Правовые основания процедур обработки персональных данных

Правовые основания процедур обработки персональных данных

На основании Политики конфиденциальности ООО «Стоматология ВаЭль» (далее – Оператор) и с учетом требований GDPR и Федерального закона № 152-ФЗ, ниже представлено подробное описание процедур обработки персональных данных и правовых оснований их обработки.

1. Общие положения и определения

Оператор: Общество с ограниченной ответственностью «Стоматология ВаЭль».

Пользователь/Субъект персональных данных: Физическое лицо, использующее Сервис и/или заключившее договор с Оператором.

Персональные данные: Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Обработка персональных данных: Любые действия (операции) или совокупность действий (операций) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (за исключением распространения), обезличивание, блокирование, удаление, уничтожение.

Сервис: Веб-сайт (https://vaelstom.ru/) и программное обеспечение «Личный кабинет», включая мобильное приложение.

2. Процедуры обработки персональных данных

Сбор данных:

При использовании Сервиса: Оператор может получать персональные данные во время использования Пользователем сайта и/или программного обеспечения «Личный кабинет».

При заключении договора: Данные, необходимые для выполнения условий договора, заключенного с Пользователем.

Геолокация: Приложение использует данные о геолокации для определения города при входе и местоположения на карте при выборе клиники. Эти данные не хранятся.

Файлы Cookie: Сайт использует файлы cookie для оптимизации работы, персонализации взаимодействия, запоминания предпочтений, а также для получения аналитической информации (например, об операционной системе, версии браузера, URL-адресе перехода).

Запись и систематизация: Персональные данные могут вноситься в медицинские карты, включаться в списки (реестры) и отчетные формы.

Хранение: Персональные данные хранятся в формах, позволяющих определить субъекта, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом или договором.

Уточнение (обновление, изменение): Субъект персональных данных имеет право требовать уточнения своих данных.

Использование: Персональные данные используются для достижения заявленных целей обработки.

Передача: Персональные данные о Пользователях обрабатываются, в том числе передаются третьим лицам, только с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством (например, налоговые, правоохранительные органы).

Обезличивание/Уничтожение: Персональные данные уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Блокирование: Субъект персональных данных имеет право требовать блокирования своих данных.

3. Правовые основания обработки персональных данных

3.1. В соответствии с GDPR (статьи 6, 13, 14)

Статья 6 GDPR (Законность обработки):

Согласие субъекта данных (ст. 6(1)(a) GDPR):

Использование Пользователем Сервиса означает согласие с Политикой и условиями обработки персональных данных.

Передача персональных данных третьим лицам осуществляется только с согласия субъекта.

Осуществление прямых контактов с пациентами с помощью средств связи только при условии предварительного оформления согласия пациента.

При первом посещении сайта запрашивается согласие на размещение файлов cookie и отслеживание поведения.

Исполнение договора, стороной которого является субъект данных (ст. 6(1)(b) GDPR):

Обработка данных для выполнения условий договора, заключенного с Пользователем.

Соблюдение юридического обязательства (ст. 6(1)(c) GDPR):

Создание условий для обеспечения гарантий прав граждан на получение медицинской помощи в соответствии с требованиями федеральных законов и нормативных правовых актов.

Создание условий для обеспечения гарантий прав граждан при трудоустройстве, работе, обучении, предоставлении различного вида льгот в соответствии с требованиями Трудового кодекса Российской Федерации, федеральных законов и нормативных правовых актов.

Опубликование или обязательное раскрытие персональных данных, если это предусмотрено федеральным законом.

Передача персональных данных третьим лицам (например, налоговым, правоохранительным органам), если это предусмотрено действующим законодательством.

Хранение персональных данных, если срок хранения установлен федеральным законом.

Законные интересы Оператора (ст. 6(1)(f) GDPR):

Анализ обобщенной и другой информации, не связанной с идентификацией отдельных Пользователей (например, об операционной системе, версии браузера, URL-адресе перехода) для улучшения продуктов и услуг.

Анализ информации о посещении страниц Пользователями для совершенствования Сайта, маршрутов посещения Сайтов.

Определение количества посетителей и того, как они используют Сайт, для повышения эффективности Сайта и для наилучшего понимания интересов аудитории Сайта.

Использование анонимных данных для статистических целей и внутренней оценки.

Статья 13 GDPR (Информация, предоставляемая при сборе персональных данных от субъекта данных):

Политика конфиденциальности предоставляет информацию о том, кто является Оператором, целях обработки, категориях обрабатываемых данных, получателях данных, сроках хранения, правах субъекта данных.

