1. Общие положения

1.1. Политика ИП Иванова О.А. в отношении обработки персональных данных (далее — Политика) определяет политику ИП Иванова О.А. как оператора, осуществляющего обработку Персональных данных, в отношении обработки и защиты Персональных данных. Обработка Персональных данных у оператора осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных. Политика разработана ИП Ивановым Олегом Анатольевичем (ИНН 290100131031) в соответствии с требованиями законодательства.
1.2. Целью данной Политики является определение порядка получения, учета, обработки, хранения и защиты Персональных данных от несанкционированного доступа, неправомерного их использования или утраты.
Политика определяет цели, содержание и порядок обработки Персональных данных, меры, направленные на защиту Персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области Персональных данных. Политика устанавливает обязанности Оператора по обработке Персональных данных, их охране, в том числе, обеспечению режима защиты конфиденциальности Персональных данных, которые предоставляются Оператору.
1.3. В настоящей Политике используются следующие понятия:
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к Персональным данным лицом требование не допускать их распространения без согласия субъекта Персональных данных или наличия иного законного основания.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых Оператором с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.
Оператор обработки персональных данных (Оператор) — ИП Иванов Олег Анатольевич (ИНН 290100131031), который самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку Персональных данных, а также определяет цели обработки Персональных данных, состав Персональных данных, подлежащих обработке, действия (операции), совершаемые с Персональными данными. Адрес оператора: Чеченская Республика, 364024, г. Грозный (Ахматовский район), ул. Д.Арсанова, дом №50, кв.76.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных).
Пользователь — субъект Персональных данных, дееспособное совершеннолетнее физическое лицо, использующее Сайт в собственных интересах. По тексту данной Политики Пользователь также указан как Субъект персональных данных.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных — действия, направленные на раскрытие персональных данных, разрешенных субъектом персональных данных для распространения, неопределенному кругу лиц.
Сайт — совокупность информации, текстов, графических элементов, дизайна, изображений, фото- и видеоматериалов и иных результатов интеллектуальной деятельности, а также программ для ЭВМ, содержащихся в информационной системе, обеспечивающей доступность такой информации в сети Интернет по адресу https://healthypro.ru/courses_new.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.4. Персональные данные являются конфиденциальной информацией и не могут быть использованы Оператором или любым другим лицом в личных целях. Оператор и иные лица, получившие доступ к Персональным данным, обязаны не раскрывать третьим лицам и не распространять Персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено действующим законодательством о персональных данных.
1.5. Субъект персональных данных принимает решение о предоставлении своих Персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку Персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Оператор не проверяет достоверность Персональных данных, предоставляемых Субъектом персональных данных. 1.6. Предоставляя Оператору согласие на сбор и обработку Персональных данных, тем самым принимая настоящую Политику, Субъект персональных данных тем самым дает свое согласие Оператору на обработку своих Персональных данных, указанных в разделах 6-8 Политики, в том числе сбор, запись, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу третьим лицам (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных в целях, указанных в разделах 6-7 Политики.
1.7. Пользователь, отказываясь от дачи согласия на обработку Оператором своих Персональных данных для целей, указанных в разделе 6 понимает, что он не сможет воспользоваться всеми возможностями Сайта и его сервисов, а использование Сайта будет доступно в ограниченном режиме.
2. Требования, принципы и условия обработки Персональных данных
2.1. В целях обеспечения прав и свобод человека и гражданина Оператор при обработке Персональных данных обязан соблюдать следующие общие требования:
— обработка ПД может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, регламентирующих деятельность Оператора;
— при определении объема и содержания обрабатываемых Персональных данных Оператор руководствуется законодательством;
— обработка ПД может осуществляться исключительно в целях обеспечения соблюдения действующего российского законодательства;
— получение Персональных данных осуществляется путем представления их лично Пользователем.
2.2. Оператор обрабатывает Персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора и иных лиц.
2.3. Оператор обрабатывает Персональные данные Субъекта персональных данных с его согласия, предоставляемого либо в письменной форме (в необходимых случаях согласно действующему законодательству Российской Федерации), либо при совершении конклюдентных действий.
2.4. Пользователь обязан предоставлять Оператору достоверные сведения о себе и своевременно сообщать ему об изменении этих Персональных данных.
