Утверждено
Генеральным директором
ООО «Нейромед»
Сотник А.Ю.
«2» Декабря 2024 г.
ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.1. Настоящая Политика защиты и обработки персональных данных (далее – «Политика») составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных, которые Общество с ограниченной ответственностью «Нейромед», зарегистрированное в соответствии с законодательством Российской Федерации за основным государственным регистрационным номером (ОГРН) 1247700327423 18.04.2024 года, ИНН 9705223820 (далее – «Оператор») может получить от субъекта персональных данных.
1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1.3. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте в сети Интернет по адресу https://neuromed.digital/policy_app, если иное не предусмотрено новой редакцией Политики.
1.4. В случае, когда заключенное между Оператором и субъектом персональных данных пользовательское соглашение, содержит положения об использовании персональной информации и/или персональных данных, применяются положения Политики и часть такого пользовательского соглашения, не противоречащая Политике.
2.Термины и принятые сокращения
2.1.Для целей настоящей Политики используются следующие термины:
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, деперсонализацию, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных, персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Персональные данные, сделанные общедоступными субъектом персональных данных – доступ неограниченного круга лиц к персональным данным субъекта персональных данных, который предоставлен субъектом персональных данных либо по его просьбе.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Оператор – организация, самостоятельно или совместно с другими лицами, организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является Общество с ограниченной ответственностью «Нейромед», зарегистрированное в соответствии с законодательством Российской Федерации за основным государственным регистрационным номером (ОГРН) 1247700327423 18.04.2024 года, ИНН 9705223820, юридический адрес: 119017, г. Москва, вн.тер.г. муниципальный округ Замоскворечье, ул. Большая Ордынка, д. 29, стр. 1.
Сервис – программное обеспечение с технологией искусственного интеллекта в виде web-сервиса «NeuromedAI», возможность использования которого предоставляется Пользователю на условиях Пользовательского Соглашения посредством размещенного Правообладателем Сервиса в мессенджере Telegram, на сайте Правообладателя по адресу в сети Интернет https://beta.neuromed.digital/ или в составе иного программного обеспечения, с которым у Сервиса обеспечена интеграция.
Пользователь – физическое лицо, достигшее возраста 18 лет, намеревающееся использовать и/или использующее Сервис, обладающими высшим медицинским образованием.
2.2.Другие термины, не определенные в п. 2.1. Политики, трактуются в соответствии с действующим законодательством Российской Федерации и Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
3.Обработка Персональных данных
3.1. Получение Персональных данных.
3.1.1. Все Персональные данные предоставляются субъектом персональных данных. Если Персональные данные субъекта можно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом или от него должно быть получено согласие. Третья сторона подтверждает, что у него имеются все полномочия по предоставлению Персональных данных субъекта персональных данных Оператору для целей заключения пользовательского соглашения.
3.1.2. Оператор осуществляет обработку Персональных данных лиц, указанных в п. 3.2.3.1. и 3.2.3.2. Оператор не осуществляет обработку Персональных данных третьих лиц, предоставленных Пользователями Сервиса без согласия таких третьих лиц. В соответствии с Пользовательским соглашением Сервис предназначен для использования в исследовательских целях, не связанных с оказанием медицинской помощи конкретному пациенту. Вводимые Пользователем данные подлежат автоматической деперсонализации при помощи автоматизированных технических решений Оператора. Деперсонализированные данные не подлежат восстановлению. Оператор не осуществляет хранение данных, вводимых Пользователем в ходе использования Сервиса.
3.1.3. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения Персональных данных, характере подлежащих получению Персональных данных, перечне действий с Персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
3.1.4. Документы, содержащие Персональные данные, создаются путем:
– копирования оригиналов документов;
– внесения сведений в доступные для их заполнения формы Сервиса;
– получения информации и содержании документов или копий таких документов посредством направления таких документов, в том числе в электронной форме, Оператору;
– получения оригиналов необходимых документов.
3.2. Обработка Персональных данных.
