ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

на сайте https://kdcmed.ru/

1. ОПРЕДЕЛЕНИЕ ТЕРМИНОВ

1.1. В настоящей Политике конфиденциальности в отношении обработки персональных данных используются следующие термины:
1.1.1. «Оператор» — ООО «Медицина», ОГРН 2 177 800 085 725, ИНН 6 166 073 029, КПП 616 101 001 Юридический и фактический адрес: 344 113, г. Ростов-на-Дону, бул Комарова, 28 Б, оф. 1−9, 344 015, г. Ростов-на-Дону, ул. 339-й Стрелковой Дивизии, 27; 344 113, г. Ростов-на-Дону, б-р Комарова 28Б, 344 113, г. Ростов-на-Дону, 6-р Комарова 28 В., осуществляющий управление сайтом, который организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
 1.1.2. «Персональные данные» - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.1.3. «Обработка персональных данных» — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.1.4. «Конфиденциальность персональных данных» — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.1.5. «Пользователь» - лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее его.
1.1.6. «Автоматизированная обработка персональных данных» - Обработка персональных данных с помощью средств вычислительной техники;
1.1.7. «Трансграничная передача персональных данных»  - передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
1.1.8. «Распространение персональных данных» - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.1.9. «Предоставление персональных данных»  - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Настоящая Политика конфиденциальности в отношении персональных данных (далее — Политика/Политика конфиденциальности) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иными нормативными правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее — данные), которые Организация (далее — Оператор, Общество) может получить от субъекта персональных данных (пользователя сети Интернет) (далее — Пользователь сайта) во время использования им любого из сайтов, сервисов, служб, программ, продуктов или услуг Оператором
2.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
2.3. Использование Пользователем сайта https://kdcmed.ru/ означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.
2.4. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта https://kdcmed.ru/
2.5. Оператор не проверяет достоверность персональных данных, предоставляемых Пользователем сайта https://kdcmed.ru/

3. ПРЕДМЕТ ПОЛИТИКИ КОНФИДЕНЦИАЛЬНОСТИ

3.1. Настоящая Политика устанавливает обязательства Оператора по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь предоставляет по запросу Оператора на сайте, при использовании лицом любых сервисов сайта, в т. ч. форм обратной связи и т. п., а также при оформлении заказа.
3.2. Персональные данные, разрешённые к обработке в рамках настоящей Политики, предоставляются Пользователем путём заполнения формы на Сайте.
Категории субъектов персональных данных, чьи данные обрабатываются на сайте:
-  физические лица (в том числе представители), состоящие с Обществом в гражданско-правовых отношениях;
-  физические лица, являющиеся Пользователями сайта.
Персональные данные, обрабатываемые Оператором на Сайте (общие персональные данные):
3.2.1. фамилия, имя, отчество Пользователя;
3.2.2. контактный телефон Пользователя;
3.2.3. адрес электронной почты (e-mail);
3.2.4. год, месяц, дату рождения;
3.2.5. пользовательские данные (IP-адрес, файлы cookie, информация об аппаратном и программном обеспечении, геолокация, данные об истории посещений Сайта Оператора);
3.2.6. данные об истории и составе покупок товаров и услуг, платежей и кассовых чеках;

4. ЦЕЛИ СБОРА ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ ПОЛЬЗОВАТЕЛЯ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ

4.1. Персональные данные Пользователя Оператор может использовать в целях:
4.1.1. Установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, оказания услуг, обработка запросов и заказов от Пользователя;
4.1.2. Осуществление гражданско-правовых отношений по исполнению договоров;
4.1.3. Идентификации Пользователя для предоставления услуг Пользователю.
4.1.4. Предоставления Пользователю с его согласия специальных предложений, информации о ценах, новостной рассылки и иных сведений от имени Оператора.
Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты fin@kdcmed.ru  с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».
4.2. Обработка персональных данных должна осуществляться на законной и справедливой основе.
4.3. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.7. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.
4.7.1. Оператор обрабатывает персональные данные на основании:
- согласий на обработку персональных данных.
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.
— обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