2.5. Использование Персональных данных возможно только в соответствии с целями, определившими их получение. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
2.6. Передача Персональных данных возможна только с согласия Субъекта персональных данных и/или его законного представителя или в случаях, прямо предусмотренных законодательством. Передача Персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
2.7. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
2.8. При передаче Персональных данных Оператор должен соблюдать следующие требования:
— при передаче Персональных данных Оператор не должен сообщать эти данные третьей стороне без письменного согласия Субъекта персональных данных или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта персональных данных или в случаях, установленных российским законодательством;
— предупредить лиц, получающих Персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие Персональные данные обязаны соблюдать режим секретности (конфиденциальности).
2.9. Все меры обеспечения безопасности при сборе, обработке и хранении Персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
2.10. Базы данных информации, содержащей Персональные данные граждан Российской Федерации, находятся на территории Российской Федерации.
2.11. Оператор:
— обеспечивает режим безопасности помещений, в которых размещена информационная система персональных данных, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
— обеспечивает сохранность носителей Персональных данных;
— утверждает перечень лиц, доступ которых к Персональным данным, необходим для выполнения ими служебных (трудовых) обязанностей;
— использует средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.
2.12. Принципы обработки Персональных данных, установленные настоящим Политикой:
2.12.1. Обработка Персональных данных должна осуществляться на законной и справедливой основе.
2.12.2. Обработка Персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка Персональных данных, несовместимая с целями сбора Персональных данных. Не допускается обработка избыточных Персональных данных по отношению к заявленным целям их обработки.
2.12.3. Не допускается объединение баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.12.4. Обработке подлежат только Персональные данные, которые отвечают целям их обработки.
2.12.5. При обработке Персональных данных должны быть обеспечены точность Персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки Персональных данных.
2.12.6. Хранение Персональных данных должно осуществляться в форме, позволяющей определить субъекта Персональных данных, не дольше, чем этого требуют цели обработки Персональных данных, если срок хранения Персональных данных не установлен федеральным законом, договором, стороной которого является субъект Персональных данных, обрабатываемые Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.12.7. Оператор не контролирует и не несет ответственность за обработку информации сайтами третьих лиц, на которые можно перейти по ссылкам, доступным на Сайте.
2.13. Персональные данные хранятся у Оператора на электронных носителях с ограниченным доступом. Право доступа к Персональным данным имеют:
— Оператор;
— Работник, ответственный за обработку Персональных данных.
2.14. Предоставление Субъекту персональных данных гарантий и компенсаций, предусмотренных действующим законодательством, осуществляется с момента предоставления соответствующих сведений, если иное не предусмотрено действующим законодательством.
3. Категории Субъектов персональных данных
3.1. Оператор собирает и обрабатывает Персональные данные Пользователей Сайта.
4. Права и обязанности Оператора
4.1. Права Оператора:
— собирать Персональные данные через формы на Сайте;
— предоставлять Субъекту персональных данных доступ к Сайту;
— осуществлять сбор, запись, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных;
— передавать Персональные данные третьим лицам на основании договоров, заключаемых для достижения целей, указанных в разделе 6 Политики;
— поручить обработку Персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее — поручение Оператора). Лицо, осуществляющее обработку Персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки Персональных данных, предусмотренные действующим российским законодательством, соблюдать конфиденциальность Персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных действующим российским законодательством. В поручении Оператора должны быть определены перечень Персональных данных, перечень действий (операций) с Персональными данными, которые будут совершаться лицом, осуществляющим обработку Персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность Персональных данных, требования действующего законодательства;
— в случае отзыва Субъектом персональных данных согласия на обработку Персональных данных Оператор вправе продолжить обработку Персональных данных без согласия Субъекта персональных данных при наличии оснований, указанных в действующем законодательстве;
— осуществлять Распространение Персональных данных при наличии отдельного согласия на Распространение персональных данных.
4.2. Оператор не имеет права получать и обрабатывать Персональных данные о политических, религиозных и иных убеждениях и частной жизни Субъектов персональных данных, а также о членстве в общественных объединениях или профсоюзной деятельности Субъектов персональных данных, за исключением случаев, предусмотренных Федеральным законодательством или на основании письменного согласия Субъекта персональных данных.
