Политика конфиденциальности

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В МОБИЛЬНОМ ПРИЛОЖЕНИИ 

«ВОКРУГ ПАЦИЕНТА»

 

  1. ОБЩИЕ ПОЛОЖЕНИЯ

  1. Термины и определения

    1. «Персональные данные (ПДн)» — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    2. «Оператор персональных данных (оператор)» — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    3. «Обработка персональных данных» — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

    4. «Автоматизированная обработка персональных данных» — обработка персональных данных с помощью средств вычислительной техники.

    5. «Распространение персональных данных» — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

    6. «Предоставление персональных данных» — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

    7. «Блокирование персональных данных» — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

    8. «Уничтожение персональных данных» — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

    9. «Обезличивание персональных данных» — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

    10. «Информационная система персональных данных (ИСПДн)» — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

    11.  «Доступ к информации» — возможность получения информации и ее использования.

    12. «Информационные технологии» — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

    13. «Несанкционированный доступ (несанкционированные действия)» — доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

    14. «Носитель информации (носитель персональных данных)» — материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

    15. «Правила разграничения доступа» — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

    16. «Субъект доступа» — лицо или процесс, действия которого регламентируются правилами разграничения доступа.

    17. «Субъект персональных данных», «субъект» — физическое лицо, к которому относятся персональные данные.

    18. «Программа» – программа поддержки «Вокруг пациента», включающая систему мер и последовательной деятельности Организатора программы, направленных на предоставление Пациентам дополнительной информации (образ жизни, особенности течения заболевания и проч.)  в отношении поставленного диагноза (рассеянный склероз) и мониторинг соблюдения Пациентом назначенной терапии в обезличенном виде.

    19. «Пользователь» — физическое лицо, скачавшее ссылку и добровольно прошедшее регистрацию в Мобильном приложении. Пользователем может быть лицо, достигшее возраста, допустимого в соответствии с законодательством Российской Федерации для акцепта настоящей Политики.

    20. «Мобильное приложение» — программа для ЭВМ, предназначенная для организации взаимодействия Пользователей, доступ к которой осуществляется через мобильное техническое устройство (смартфон, планшет или другое устройство), имеющее доступ к сети Интернет, на котором установлено Мобильное приложение, со следующими функциональными возможностями: 

регистрация в Мобильном приложении; 

пользование Мобильным приложением; 

загрузка и хранение на мобильном техническом устройстве Пользователя персональных данных без возможности доступа к персональным данным Администратора Мобильного приложения и Организатора программы; 

возможность задать вопрос специалистам посредством Мобильного приложения; возможность просмотра информационной ленты и данных в личном кабинете и т.п.

Сервис предназначен для хранения информации и обмена информацией и общения Пользователей и специалистов.

  1. «Организатор Программы» – Организатором программы поддержки пациентов «Вокруг пациента» является АО «Астон Консалтинг» (ОГРН 1057746447197, ИНН 7706572517, адрес: 115184, г Москва, ул Малая Ордынка, 39 / стр 1, эт 4 пом I ком 2). 

  2. «Администратор Мобильного приложения», «Оператор» — Администратором Мобильного приложения является общество с ограниченной ответственностью ООО «Капсула» (ОРГН 1157746824905, ИНН 770401001, адрес: 119019, г Москва, ул Новый Арбат, 21, эт 23/пом I/ком 16).

  3. Пользователь Мобильного приложения — физическое лицо, скачавшее ссылку и добровольно прошедшее регистрацию в Мобильном приложении, являющееся одной из сторон Пользовательского соглашения Мобильного приложения. Пользователем может быть лицо, достигшее возраста, допустимого в соответствии с законодательством Российской Федерации для акцепта настоящейих ПолитикиПравил, и обладающее соответствующими полномочиями.

