Настоящая Политика распространяет свое действие на всех Работников Оператора, являющиеся в контексте настоящей Политики Субъектами обработки персональных данных.
10.6. Субъект может получить любые разъяснения по вопросам, касающимся обработки его персональных данных, письменно обратившись к Оператору по адресу электронной почты info@medbank.pro.
Ссылка на PDF-версию документа: Политика ПДн.