4.3. Обязанности Оператора:
— использовать полученные Персональные данные исключительно для целей, указанных в разделе 6 Политики;
— предоставить Субъекту персональных данных информацию, касающуюся его Персональных данных, при получении соответствующего запроса или обращения;
— в случае утраты или разглашения конфиденциальной информации Оператор не несет ответственность, если данная конфиденциальная информация:
— стала публичным достоянием до ее утраты или разглашения;
— была получена от третьей стороны до момента ее получения Оператором;
— была разглашена с согласия Субъекта персональных данных;
— сообщить Субъекту Персональных данных или его представителю информацию об осуществляемой Оператором обработке Персональных данных такого Субъекта Персональных данных по его запросу;
— не раскрывать третьим лицам и не распространять Персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено законодательством;
— при получении запроса или обращения от Субъекта персональных данных предоставить ему сведения и информацию, указанные в запросе/ обращении, в доступной форме и без указания Персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких Персональных данных;
— разъяснить Субъекту персональных данных порядок принятия решения на основании исключительно Автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить Субъекту персональных данных возражение против такого решения, а также разъяснить порядок защиты Субъекту персональных данных своих прав и законных интересов. Оператор обязан рассмотреть возражение, указанное в этом пункте, в течение тридцати дней со дня его получения и уведомить Субъекта персональных данных о результатах рассмотрения такого возражения;
— разъяснить Субъекту персональных данных юридические последствия отказа предоставить его Персональные данные и (или) дать согласие на их обработку, если в соответствии с федеральным законом предоставление Персональных данных и (или) получение Оператором согласия на обработку Персональных данных являются обязательными;
— при сборе Персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в действующем российском законодательстве;
— Оператор обязан обеспечивать надежную защиту Персональных данных, защиту их конфиденциальности.
5. Права и обязанности Субъекта персональных данных
5.1. Субъект персональных данных имеет право:
— Требовать от Оператора уточнения его Персональных данных, их блокирования или уничтожения в случае, если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, путем направления обращения по адресу электронной почты info@healthypro.ru.
— Вправе запрашивать сведения о мерах, предпринимаемых Оператором для защиты Персональных данных.
— Вправе направить запрос Оператору относительно своих Персональных данных, которые обрабатываются Оператором, путем направления обращения к Оператору по электронной почте info@healthypro.ru.
— Вправе направить повторный запрос Оператору относительно своих Персональных данных, которые обрабатываются Оператором, не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом.
— Вправе направить Оператору отзыв данного им согласия на обработку Персональных данных, согласия на Распространение Персональных данных.
— Вправе определять своих представителей для защиты своих Персональных данных;
— Имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
— Имеет право на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов Персональных данных или в судебном порядке.
5.2. Субъект персональных данных обязан:
— Предоставлять свои достоверные Персональные данные.
— В случае изменения сведений, составляющих Персональные данные, Пользователь обязан в течение месяца сообщить об этом Оператору и (или) уполномоченному им лицу.
6. Порядок получения и обработки Персональных данных Пользователей
6.1. Закрепление прав Пользователей, регламентирующих защиту их Персональных данных, обеспечивает сохранность полной и точной информации о нем. Пользователи должны быть ознакомлены с документами Оператора, устанавливающими порядок обработки Персональных данных, а также об их правах и обязанностях в этой области.
6.2. Оператор обрабатывает Персональные данные с использованием средств автоматизации и без использования средств автоматизации следующие категории Персональных данных, обеспечивает их защиту с учетом определенного типа угроз безопасности и уровня защищенности персональных данных:
— фамилия, имя, отчество;
— дата рождения;
— пол;
— адрес проживания;
— контактные телефоны;
— адреса электронной почты.
6.3. Обработка Персональных данных осуществляется исключительно в целях:
— обеспечения соблюдения законов и иных нормативно-правовых актов;
— исполнения договора на оказание возмездных информационно-консультационных услуг и/или иного договора, стороной которого является Субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем;
— в статистических или иных исследовательских целях, при условии обязательного обезличивания Персональных данных;
— обеспечения личной безопасности Субъектов персональных данных;
— обеспечения реализации научно-исследовательской и научной деятельности Оператора;
— обеспечения охраны имущества и интеллектуальной собственности;
— продвижения товаров, работ, Услуг Оператора на рынке, в том числе путем осуществления прямых контактов с Субъектами персональных данных с помощью средств связи.
6.4. В целях соблюдения действующего законодательства Оператор передает Персональные данные третьим лицам.