  4. Регистрация — процедура, в ходе которой Пользователь предоставляет достоверные данные о себе по утверждённой Администратором Мобильного приложения форме, а также Логин и Пароль. Регистрация считается завершённой только в случае успешного прохождения Пользователем всех ее этапов, включая активацию, осуществляемую переходом по уникальной ссылке, отправляемой на номер мобильного телефона, указанный Пользователем. Активация данной ссылки Пользователем является моментом ознакомления Пользователя с настоящей Политикойзаключения Пользовательского соглашения между Пользователем, Администратором Мобильного приложения и Организатором Программы, т. е. полного и безоговорочного согласия Сторон с условиями настоящей Политики Пользовательского соглашения.

  5. Логин — уникальное имя (псевдоним) Пользователя, указанный им при Регистрации с целью использования для идентификации Пользователя и используемый в сочетании с Паролём для получения доступа Пользователя к Сервисам Мобильного приложения.

  6. Пароль — буквенно-цифровой код, указанный Пользователем при Регистрации, хранимый обеими сторонами Пользовательского соглашения в тайне от третьих лиц и используемый в сочетании с Логином для получения доступа Пользователя к Сервисам Мобильного приложения. Логин и пароль, введённые Пользователем, признаются Сторонами аналогом собственноручной подписи Пользователя.

  7. Персональные регистрационные данные Пользователя — данные, добровольно указанные Пользователем при прохождении Регистрации, хранящиеся на устройстве Пользователя. При реализации Программы и использовании Мобильного приложения «Вокруг пациента» персональные данные Пользователя Администратором Мобильного приложения и Организатором Программы не собираются и не обрабатываются. Информация, полученная при использовании Мобильного приложения, не являющаяся персональной (не позволяющая каким-либо образом идентифицировать субъекта этой информации) хранится в базе данных Администратора Мобильного приложения и подлежат использованию исключительно в соответствии с настоящей Политикой и действующим законодательством РФ.

  8. Материалы, Контент — информация в любом виде (текстовые, аудио, видео, графические файлы, фотоизображения, полученная при общении с врачами (специалистами) и другими пользователями Мобильного приложения, а также любые иные), используемая (в т. ч. хранимая, распространяемая, передаваемая и т. п.) Пользователем в любой форме (например, но не ограничиваясь, в форме текстового сообщения, вложенного файла любого формата, ссылки на размещение в сети и т. п.) в рамках или в связи с использованием Сервиса и его инструментов.

  9. Учетная запись пользователя (Аккаунт) — пространство в Мобильном приложении, защищённое паролём. Содержит информацию о пользователе и Контент, сгенерированный Пользователем. Учётная запись содержит личные и контактные данные Пользователя, размещаемые на мобильном устройстве Пользователя.

  10. В случае грубых нарушений, в том числе законодательства РФ, или по решению Администрации Мобильного приложения, Пользователь может быть заблокирован и удален из Мобильного приложения.

 

  1. ОСНОВНЫЕ ПОЛОЖЕНИЯ

    1. Настоящая Политика в отношении обработки персональных данных при реализации Программы «Вокруг пациента» в Мобильном приложении (далее – «Политика») разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»), Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и подзаконными нормативными правовыми актами. Кроме того, Оператор и Организатор Программы соблюдают обязанности и требования, установленные законодательством Российской Федерации, в том числе, и в тех случаях, которые прямо не оговорены в настоящей Политике.

    2. Политика вступает в силу с момента ее размещения в Мобильном приложении Оператором.

    3. Политика определяет основания и порядок работы с персональными данными в случае, если такая обработка осуществляется.

    4. Регистрация Пользователя являются полным и безоговорочным акцептом Пользователем Политики в соответствии со ст. 438 Гражданского кодекса Российской Федерации.

    5. Политика является общедоступным документом и подлежит опубликованию в Мобильном приложении.

    6. Политика подлежит пересмотру в ходе периодического анализа со стороны руководства Оператора и Организатора Программы, а также в случаях изменения законодательства Российской Федерации в области персональных данных.

  2. ОБЛАСТЬ ДЕЙСТВИЯ

    1. Положения Политики действует в отношении персональных данных, которые Оператор и Организатор Программы могут получить.