3.2.1. Обработка Персональных данных осуществляется:
– с согласия субъекта персональных данных на обработку его Персональных данных;
– с согласия третьего лица, действующего в интересах субъекта персональных данных, на обработку его Персональных данных;
– в случаях, когда обработка Персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
– в случаях, когда осуществляется обработка Персональных данных, сделанных общедоступными субъектом персональных данных.
3.2.2. Цели обработки Персональных данных указаны в п. 3.2.3.1.1. и 3.2.3.2.1. настоящей Политики.
3.2.3. Категории субъектов персональных данных.
3.2.3.1. Пользователи Сервиса:
3.2.3.1.1. Обработка Персональных данных, предоставленных Пользователями Сервиса, осуществляется в целях исполнения пользовательского соглашения, расположенного на сайте в сети Интернет по адресу https://app.neuromed.digital/.
3.2.3.1.2. Основание для обработки Персональных данных: ч. 1 п. 1 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Согласие субъекта персональных данных считается полученным в момент начала использования Сервиса.
3.2.3.1.3. Сроки обработки: до момента минования надобности.
3.2.3.2. Работники Оператора, иные лица, выполняющие работы/оказывающие услуги по соответствующим договорам, заключенным с Оператором, а также представители (работники) контрагентов Оператора:
– физические лица, состоящие с Оператором в трудовых отношениях;
– физические лица, уволившиеся из штата Оператора;
– физические лица, являющиеся кандидатами на работу в организации Оператора;
– физические лица, состоящие с Оператором в гражданско-правовых отношениях;
– физические лица, являющиеся представителями (работниками) контрагентов Оператора.
3.2.3.2.1.Обработка Персональных данных работников Оператора осуществляется в целях исполнения трудовых договоров. Обработка Персональных данных иных лиц, выполняющих работы/оказывающих услуги по соответствующим договорам, заключенным с Оператором, либо лиц, являющихся представителями (работниками) контрагентов Оператора, осуществляется в целях исполнения таких договоров.
3.2.3.2.2.Основание для обработки Персональных данных: ч. 1 и 5 п. 1 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
3.2.3.2.3.Сроки обработки:
– обработка Персональных данных работников Оператора осуществляется в соответствии с требованиями действующего трудового законодательства Российской Федерации об архивном делопроизводстве. Личное дело работника Оператора после прекращения трудового договора с работником Оператора передается в архив, и хранится 75 лет. Личные дела руководителей Оператора хранятся постоянно.
– обработка Персональных данных иных лиц, выполняющих работы/оказывающих услуги по соответствующим договорам, заключенным с Оператором, либо лиц, являющихся представителями (работниками) контрагентов Оператора, осуществляется в целях исполнения договоров и в соответствии с требованиями действующего законодательства Российской Федерации, но не менее, чем до истечения трёх лет с момента окончания срока действия соответствующего договора, заключенного таким лицом с Оператором.
3.2.4.Персональные данные, обрабатываемые Оператором:
3.2.4.1.Состав обрабатываемых Персональных данных, предоставляемых Пользователями Сервиса:
– фамилия, имя, отчество;
– сведения о Пользователе, указанные и/или связанные с его учетной записью в мессенджере «Telegram»;
– номер контактного телефона;
– место работы;
– специализация.
3.2.4.2. Состав обрабатываемых Персональных данных работников Оператора, а также иных лиц, выполняющих работы/оказывающих услуги по соответствующим договорам, заключенным с Оператором либо лиц, являющихся представителями (работниками) контрагентов Оператора:
– данные, полученные при осуществлении трудовых отношений;
– данные, полученные для осуществления отбора кандидатов на работу;
– данные, полученные при осуществлении гражданско-правовых отношений.
3.2.5. Обработка Персональных данных ведется:
– с использованием средств автоматизации;
– без использования средств автоматизации.