5. СПОСОБЫ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ

5.1. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
5.2. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
5.3. При утрате или разглашении персональных данных Оператор информирует Пользователя об утрате или разглашении персональных данных.
5.4. Оператор принимает необходимые организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.
5.5. Обработка персональных данных осуществляется Оператором следующими способами:
— неавтоматизированная обработка персональных данных;
— автоматизированная обработка персональных данных с полученной информации по информационно-телекоммуникационным сетям или без таковой; с передачей по внутренней сети организации; с передачей по сети интернет.
— смешанная обработка персональных данных.
5.6. Оператор организует обработку персональных данных в следующем порядке:
— Назначение лица ответственного за обработку персональных данных и за организацию обработки персональных данных;
— Разработка и утверждение Положения об обработке персональных данных и Политики в отношении обработки персональных данных на сайте;
— Опубликование и размещение на стенде организации документ, определяющий политику в отношении обработки персональных данных;
— Регулярное ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, с требованиями по защите персональных данных, с собственными документами по вопросам обработки персональных данных;
— Обучение работников, осуществляющих обработку персональных данных, по вопросам организации и осуществления обработки в соответствии с требованиями законодательства РФ, принятыми нормативными правовыми актами Правительства Р Ф и ведомственными нормативными правовыми актами;
— Внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Оператора;
— Установление правил доступа работников к обрабатываемым документам, содержащим персональные данные;
— Определение угрозы безопасности персональным данным при их обработке в информационных системах персональных данных и установление необходимого уровня защищенности;
— Применение необходимых организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах, необходимых для обеспечения установленного уровня защищенности;
— Организация учета съемных и машинных носителей документов, содержащих персональные данные;
— Применение средств защиты информации, прошедшие процедуру соответствия (сертифицированные);
— Обнаружение фактов несанкционированного доступа к персональным данным, обрабатываемым в информационных системах;
— Установление правил доступа к персональным данным, обрабатываемым в информационных системах;
— Регистрация и учет всех действий, совершаемых с персональными данными, в информационной системе персональных данных;
— Контроль за принимаемыми мерами по обеспечению безопасности в информационных системах персональных данных.

6. ОБЯЗАТЕЛЬСТВА СТОРОН

6.1. Пользователь (Субъект ПНд) обязан:
6.1.1. Предоставить достоверную информацию о персональных данных, необходимую для пользования Сайтом 
6.1.2. Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.
6.1.3. Пользователь самостоятельно гарантирует наличие согласия на предоставление персональных данных третьих лиц, в случае указание им таких данных.
6.1.4. Пользователь вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.1.5. Если Пользователь считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, Пользователь в праве обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6.1.6. Пользователь имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.2. Оператор обязан:
6.2.1. Использовать полученную информацию исключительно для целей, указанных в п. 4 настоящей Политики.
6.2.2. Обеспечить хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения Пользователя, а также не осуществлять продажу, обмен, опубликование, либо разглашение иными возможными способами переданных персональных данных Пользователя, за исключением п.п. 5.2. настоящей Политики или случаев, установленных законом.
6.2.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте, в том числе принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2.4. Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, в установленный срок с момента обращения или запроса Пользователя или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.
6.2.5. Оператор при сборе персональных данных обязан предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных.
6.2.6. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
6.2.7. При сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети интернет, Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных Федеральном законе «О персональных данных».
6.2.8. Оператор обязан принимать все необходимые меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
6.2.9. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике, к сведениям о реализуемых требованиях к защите персональных данных. Оператор в случае осуществления сбора персональных данных с использованием информационно-телекоммуникационных сетей обязано публиковать в соответствующей информационно-телекоммуникационной сети Политику и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием соответствующей информационно- телекоммуникационной сети.
6.2.10. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных». В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».

7. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
7.2. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
7.3. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
7.4. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
7.5. Не допускается хранение и размещение документов, содержащих персональных данных, в открытых электронных каталогах (файлообменниках) в ИСПД (информационных системах персональных данных).

8. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
8.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
8.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
8.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
8.5. Основными мерами защиты персональных данных, используемыми Оператором, являются:
8.5.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением Оператором и его работниками требований к защите персональных данных.
8.5.2. Определение актуальных угроз безопасности персональных данных при их обработке в ИСПД и разработка мер и мероприятий по защите персональных данных.
8.5.3. Разработка настоящей политики в отношении обработки персональных данных.
8.5.4. Установление правил доступа к персональных данных, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПД.
8.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
8.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
8.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
8.5.8. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
8.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
8.5.10. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
8.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
8.5.12. Осуществление внутреннего контроля и аудита.

9. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

9.1. Уничтожение документов (носителей), содержащих персональных данных, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
9.2. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
9.3. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.

10. ОТВЕТСТВЕННОСТЬ СТОРОН

10.1. Оператор, не исполнившая свои обязательства, несёт ответственность за убытки, понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п.п. 5.2. настоящей Политики Конфиденциальности.
10.2. В случае утраты или разглашения Конфиденциальной информации Оператор не несёт ответственность, если данная конфиденциальная информация:
10.2.1. Стала публичным достоянием до её утраты или разглашения.
10.2.2. Была получена от третьей стороны до момента её получения Оператором.
10.2.3. Была разглашена с согласия Пользователя.

11. РАЗРЕШЕНИЕ СПОРОВ

11.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем сайта и Оператором, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).
11.2. Получатель претензии в течение 10 (десяти) рабочих дней со дня получения претензии, письменно уведомляет заявителя претензии о результатах рассмотрения претензии.
11.3. При не достижении соглашения спор будет передан на рассмотрение в судебный орган в соответствии с действующим законодательством Российской Федерации.
11.4. К настоящей Политике конфиденциальности и отношениям между Пользователем и Оператором применяется действующее законодательство Российской Федерации.

12. ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ

12.1. Оператор вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя.
12.2. Новая Политика конфиденциальности вступает в силу с момента ее размещения на Сайте https://kdcmed.ru/, если иное не предусмотрено новой редакцией Политики конфиденциальности.
12.3. Действующая Политика конфиденциальности размещена на странице по адресу https://kdcmed.ru/_____________________