    2. Настоящая Политика применима ко всем случаям обработки персональных данных Оператором, Организатором Программы или от иными лицами, действующими от имени Оператора, Организатора Программы, вне зависимости от того, производится она вручную или автоматизировано.

    3. Политика обязательна для исполнения всеми работниками Оператора и Организатора Программы.

  3. ЦЕЛИ ОБРАБОТКИ ДАННЫХ

    1. Обработка персональных данных, в случаях если она будет происходить, может осуществляться Оператором и Организатором Программы в Мобильном приложении в следующих целях:

      1. реализации Программы Вокруг пациента;

      2. регистрации Пользователя в Мобильном приложении; 

      3. связи с Пользователем, в том числе способом направления уведомлений, запросов и информации, касающихся работы Мобильного приложения, а также в целях обработки запросов и заявок от Пользователя.

      4. для обеспечения работы Мобильного приложения и реализации целей обработки, указанных в Политике.

  4. КАТЕГОРИИ СУБЪЕКТОВ И ДАННЫЕ КОТОРЫЕ ОБРАБАТЫВАЮТСЯ

    1. В соответствии с целями обработки персональных данных, указанными в настоящей Политике, Оператором и Организатором Программы может осуществляется обработка персональных данных следующих категорий субъектов:

  •  Пользователи.

  1. Перечень обрабатываемых персональных данных определяется в согласии субъекта персональных данных на их обработку.

  1. УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Обработка персональных данных осуществляется Оператором и Организатором программы  с соблюдением принципов и правил, предусмотренных Законом о персональных данных.

    2. При определении правовых оснований обработки персональных данных определяются реквизиты федерального закона, а также подзаконных актов, и (или) иных актов органов государственной власти, и (или) иных документов, на основании которых осуществляется обработка персональных данных.

    3. На основании определенных целей обработки персональных данных, способов обработки и создаваемых в процессе такой обработки различных видов документов устанавливаются сроки такой обработки персональных данных, в том числе сроки хранения персональных данных.

    4. При использовании документов, содержащих персональные данные, в различных целях, определяются сроки обработки (в том числе хранения) таких документов и устанавливаются в соответствии с максимальным применимым сроком.

    5. Обработка персональных данных без определенного и законного основания не допускается.

    6. Оператор и Организатор Программы производят обработку персональных данных при наличии хотя бы одного из следующих условий:

      1. обработка персональных данных осуществляется с согласия субъекта персональных данных;

      2. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;

      3. обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц, в том числе в случаях, предусмотренных законодательством Российской Федерации, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

      4. иные условия, прямо предусмотренные Законом о персональных данных. 

    7. Обработка персональных данных у Оператора и Организатора Программы осуществляется на основе следующих принципов: 

      1. обработка персональных данных должна осуществляться на законной и справедливой основе;

      2. обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

      3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

      4. обработке подлежат только персональные данные, которые отвечают целям их обработки;

      5. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, обрабатываемые персональных данных не должны быть избыточными по отношению к заявленным целям их обработки;

      6. при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных, Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных;

      7. хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

      8.  Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

    8. Согласие субъекта персональных данных на обработку его персональных данных

      1. Для всех целей обработки и соответствующих наборов персональных данных определяется необходимость получения согласия субъекта персональных данных в случаях, установленных законодательством Российской Федерации. Решение о необходимости получения согласия субъекта принимается в соответствии с положениями законодательства Российской Федерации.

      2. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. 

      3. В случаях, определенных законодательством РФ, согласие на обработку персональных данных должно быть получено только в письменной форме. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

      4. В случае получения согласия от законного представителя субъекта персональных данных или представителей субъекта персональных данных они обязаны представить документы, подтверждающие их полномочия.

      5. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем направления обращения к Оператору на адрес электронной почты support@qapsula.com с пометкой «Отзыв согласия на обработку персональных данных».