3.2.6. Автоматизированная, равно как и неавтоматизированная обработка Персональных данных должна осуществляться на основании принципов, определенных законодательством Российской Федерации, а именно:
– законности целей и способов обработки Персональных данных;
– соответствия целей обработки Персональных данных целям, заранее определенным и заявленным при сборе Персональных данных;
– соответствия объема и характера обрабатываемых Персональных данных, способов обработки Персональных данных целям обработки персональных данных;
– достоверности Персональных данных, их достаточности для целей обработки, недопустимости обработки Персональных данных, избыточных по отношению к целям, заявленным при сборе Персональных данных;
– недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем Персональных данных;
– уничтожения Персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
– личной ответственности работников Оператора Персональных данных за сохранность и конфиденциальность Персональных данных, а также носителей этой информации;
– наличия четкой разрешительной системы доступа работников Оператора к документам и базам данных, содержащим Персональные данные.
3.2.7. Оператор не осуществляет обработку Персональных данных третьих лиц, предоставленных Пользователями в ходе использования Сервиса. Любая иная информация, передаваемая Пользователями в ходе использования Сервиса, должна быть деперсонализирована.
3.3. Хранение Персональных данных.
3.3.1. Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
3.3.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
3.3.3. Персональные данные субъектов персональных данных, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
3.3.4. Не допускается хранение и размещение документов, содержащих Персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПД.
3.3.5. Хранение Персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
3.4. Уничтожение Персональных данных.
3.4.1. Уничтожение документов (носителей), содержащих Персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
3.4.2. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
3.4.3. Факт уничтожения Персональных данных подтверждается документально актом об уничтожении носителей.
3.5. Передача Персональных данных.
3.5.1. Оператор передает Персональные данные третьим лицам в следующих случаях:
– субъект персональных данных выразил свое согласие на такие действия;
– передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством Российской Федерации процедуры, в том числе и трансграничная передача Персональных данных.
3.5.2. Перечень лиц, которым передаются Персональные данные.
Третьи лица, которым передаются Персональные данные:
– Пенсионный фонд Российской Федерации для учета (на законных основаниях);
– налоговые органы Российской Федерации (на законных основаниях);
– Фонд социального страхования Российской Федерации (на законных основаниях);
– территориальный фонд обязательного медицинского страхования (на законных основаниях);
– страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
– банки для начисления заработной платы (на основании договора);
– органы МВД России в случаях, установленных законодательством;
– иные государственные органы (на законных основаниях).
4.Обеспечение безопасности Персональных данных
4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту Персональных данных.
4.5. Основными мерами защиты Персональных данных, используемыми Оператором, являются:
4.5.1. Назначение Оператором лица, ответственного за обработку Персональных данных, которое осуществляет организацию обработки Персональных данных, обучение и инструктаж, внутренний контроль за соблюдением Оператором и его работниками требований к защите Персональных данных.
4.5.2. Определение актуальных угроз безопасности Персональных данных при их обработке в ИСПД и разработка мер и мероприятий по защите Персональных данных.
4.5.3. Разработка политики в отношении обработки Персональных данных.
4.5.4. Установление правил доступа к Персональным данным, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с Персональными данными в ИСПД.
4.5.5. Установление индивидуальных паролей доступа работников Оператора в информационную систему в соответствии с их производственными обязанностями.
4.5.6. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации.
4.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
4.5.8. Соблюдение условий, обеспечивающих сохранность Персональных данных и исключающих несанкционированный к ним доступ.
4.5.9. Обнаружение фактов несанкционированного доступа к Персональным данным и принятие мер.
4.5.10. Восстановление Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
4.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку Персональных данных, положениям законодательства Российской Федерации о персональных данных, в том числе требованиям к защите Персональных данных, документам, определяющим политику Оператора в отношении обработки Персональных данных, локальным актам по вопросам обработки Персональных данных.
4.5.12. Осуществление внутреннего контроля и аудита.