6.5. Для достижения целей, указанных в п. 6.3 Политики, а именно в целях осуществления информационно-консультационных услуг, Оператор заключает договор с ООО «Система Геткурс», предоставляющим услуги пользования платформы, согласно которому Оператор в том числе, передает Персональные данные Пользователя и поручает ООО «Система Геткурс» сбор и обработку Персональных данных, указанных в п. 6.2 Политики. Эти Персональные данные обрабатываются в соответствии с Политикой об обработке персональных данных, утвержденной в ООО «Система Геткурс» сроком, указанным в разделе 10 настоящей Политики конфиденциальности.
Адрес хранения Персональных данных в базе ООО «Система Геткурс» (ИНН 9731055900,
ОГРН 1197746675170): 121596, г. Москва, ул. Горбунова, д. 2, стр. 3, ком. 3.
6.6. Услуги хостинга и услуги предоставления выделенного сервера предоставляются ООО «Селектел» (ИНН: 7842393933, ОГРН: 1089847357126), адрес: г. Санкт-Петербург, ул. Цветочная, д. 21, лит. А.
7. Угроза утраты Персональных данных
7.1. Под угрозой или опасностью утраты Персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
7.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
7.3. Защита Персональных данных представляет собой предупреждение нарушения доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечение безопасности информации в процессе управленческой и производственной деятельности Оператора.
Внешняя защита:
— для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, и др.;
— под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к Оператору, посетители, работники других организационных структур. Посторонние лица не должны знать рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов;
— для обеспечения внешней защиты Персональных данных необходимо соблюдать ряд мер: порядок приема, учета и контроля деятельности посетителей; пропускной режим организации; технические средства охраны, сигнализации; требования к защите информации при интервьюировании и собеседованиях, наличие надежных антивирусных программ на используемых устройствах.
8. Ответственность Оператора
8.1 Персональная ответственность одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
8.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
8.3. Руководитель, разрешающий доступ Работника к документу, содержащему Персональные данные, несет персональную ответственность за данное разрешение.
8.4. Каждый Работник Оператора, получающий для работы документ, содержащий Персональные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
8.5. Работник Оператора, имеющий доступ к Персональным данным в связи с исполнением трудовых обязанностей:
— обеспечивает хранение информации, содержащей Персональные данные, исключающее доступ к ним третьих лиц. В отсутствие Работника на его рабочем месте не должно быть документов, содержащих Персональные данные;
— при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия Работника на своем рабочем месте, обязан передать документы и иные носители, содержащие Персональные данные другим Работникам Оператора;
— при увольнении Работника, имеющего доступ к Персональным данным, документы и иные носители, содержащие Персональные данные, передаются другому Работнику, имеющему доступ к Персональным данным.
8.6. Доступ к Персональным данным имеют Работники Оператора, которым Персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей.
8.7. В случае если юридические и физические лица оказывают Оператору услуги на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к Персональным данным, то соответствующие данные предоставляются Оператором только после подписания с ними соглашения о неразглашении конфиденциальной информации. В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту Персональных данных.
8.8. Процедура оформления доступа к Персональным данным включает в себя:
— ознакомление Работника с настоящим Политикой. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту Персональных данных, с данными актами также производится ознакомление Работника.
8.9. Допуск к Персональным данным других сотрудников Оператора, не имеющих надлежащим образом оформленного доступа, запрещается.
8.10. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту Персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством:
— за неисполнение или ненадлежащее исполнение Работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера Оператор вправе применять предусмотренные Трудовым Кодексом РФ дисциплинарные взыскания;
— должностные лица, в обязанность которых входит работа с Персональными данными, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации — влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях;
— в соответствии с Гражданским Кодексом РФ лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки;
— уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.
9. Меры по обеспечению безопасности Персональных данных при их обработке
9.1. Оператор осуществляет защиту Персональных данных, применяя общепринятые методы безопасности для обеспечения защиты информации от потери, неправомерного или случайного доступа, искажения и несанкционированного распространения, уничтожения, изменения, блокирования, копирования, а также любых других неправомерных действий с Персональными данными третьих лиц. Безопасность реализуется программными средствами сетевой защиты, процедурами проверки доступа, применением криптографических средств защиты информации, соблюдением Политики, а также других внутренних документов, регламентирующих правила обработки Персональных данных Оператором.
9.2. В случае если Персональные данные были утрачены либо разглашены, Оператор обязан проинформировать об этом Субъекта Персональных данных.