      6. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о персональных данных.

      7. Персональные данные могут быть получены Оператором от лица, не являющегося субъектом персональных данных, при условии наличия законных оснований для обработки полученных данных.

    9. Конфиденциальность персональных данных

      1. Оператор и его сотрудники, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

      2. Лица, допущенные к обработке персональных данных, в обязательном порядке знакомятся с настоящей Политикой, другими организационно-распорядительными документами Оператора и Организатора Программы, касающиеся обработки персональных данных и принимают обязательство о неразглашении информации, содержащей персональные данные, в установленном порядке.

  2. ДЕЙСТВИЯ (ОПЕРАЦИИ) КОТОРЫЕ МОГУТ ОСУЩЕСТВЛЯТЬСЯ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В СЛУЧАЕ ИХ ОБРАБОТКИ

    1. Сбор персональных данных.

      1. В случае обработки персональных данных Оператор применяет следующие способы получения персональных данных от субъектов персональных данных, если планируется обработка данных:

- регистрация субъекта персональных данных в Мобильном приложении;

- подтверждения согласия на обработку персональных данных после ознакомления с настоящей Политикой в Мобильном приложении;

- иные способы, предусмотренные действующим законодательством. 

  1. Систематизация, накопление, уточнение и использование персональных данных

    1. Систематизация, накопление, уточнение, использование персональных данных могут осуществляться любыми законными способами в соответствии с правилами, инструкциями, руководствами, регламентами и иными документами, определяющими технологический процесс обработки информации у Оператора.

    2. Уточнение персональных данных должно производиться только на основании законно полученной в установленном порядке информации.

    3. Решение об уточнении персональных данных субъекта персональных данных принимается лицом, ответственным за организацию обработки персональных данных Оператора.

    4. Использование персональных данных должно осуществляться исключительно в заявленных целях. Использование персональных данных в заранее не определенных и не оформленных установленным образом целях не допускается.

    5. Запись и извлечение персональных данных.

    6. Запись персональных данных в ИСПДн Оператора и Организатора Программы может осуществляться с любых носителей информации или из других ИСПДн.

    7. Извлечение персональных данных допускается только на машинные носители, зарегистрированные и учтенные в установленном Оператором и Организатором Программы порядке.

  2. Передача персональных данных

    1. В случае обработки персональных данных Оператором, перед осуществлением передачи персональных данных проверяется основание на осуществление такой передачи и наличие согласия на передачу персональных данных в согласии субъекта персональных данных на обработку персональных данных или наличие иных законных оснований.

    2. Передача персональных данных осуществляется лицами в соответствии с их обязанностями.

    3. Передача носителей персональных данных осуществляется лично или с использованием курьерской службы, соблюдающей необходимые требования по защите персональных данных.

    4. Передача персональных данных по информационным каналам осуществляется с использованием защищенных каналов связи или с использованием средств криптографической защиты информации.

    5. Передача персональных данных персональных данных должна осуществляться на основании:

    6. договора с третьим лицом, в адрес которого осуществляется передача персональных данных;

    7. основанного на законодательстве РФ запроса, полученного от третьего лица, в адрес которого осуществляется передача персональных данных;

    8. исполнения возложенных законодательством РФ на Оператора функций, полномочий и обязанностей.

    9. Передача персональных данных без согласия соответствующего субъекта персональных данных или без иных законных оснований запрещается.

  3. Поручение обработки персональных данных другому лицу

    1. В случае обработки персональных данных Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – «поручение»).

    2. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать конфиденциальность персональных данных, принципы и правила обработки персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящей Политикой, поручением и Законом о персональных данных. 

    3. В поручении Оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, обязанность соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных, в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона о персональных данных. 

    4.  В поручении Оператора должна быть установлена обязанность по запросу Оператора в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных Законом о персональных данных.

    5. При поручении обработки персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.

    6. Все указанные выше требования являются актуальными и применяются в случае поручения другим лицом обработки персональных данных Оператору.