4.6. Лица (работники Оператора, а также иные лица, выполняющие работы/оказывающие услуги по соответствующим договорам, заключенным с Оператором либо лица, являющихся представителями (работниками) контрагентов Оператора), по вине которых было допущено нарушение норм, регулирующих обработку Персональных данных, предоставляемых Пользователями Сервиса, могут быть привлечены к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности.
5.Основные права субъекта персональных данных и обязанности Оператора
5.1. Основные права и обязанности субъекта персональных данных.
Субъект персональных данных имеет право на доступ к его Персональным данным и следующим сведениям:
– подтверждение факта обработки Персональных данных Оператором;
– правовые основания и цели обработки Персональных данных;
– цели и применяемые Оператором способы обработки Персональных данных;
– наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к Персональным данным или которым могут быть раскрыты Персональные данные на основании договора с Оператором или на основании законодательства Российской Федерации;
– сроки обработки Персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
– в случаях предоставления Персональных данных третьего лица субъект, предоставивший Персональные данные, уведомляет субъекта, чьи Персональные данные он предоставил;
– наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку Персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
– обращение к Оператору и направление ему запросов;
– обжалование действий или бездействия Оператора.
5.1.1.Субъект Персональных данных может в любое время отозвать согласие на обработку персональных данных, направив Оператору соответствующее письменное уведомление на почтовый адрес Оператора 119017, город Москва, ул Большая Ордынка, д. 29 стр. 1. При этом субъект персональных данных понимает, что Оператор вправе продолжить использование такой информации в случаях, допустимых применимым законодательством.
5.2. Обязанности Оператора.
Оператор обязан:
– при сборе Персональных данных предоставить информацию об обработке Персональных данных;
– в случаях если Персональные данные были получены не от субъекта персональных данных, уведомить субъекта персональных данных;
– при отказе в предоставлении Персональных данных субъекту персональных данных разъясняются последствия такого отказа;
– опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки Персональных данных, к сведениям о реализуемых требованиях к защите Персональных данных;
– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных;
– давать ответы на запросы и обращения субъектов Персональных данных, их представителей и уполномоченного органа по защите прав субъектов Персональных данных.
Генеральным директором
ООО «Нейромед»
Сотник А.Ю.
«2» Декабря 2024 г.
ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Общие положения
1.1. Настоящая Политика защиты и обработки персональных данных (далее – «Политика») составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных, которые Общество с ограниченной ответственностью «Нейромед», зарегистрированное в соответствии с законодательством Российской Федерации за основным государственным регистрационным номером (ОГРН) 1247700327423 18.04.2024 года, ИНН 9705223820 (далее – «Оператор») может получить от субъекта персональных данных.
1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1.3. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте в сети Интернет по адресу https://neuromed.digital/policy_app, если иное не предусмотрено новой редакцией Политики.
1.4. В случае, когда заключенное между Оператором и субъектом персональных данных пользовательское соглашение, содержит положения об использовании персональной информации и/или персональных данных, применяются положения Политики и часть такого пользовательского соглашения, не противоречащая Политике.
2.Термины и принятые сокращения
2.1.Для целей настоящей Политики используются следующие термины:
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, деперсонализацию, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных, персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Персональные данные, сделанные общедоступными субъектом персональных данных – доступ неограниченного круга лиц к персональным данным субъекта персональных данных, который предоставлен субъектом персональных данных либо по его просьбе.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Оператор – организация, самостоятельно или совместно с другими лицами, организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является Общество с ограниченной ответственностью «Нейромед», зарегистрированное в соответствии с законодательством Российской Федерации за основным государственным регистрационным номером (ОГРН) 1247700327423 18.04.2024 года, ИНН 9705223820, юридический адрес: 119017, г. Москва, вн.тер.г. муниципальный округ Замоскворечье, ул. Большая Ордынка, д. 29, стр. 1.
Сервис – программное обеспечение с технологией искусственного интеллекта в виде web-сервиса «NeuromedAI», возможность использования которого предоставляется Пользователю на условиях Пользовательского Соглашения посредством размещенного Правообладателем Сервиса в мессенджере Telegram, на сайте Правообладателя по адресу в сети Интернет https://beta.neuromed.digital/ или в составе иного программного обеспечения, с которым у Сервиса обеспечена интеграция.