9.3. Оператор совместно с Субъектом персональных данных принимает все необходимые правовые, организационные и технические меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением Персональных данных.
9.4. Персональные данные сохраняются Оператором в конфиденциальности за исключением случаев, когда Субъект персональных данных добровольно разместил информацию для общего доступа.
9.5. Обеспечение безопасности Персональных данных, обрабатываемых в информационных системах Персональных данных Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к Персональным данным, а также принятия следующих мер по обеспечению безопасности:
9.5.1. определение угроз безопасности Персональных данных при их обработке в информационных системах Персональных данных Оператора;
9.5.2. применение организационных и технических мер по обеспечению безопасности Персональных данных при их обработке в информационных системах Персональных данных Оператора, необходимых для выполнения требований к защите Персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности Персональных данных;
9.5.3. применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
9.5.4. оценка эффективности принимаемых мер по обеспечению безопасности Персональных данных до ввода в эксплуатацию информационной системы Персональных данных;
9.5.5. учет машинных носителей Персональных данных;
9.5.6. обнаружение фактов несанкционированного доступа к Персональным данным и принятие мер;
9.5.7. восстановление Персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
9.5.8. установление правил доступа к Персональным данным, обрабатываемым в информационных системах Персональных данных Оператора, а также обеспечением регистрации и учета всех действий, совершаемых с Персональными данными в информационных системах Персональных данных Оператора;
9.5.9. контроль за принимаемыми мерами по обеспечению безопасности Персональных данных и уровней защищенности информационных систем Персональных данных.
9.6. Меры, направленные на обеспечение выполнения Оператором обязанностей, предусмотренных действующим законодательством в области Персональных данных. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных действующим российским законодательством. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения этих обязанностей. К таким мерам, в частности, относятся:
1) назначение Оператором ответственного за организацию обработки Персональных данных.
2) издание Оператором документов, определяющих политику Оператора в отношении обработки Персональных данных, Политики, локальных актов по вопросам обработки Персональных данных, определяющих для каждой цели обработки Персональных данных категории и перечень обрабатываемых Персональных данных, категории субъектов, Персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения Персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
3) применение правовых, организационных и технических мер по обеспечению безопасности Персональных данных.
4) осуществление внутреннего контроля и (или) аудита соответствия обработки Персональных данных законодательству и принятым в соответствии с ним нормативным правовым актам, требованиям к защите Персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
5) оценка вреда, который может быть причинен субъектам Персональных данных в случае нарушения законодательства, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством;
6) ознакомление работников Оператора, непосредственно осуществляющих обработку Персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите Персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, Политикой конфиденциальности, локальными актами по вопросам обработки Персональных данных, и (или) обучение указанных работников.
7) опубликование на Сайте Политики конфиденциальности для обеспечения неограниченного доступа к ней.
10. Сроки обработки Персональных данных
10.1. Обработка Персональных данных, предоставляемых Пользователем на Сайте, осуществляется с момента отправления заполненной формы на Сайте до момента прекращения работы Сайта или до момента отзыва согласия, направленного в адрес Оператора.
10.2. Если иное не предусмотрено другими пунктами Политики или действующим российским законодательством, условием прекращения обработки Персональных данных является достижение целей обработки Персональных данных, истечение срока действия согласия или отзыв согласия на обработку Персональных данных, выявление неправомерной обработки Персональных данных, получение Оператором запроса на уничтожение Персональных данных.
10.3. Передача (распространение, предоставление, доступ) Персональных данных должна быть прекращена в любое время по требованию Субъекта персональных данных.
10.4. Субъект персональных данных вправе обратиться к Оператору с требованием прекратить передачу (распространение, предоставление, доступ) своих Персональных данных, ранее разрешенных для распространения, в случае несоблюдения положений действующего законодательства или обратиться с таким требованием в суд. Оператор обязан прекратить передачу (распространение, предоставление, доступ) Персональных данных в течение 3 (трех) рабочих дней с момента получения требования или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение 3 (трех) рабочих дней с момента вступления решения суда в законную силу.
10.5. Режим конфиденциальности снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, если иное не определено действующим законодательством Российской Федерации.
11. Актуализация, исправление, удаление и уничтожение Персональных данных, ответы на запросы Субъектов персональных данных на доступ к Персональным данным
11.1. В случае подтверждения факта неточности Персональных данных или неправомерности их обработки, Персональные данные подлежат их актуализации Оператором, а обработка должна быть соответственно прекращена.