  4. Распространение персональных данных.

    1. Оператор и Организатор Проекта не осуществляют распространение персональных данных Пользователя.

  5. Трансграничная передача персональных данных

    1. Трансграничная передача персональных данных Оператором и Организатором Программы не осуществляется.  

  6. Хранение персональных данных

    1. В случае обработки персональных данных, персональные данные хранятся в соответствии со сроками и условиями хранения, определенными для конкретных персональных данных в соответствии с необходимостью их обработки.

    2. В случае обработки персональных данных, хранение персональных данных осуществляется на определенных для этой роли носителях, подлежащих учету, в соответствии с требованиями по обеспечению безопасности персональных данных, в защищенном месте и под контролем ответственных лиц.

    3. В случае обработки персональных данных, хранение персональных данных у Оператора и Организатора Программы осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом и (или) договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

  7. Блокирование персональных данных

    1. Блокированием персональных данных называется временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

    2. Возможность блокирования персональных данных конкретного субъекта персональных данных должна обеспечиваться во всех ИСПДн Оператора и Организатора Программы. В качестве блокирования может использоваться блокирование прав доступа к конкретным ИСПДн или полям данных, содержащих блокируемые персональные данные.

    3. В случае обработки персональных данных, блокирование персональных данных у Оператора и Организатора Программы осуществляется:

- в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных с момента такого обращения или получения указанного запроса на период проверки;

- в случае отсутствия возможности уничтожения персональных данных в установленные сроки до их уничтожения.

  1. После устранения выявленной неправомерной обработки персональных данных Оператор и Организатор Программы осуществляют снятие блокирования персональных данных. 

  2. Решение о блокировании и снятии блокирования персональных данных субъекта персональных данных принимается ответственным лицом за организацию обработки персональных данных у Оператора и Организатора Программы.

  1. Обезличивание персональных данных.

    1. В случае обработки персональных данных, обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения требуемого уровня защищенности персональных данных и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

    2. Удаление и уничтожение персональных данных

При обработке персональных данных, персональные данные подлежат уничтожению в следующих случаях:

- истечение установленного срока хранения и обработки персональных данных;

- по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

- в случае если сохранение персональных данных более не требуется для целей обработки персональных данных;

- персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

- в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;

- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если отсутствуют иные основания для обработки персональных данных.

  1. При уничтожении персональных данных необходимо:

- убедиться в необходимости уничтожения персональных данных;

- убедиться в том, что уничтожаются те персональные данные, которые предназначены для уничтожения;

- уничтожить персональные данные подходящим способом;

- осуществить уведомление соответствующих лиц о факте уничтожения, в случае необходимости.

  1. При уничтожении персональных данных необходимо учитывать их наличие в архивных базах данных и производить уничтожение во всех копиях базы данных, если иное не установлено действующим законодательством Российской Федерации.

  2. Уничтожение части персональных данных может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). 

  3. Уничтожение персональных данных производится в порядке, установленном действующими нормативными актами.

  1. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ. КОНФИДЕНЦИАЛЬНОСТЬ ДАННЫХ. 

    1. В целях обработки и обеспечения безопасности персональных данных Оператор и Организатор Программы, в случае обработки персональных данных,  самостоятельно каждый по отдельности определяют и принимает необходимые организационные и технические меры. В частности, обеспечение безопасности обработки персональных данных реализуется следующими мерами:

      1. назначением уполномоченного лица, ответственного за организацию обработки персональных данных. Допускается поручение указанных функций стороннему лицу, привлекаемому на основании заключенного договора.

      2. формированием и поддержанием в актуальном состоянии перечня персональных данных, обрабатываемых Оператором и Организатором Программы. 

      3. уведомлением уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

      4. изданием Политики, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

      5. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

      6. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

      7. учетом машинных носителей персональных данных;

      8. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

      9. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

      10. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

      11. применением иных правовых, организационных и технических мер по обеспечению безопасности персональных данных;

      12. контролем и (или) аудитом принимаемых мерам по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

  2. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Оператора и Организатор Программы при обработке персональных данных обеспечивают необходимые условия для беспрепятственной реализации субъектом персональных данных своих прав.