Пользователь – физическое лицо, достигшее возраста 18 лет, намеревающееся использовать и/или использующее Сервис, обладающими высшим медицинским образованием.
2.2.Другие термины, не определенные в п. 2.1. Политики, трактуются в соответствии с действующим законодательством Российской Федерации и Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
3.Обработка Персональных данных
3.1. Получение Персональных данных.
3.1.1. Все Персональные данные предоставляются субъектом персональных данных. Если Персональные данные субъекта можно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом или от него должно быть получено согласие. Третья сторона подтверждает, что у него имеются все полномочия по предоставлению Персональных данных субъекта персональных данных Оператору для целей заключения пользовательского соглашения.
3.1.2. Оператор осуществляет обработку Персональных данных лиц, указанных в п. 3.2.3.1. и 3.2.3.2. Оператор не осуществляет обработку Персональных данных третьих лиц, предоставленных Пользователями Сервиса без согласия таких третьих лиц. В соответствии с Пользовательским соглашением Сервис предназначен для использования в исследовательских целях, не связанных с оказанием медицинской помощи конкретному пациенту. Вводимые Пользователем данные подлежат автоматической деперсонализации при помощи автоматизированных технических решений Оператора. Деперсонализированные данные не подлежат восстановлению. Оператор не осуществляет хранение данных, вводимых Пользователем в ходе использования Сервиса.
3.1.3. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения Персональных данных, характере подлежащих получению Персональных данных, перечне действий с Персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
3.1.4. Документы, содержащие Персональные данные, создаются путем:
– копирования оригиналов документов;
– внесения сведений в доступные для их заполнения формы Сервиса;
– получения информации и содержании документов или копий таких документов посредством направления таких документов, в том числе в электронной форме, Оператору;
– получения оригиналов необходимых документов.
3.2. Обработка Персональных данных.
3.2.1. Обработка Персональных данных осуществляется:
– с согласия субъекта персональных данных на обработку его Персональных данных;
– с согласия третьего лица, действующего в интересах субъекта персональных данных, на обработку его Персональных данных;
– в случаях, когда обработка Персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
– в случаях, когда осуществляется обработка Персональных данных, сделанных общедоступными субъектом персональных данных.
3.2.2. Цели обработки Персональных данных указаны в п. 3.2.3.1.1. и 3.2.3.2.1. настоящей Политики.
3.2.3. Категории субъектов персональных данных.
3.2.3.1. Пользователи Сервиса:
3.2.3.1.1. Обработка Персональных данных, предоставленных Пользователями Сервиса, осуществляется в целях исполнения пользовательского соглашения, расположенного на сайте в сети Интернет по адресу https://app.neuromed.digital/.
3.2.3.1.2. Основание для обработки Персональных данных: ч. 1 п. 1 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Согласие субъекта персональных данных считается полученным в момент начала использования Сервиса.
3.2.3.1.3. Сроки обработки: до момента минования надобности.
3.2.3.2. Работники Оператора, иные лица, выполняющие работы/оказывающие услуги по соответствующим договорам, заключенным с Оператором, а также представители (работники) контрагентов Оператора:
– физические лица, состоящие с Оператором в трудовых отношениях;
– физические лица, уволившиеся из штата Оператора;
– физические лица, являющиеся кандидатами на работу в организации Оператора;
– физические лица, состоящие с Оператором в гражданско-правовых отношениях;
– физические лица, являющиеся представителями (работниками) контрагентов Оператора.
3.2.3.2.1.Обработка Персональных данных работников Оператора осуществляется в целях исполнения трудовых договоров. Обработка Персональных данных иных лиц, выполняющих работы/оказывающих услуги по соответствующим договорам, заключенным с Оператором, либо лиц, являющихся представителями (работниками) контрагентов Оператора, осуществляется в целях исполнения таких договоров.