Указаны контактные данные Оператора (адрес, email, телефон).

Информация о файлах cookie и их использовании также подробно описана.

Статья 14 GDPR (Информация, предоставляемая, если персональные данные не были получены от субъекта данных):

В данном документе не указаны случаи, когда персональные данные собираются не от самого субъекта данных. Однако, если такие случаи возникнут, Оператор должен будет предоставить информацию в соответствии с требованиями ст. 14 GDPR.

3.2. В соответствии с Федеральным законом № 152-ФЗ (Раздел II)

Статья 5. Принципы обработки персональных данных:

Обработка осуществляется на законной и справедливой основе.

Обработка ограничивается достижением конкретных, заранее определенных и законных целей.

Не допускается обработка, несовместимая с целями сбора.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых целях.

Обеспечивается достоверность, достаточность и актуальность данных.

Хранение данных осуществляется не дольше, чем этого требуют цели обработки.

Уничтожение или обезличивание данных по достижении целей обработки или утраты необходимости.

Статья 6. Условия обработки персональных данных:

Согласие субъекта персональных данных: Является основным условием обработки, за исключением случаев, предусмотренных федеральным законом.

Исполнение договора: Обработка необходима для исполнения договора, стороной которого является субъект персональных данных.

Исполнение обязанностей, предусмотренных законодательством РФ: Обработка необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

Защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных: (Хотя прямо не указано как основание для всех операций, при оказании медицинских услуг это может быть применимо).

Осуществление прав и законных интересов оператора или третьих лиц: При условии, что при этом не нарушаются права и свободы субъекта персональных данных.

Статья 7. Конфиденциальность персональных данных:

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных:

Согласие должно быть конкретным, информированным и сознательным. Использование Сервиса рассматривается как согласие.

Статья 10. Специальные категории персональных данных:

Медицинские данные относятся к специальным категориям. Их обработка допускается в случаях, предусмотренных законодательством о здравоохранении, или с письменного согласия субъекта.

Статья 11. Биометрические персональные данные:

В данном документе не упоминается обработка биометрических данных.

Статья 12. Трансграничная передача персональных данных:

В документе указано, что любая обработка всех полученных данных, включая персональные, производится на территории Российской Федерации.

4. Меры по обеспечению безопасности персональных данных

Оператор принимает следующие меры для обеспечения безопасности персональных данных:

Назначение должностных лиц, ответственных за организацию и обеспечение безопасности персональных данных.

Издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.

Определение угроз безопасности персональных данных.

Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона «О персональных данных» и требованиями других нормативных правовых актов.

Использование обезличивания персональных данных.

Осуществление внутреннего контроля соответствия обработки персональных данных законодательству.

Ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства и локальными актами.

Аттестация информационных систем персональных данных по требованиям безопасности информации.

Непрерывное совершенствование методов и способов обеспечения безопасности персональных данных.

5. Права субъекта персональных данных

Субъект персональных данных имеет право:

Требовать уточнения, блокирования или уничтожения своих персональных данных, если они неполные, устаревшие, недостоверные, незаконно полученные или не являются необходимыми для заявленной цели обработки.

Требовать перечень своих персональных данных, обрабатываемых Оператором, и источник их получения.

Получать информацию о сроках обработки и хранения своих персональных данных.

Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные данные, обо всех произведенных изменениях.

Обжаловать неправомерные действия или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6. Использование файлов Cookie и веб-трекинга

Цели использования Cookie: Облегчение получения информации о посещениях, анализ обобщенной информации, совершенствование Сайта, помощь в получении информации, предоставление персонализированного контента, определение количества посетителей и их поведения.

Типы Cookie:

Сеансовые: Удаляются после закрытия браузера.

Постоянные: Сохраняются на устройстве между сессиями.

Собственные: Размещаются администрацией Сайта.

Третьих лиц: Размещаются другими операторами (например, YouTube, Vimeo, Google Analytics).

Управление Cookie: Пользователь может изменить настройки браузера для отказа от файлов cookie, их удаления или получения предупреждения. Отказ может повлиять на удобство пользования Сайтом.

Анонимность: Сайт не использует программы для сбора персональных данных или IP-адресов отдельных лиц. Данные используются анонимно в сводной форме для статистических целей и разработки Сайта.

Google Analytics: Использует IP-адрес для распознавания Пользователя, но не проводит персональную идентификацию. Информация собирается анонимно для составления отчетов. Пользователь может отказаться от использования Google Analytics.