    2. Субъект персональных данных имеет право на доступ к своим персональным данным, вправе требовать от Оператора или Организатора Программы уточнения его персональных данных, их блокирования или уничтожения в случае, если персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 

    3. Субъект персональных данных имеет право на получение сведений, указанных в части 7 статьи 14 Закона о персональных данных. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случаях, предусмотренных Законом о персональных данных.

    4. Сведения, указанные в части 7 статьи 14 Закона о персональных данных, предоставляются субъекту персональных данных или его представителю Оператором или Организатором Программы в течение десяти рабочих дней с момента обращения либо получения Оператором или Организатором Программы запроса субъекта персональных данных или его представителя. 

    5. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. 

    6. Запрос должен содержать:

ФИО субъекта, контактные данные (номер мобильного телефона, адрес электронной почты), сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором или Организатором Программы (логин и пароль при Регистрации и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором или Организатором Программы, запрос должен быть направлен с того же адреса электронной почты, с которого производилась Регистрация Пользователя. 

  1. Запрос Оператору может быть направлен в простой письменной форме по адресу Оператора, указанному в Мобильном приложении в разделе «Контакты» или в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Запрос Организатору Программы может быть направлен в простой письменной форме по адресу https://aston-health.com в разделе «Контакты» или в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.   Оператор или Организатор Программы предоставляет запрошенные сведения, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

  2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

  3. Субъект персональных данных обладает иными правами, предусмотренными Законом о персональных данных. 

  4. Оператор или Организатор Программы вправе отказать субъекту персональных данных в выполнении запроса, не соответствующего условиям повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе или Организаторе Программы.

  5. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации Оператором и Организатор Программы не осуществляется.

  1. ОБЯЗАННОСТИ ОПЕРАТОРА И ОРГАНИЗАТОРА ПРОГРАММЫ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Оператор и Организатор Программы при обработке персональных данных выполняют свои обязанности как оператор персональных данных, предусмотренные Законом о персональных данных.

    2. В целях обеспечения прав и свобод человека и гражданина Организатор Программы и его представитель при обработке персональных данных обязаны соблюдать следующие общие требования:

      1. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных

      2. обрабатывать персональные данные только законными способами и на законных основаниях;

      3. ограничивать обработку персональных данных при достижении заранее определенных и законных целей;

      4. обрабатывать только те персональные данные, которые отвечают целям обработки;

      5. обеспечивать соответствие содержания и объема обрабатываемых персональных данных целям обработки, не допускать избыточности обрабатываемых персональных данных по отношению к заявленным целям обработки;

      6. обеспечивать точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных;

      7. осуществлять хранения персональных данных в форме, позволяющей определить субъекта персональных данных, но не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональных данных подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

      8. сообщать в порядке, предусмотренном законодательством РФ, субъекту персональных данных или его представителю информацию о наличии и составе персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;

      9. если предоставление персональных данных является обязательным в соответствии с федеральным законом, разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные;

      10.  при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации;

      11. сообщать в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса;

      12. если применимо к деятельности Оператора, в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных;

      13. реализовывать иные обязанности, предусмотренные Законом о персональных данных. 

  2. ОТВЕСТВЕННОСТЬ

    1. Оператор и Организатор Программы назначают лиц, ответственных за организацию обработки персональных данных.

    2. Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.

  3. КОНФИДЕНЦИАЛЬНОСТЬ.

    1. Оператор принимает указанные в настоящей Политики и иные необходимые меры для сохранности конфиденциальности ПДн в том числе в ИСПДн Оператора, при необходимости заключает соглашения о конфиденциальности с лицами, получающими доступ к ПДн субъекта на законных основаниях. 

    2. Оператор и его представители, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено федеральными законами.