3.2.3.2.2.Основание для обработки Персональных данных: ч. 1 и 5 п. 1 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
3.2.3.2.3.Сроки обработки:
– обработка Персональных данных работников Оператора осуществляется в соответствии с требованиями действующего трудового законодательства Российской Федерации об архивном делопроизводстве. Личное дело работника Оператора после прекращения трудового договора с работником Оператора передается в архив, и хранится 75 лет. Личные дела руководителей Оператора хранятся постоянно.
– обработка Персональных данных иных лиц, выполняющих работы/оказывающих услуги по соответствующим договорам, заключенным с Оператором, либо лиц, являющихся представителями (работниками) контрагентов Оператора, осуществляется в целях исполнения договоров и в соответствии с требованиями действующего законодательства Российской Федерации, но не менее, чем до истечения трёх лет с момента окончания срока действия соответствующего договора, заключенного таким лицом с Оператором.
3.2.4.Персональные данные, обрабатываемые Оператором:
3.2.4.1.Состав обрабатываемых Персональных данных, предоставляемых Пользователями Сервиса:
– фамилия, имя, отчество;
– сведения о Пользователе, указанные и/или связанные с его учетной записью в мессенджере «Telegram»;
– номер контактного телефона;
– место работы;
– специализация.
3.2.4.2. Состав обрабатываемых Персональных данных работников Оператора, а также иных лиц, выполняющих работы/оказывающих услуги по соответствующим договорам, заключенным с Оператором либо лиц, являющихся представителями (работниками) контрагентов Оператора:
– данные, полученные при осуществлении трудовых отношений;
– данные, полученные для осуществления отбора кандидатов на работу;
– данные, полученные при осуществлении гражданско-правовых отношений.
3.2.5. Обработка Персональных данных ведется:
– с использованием средств автоматизации;
– без использования средств автоматизации.
3.2.6. Автоматизированная, равно как и неавтоматизированная обработка Персональных данных должна осуществляться на основании принципов, определенных законодательством Российской Федерации, а именно:
– законности целей и способов обработки Персональных данных;
– соответствия целей обработки Персональных данных целям, заранее определенным и заявленным при сборе Персональных данных;
– соответствия объема и характера обрабатываемых Персональных данных, способов обработки Персональных данных целям обработки персональных данных;
– достоверности Персональных данных, их достаточности для целей обработки, недопустимости обработки Персональных данных, избыточных по отношению к целям, заявленным при сборе Персональных данных;
– недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем Персональных данных;
– уничтожения Персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
– личной ответственности работников Оператора Персональных данных за сохранность и конфиденциальность Персональных данных, а также носителей этой информации;
– наличия четкой разрешительной системы доступа работников Оператора к документам и базам данных, содержащим Персональные данные.
3.2.7. Оператор не осуществляет обработку Персональных данных третьих лиц, предоставленных Пользователями в ходе использования Сервиса. Любая иная информация, передаваемая Пользователями в ходе использования Сервиса, должна быть деперсонализирована.
3.3. Хранение Персональных данных.
3.3.1. Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
3.3.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
3.3.3. Персональные данные субъектов персональных данных, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
3.3.4. Не допускается хранение и размещение документов, содержащих Персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПД.
3.3.5. Хранение Персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
3.4. Уничтожение Персональных данных.
3.4.1. Уничтожение документов (носителей), содержащих Персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
3.4.2. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
3.4.3. Факт уничтожения Персональных данных подтверждается документально актом об уничтожении носителей.
3.5. Передача Персональных данных.
3.5.1. Оператор передает Персональные данные третьим лицам в следующих случаях:
– субъект персональных данных выразил свое согласие на такие действия;
– передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством Российской Федерации процедуры, в том числе и трансграничная передача Персональных данных.
3.5.2. Перечень лиц, которым передаются Персональные данные.