11.2. Персональные данные Субъекта персональных данных, которые хранятся у Оператора и обрабатываются им, могут быть удалены/обезличены путем обращения к Оператору. Для этого необходимо направить письмо Оператору на адрес info@healthypro.ru. При этом Пользователь не сможет пользоваться некоторым функционалом Сайта. Срок рассмотрения запроса составляет 10 (десять) рабочих дней.
11.3. При достижении целей обработки Персональных данных Оператор прекращает обработку Персональных данных (или обеспечивает ее прекращение, если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожает Персональные данные (или обеспечивает их уничтожение, если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки, если:
• иное не предусмотрено договором;
• Оператор не вправе осуществлять обработку Персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
• иное не предусмотрено иным соглашением между Оператором и Субъектом персональных данных.
В случае отсутствия возможности уничтожения Персональных данных в течение срока, указанного в данном пункте, Оператор осуществляет блокирование таких Персональных данных или обеспечивает их блокирование (если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение Персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
11.4. При получения Оператором отзыва согласия на обработку Персональных данных Оператор прекращает обработку Персональных данных (или обеспечивает ее прекращение, если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение Персональных данных более не требуется для целей обработки Персональных данных, уничтожает Персональные данные (или обеспечивает их уничтожение, если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва.
В случае отсутствия возможности уничтожения Персональных данных в течение срока, указанного в данном пункте, Оператор осуществляет блокирование таких Персональных данных или обеспечивает их блокирование (если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение Персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
11.5. В случае получения обращения к Оператору с требованием о прекращении обработки Персональных данных Оператор обязан в срок, не превышающий 10 (десяти) рабочих дней с даты получения соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных действующим российским законодательством. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта Персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. В случае отсутствия возможности уничтожения Персональных данных в течение срока, указанного в данном пункте, Оператор осуществляет блокирование таких Персональных данных или обеспечивает их блокирование (если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение Персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
11.6. Оператор осуществляет блокирование Персональных данных в случае выявления неправомерной обработки Персональных данных, выявления неточных Персональных данных с момента обращения или запроса Субъекта персональных данных либо уполномоченного органа по защите прав субъектов Персональных данных на период проверки. В случае отсутствия возможности уничтожения Персональных данных в течение срока, указанного в данном пункте, Оператор осуществляет блокирование таких Персональных данных или обеспечивает их блокирование (если обработка Персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение Персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
11.7. Оператор осуществляет актуализацию, исправление, уточнение Персональных данных, в течение 7 (семи) рабочих дней с момента обращения или запроса субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов Персональных данных, в случае выявления неполных, неточных, неактуальных Персональных данных.
11.8. Оператор осуществляет удаление и уничтожение Персональных данных, в течение 7 (семи) рабочих дней с момента обращения или запроса субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов Персональных данных, в случае получения сведений, подтверждающих, что Персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки. При этом Оператор уведомляет субъекта Персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым Персональные данные этого субъекта были переданы.
11.9. В случае выявления неправомерной обработки Персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку Персональных данных или обеспечить прекращение неправомерной обработки Персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки Персональных данных невозможно, Оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки Персональных данных, обязан уничтожить такие Персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта Персональных данных или его представителя, или уполномоченный орган по защите прав субъектов Персональных данных.
11.10. Оператор отвечает на запросы Субъектов персональных данных, их представителей, уполномоченного органа по защите прав субъектов персональных данных относительно Персональных данных в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
11.11. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) Персональных данных, повлекшей нарушение прав Субъекта персональных данных, Оператор обязан с момента выявления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов Персональных данных, и предполагаемом вреде, нанесенном правам субъектов Персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов Персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
12. Заключительные положения
12.1. Политика вступает в силу со дня его утверждения Оператором.
12.2. Политика может быть изменена путем разработки дополнений и приложений, утверждаемых Оператором.
12.3. Оператор обеспечивает неограниченный доступ к настоящему документу.
12.4. Политика доводится до сведения всех Пользователей на Сайте на странице https://healthypro.ru/legal_bg
12.5. Продолжая пользоваться Сайтом после опубликования новой редакции Политики, Пользователь тем самым подтверждает, что принимает ее.