Третьи лица, которым передаются Персональные данные:
– Пенсионный фонд Российской Федерации для учета (на законных основаниях);
– налоговые органы Российской Федерации (на законных основаниях);
– Фонд социального страхования Российской Федерации (на законных основаниях);
– территориальный фонд обязательного медицинского страхования (на законных основаниях);
– страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
– банки для начисления заработной платы (на основании договора);
– органы МВД России в случаях, установленных законодательством;
– иные государственные органы (на законных основаниях).
4.Обеспечение безопасности Персональных данных
4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту Персональных данных.
4.5. Основными мерами защиты Персональных данных, используемыми Оператором, являются:
4.5.1. Назначение Оператором лица, ответственного за обработку Персональных данных, которое осуществляет организацию обработки Персональных данных, обучение и инструктаж, внутренний контроль за соблюдением Оператором и его работниками требований к защите Персональных данных.
4.5.2. Определение актуальных угроз безопасности Персональных данных при их обработке в ИСПД и разработка мер и мероприятий по защите Персональных данных.
4.5.3. Разработка политики в отношении обработки Персональных данных.
4.5.4. Установление правил доступа к Персональным данным, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с Персональными данными в ИСПД.
4.5.5. Установление индивидуальных паролей доступа работников Оператора в информационную систему в соответствии с их производственными обязанностями.
4.5.6. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации.
4.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
4.5.8. Соблюдение условий, обеспечивающих сохранность Персональных данных и исключающих несанкционированный к ним доступ.
4.5.9. Обнаружение фактов несанкционированного доступа к Персональным данным и принятие мер.
4.5.10. Восстановление Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
4.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку Персональных данных, положениям законодательства Российской Федерации о персональных данных, в том числе требованиям к защите Персональных данных, документам, определяющим политику Оператора в отношении обработки Персональных данных, локальным актам по вопросам обработки Персональных данных.
4.5.12. Осуществление внутреннего контроля и аудита.
4.6. Лица (работники Оператора, а также иные лица, выполняющие работы/оказывающие услуги по соответствующим договорам, заключенным с Оператором либо лица, являющихся представителями (работниками) контрагентов Оператора), по вине которых было допущено нарушение норм, регулирующих обработку Персональных данных, предоставляемых Пользователями Сервиса, могут быть привлечены к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности.
5.Основные права субъекта персональных данных и обязанности Оператора
5.1. Основные права и обязанности субъекта персональных данных.
Субъект персональных данных имеет право на доступ к его Персональным данным и следующим сведениям:
– подтверждение факта обработки Персональных данных Оператором;
– правовые основания и цели обработки Персональных данных;
– цели и применяемые Оператором способы обработки Персональных данных;
– наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к Персональным данным или которым могут быть раскрыты Персональные данные на основании договора с Оператором или на основании законодательства Российской Федерации;
– сроки обработки Персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
– в случаях предоставления Персональных данных третьего лица субъект, предоставивший Персональные данные, уведомляет субъекта, чьи Персональные данные он предоставил;
– наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку Персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
– обращение к Оператору и направление ему запросов;
– обжалование действий или бездействия Оператора.
5.1.1.Субъект Персональных данных может в любое время отозвать согласие на обработку персональных данных, направив Оператору соответствующее письменное уведомление на почтовый адрес Оператора 119017, город Москва, ул Большая Ордынка, д. 29 стр. 1. При этом субъект персональных данных понимает, что Оператор вправе продолжить использование такой информации в случаях, допустимых применимым законодательством.
5.2. Обязанности Оператора.
Оператор обязан:
– при сборе Персональных данных предоставить информацию об обработке Персональных данных;
– в случаях если Персональные данные были получены не от субъекта персональных данных, уведомить субъекта персональных данных;
– при отказе в предоставлении Персональных данных субъекту персональных данных разъясняются последствия такого отказа;
– опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки Персональных данных, к сведениям о реализуемых требованиях к защите Персональных данных;
– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных;
– давать ответы на запросы и обращения субъектов Персональных данных, их представителей и уполномоченного органа по защите прав субъектов Персональных данных.