ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ООО «Измерение Здоровья»

(утверждена приказом генерального директора ООО «Измерение Здоровья» №07/06/2019 от 07.06.2019)


Дата публикации: 07 июня 2019 г.



1. Общие положения


1.1.Настоящий документ (далее – «Политика») определяет политику Общества с ограниченной ответственностью «Измерение Здоровья» (далее – «Оператор» или «Общество») в области обработки персональных данных и действует в отношении всех персональных данных, которые Оператор может получить от субъекта персональных данных в связи с использованием последним, как от своего лица, так и в интересах третьих лиц, услуг и/или приобретением товаров у Оператора:


1.2.Действие настоящей Политики не распространяется на отношения, возникающие при обработке персональных данных сотрудников Оператора и/или соискателей вакантных должностей Общества, поскольку такие отношения урегулированы отдельным локальным актом Общества.

1.3.Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».


2. Термины и принятые сокращения


2.1.Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2.Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:


2.3.Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.4.Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.5.Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.6.Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.7.Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.8.Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.9.Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.10.Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.


3. Цели обработки персональных данных


3.1.Обработка персональных данных осуществляется в связи с осуществлением Оператором деятельности, предусмотренной его учредительными документами, с учетом специфики его бизнес-процессов. Основными целями обработки персональных данных являются:

3.1.1.Заключение и исполнение гражданско-правовых договоров на оказание услуг и реализацию товаров Оператором.

3.1.2.Предоставление доступа к информации и услугам, представленным на Сайте и в Мобильном приложении.

3.1.3.Обеспечение субъектам ПД возможности взаимодействовать с Сайтом и Мобильным приложением, в частности, получать доступ и осуществлять навигацию по Сайту, регистрацию на Сайте/в Мобильном приложении, направлять уведомления, комментарии, запросы Обществу.

3.1.4.Получение субъектами ПД обратной связи от Общества, в том числе, уведомлений, ответов, информации о статусе заказов, предложениях Общества и/или его партнеров.

3.1.5.Предоставление субъектам ПД доступа к персонализированным ресурсам Сайта/Мобильного приложения, в том числе специальным предложениям, любым информационным сообщениям, включая рекламу и иные сведения от имени Общества или партнеров Общества, предоставление доступа на сайты или сервисы партнеров Общества, в соответствии с пользовательскими соглашениями.

3.1.6.Оформление заказов на сайте Общества и заключения соответствующих договоров с Обществом и их исполнения, в том числе, с привлечением третьих лиц, включая службы доставки, колл-центры, провайдеров интернет-связи, хостинга, услуг по хранению и обработке клиентских данных, систем управления продажами и коммуникациями с клиентами и т.п.

3.1.7.Ведение Обществом бухгалтерского и налогового учета и отчетности.

3.1.8.Защита Обществом своих законных прав и интересов.

3.1.9.Отображение данных субъекта ПД в интерфейсе пользователя на Сайте/в Мобильном приложении.

3.1.10.Профайлинг и оптимизация рекламы, повышение осведомленности посетителей Сайта Общества/пользователей Мобильного приложения/клиентов и контрагентов Общества о продуктах и услугах Общества, а также информирование их об услугах Общества и его контрагентов путем осуществления прямых контактов со субъектами ПД с помощью средств связи, участия в проводимых Обществом акциях, опросах, исследованиях (включая, в числе прочего, проведение опросов, исследований посредством электронной, телефонной и сотовой связи).

3.1.11.Иные цели, прямо или косвенно связанные с заключением субъектом персональных данных или по его поручению договоров с Обществом, использованием им каких-либо услуг или сервисов Общества, принятием решений или совершением Обществом иных действий, порождающих юридические последствия в отношении субъекта ПД.

3.1.12.Оказания услуг по аналитической обработке данных с пульсометров Engy Beat и вывода результатов обработки в пользовательский интерфейс субъекта этих данных в Мобильном приложении.

3.2.Конкретные и детальные цели обработки персональных данных изложены в текстах согласий на обработку персональных данных, расположенных на ресурсах Оператора, через которые осуществляется сбор соответствующих персональных данных.


4. Правовые основания обработки персональных данных.


4.1.Правовым основанием обработки персональных данных являются:

4.2.Обработка персональных данных осуществляется:


5. Объем и категории обрабатываемых ПД, категории субъектов ПД


5.1.Категория 1: физические лица - пользователи Мобильного приложения. Обрабатываемые персональные данные для Категории 1:

5.2.Категория 2: физические лица – посетители Сайта. Обрабатываемые персональные данные для Категории 2:

5.3.Категория 3: физические лица, с которыми заключен либо предполагается к заключению договор гражданско-правового характера. Обрабатываемые персональные данные для Категории 3:

5.4.Категория 4: представители/законные представители/работники клиентов и контрагентов оператора (юридических лиц, ИП, физических лиц). Обрабатываемые персональные данные для Категории 3:

5.5.Данные, собираемые для Категории 1, а именно: вес, рост, артериальное давление (средний показатель), пульс - обрабатываются исключительно с целью оказания услуг по аналитической обработке данных с пульсометров Engy Beat и вывода результатов обработки в пользовательский интерфейс субъекта этих данных в Мобильном приложении. Эти данные не используются для идентификации субъектов ПД.


6. Порядок и условия обработки персональных данных


6.1.Сбор персональных данных

6.1.1.Персональные данные получаются непосредственно от субъекта либо с его предварительного разрешения через сторонние ресурсы или третьих лиц.

6.1.2.Оператор начинает обработку ПД Субъекта с момента получения его согласия.

6.1.3.Согласие на обработку ПД может быть дано Субъектом ПД в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом ПД конклюдентных действий.

В частности, согласие на обработку ПДН считается предоставленным Субъектом посредством совершения Субъектом ПД следующих конклюдентных действий на Сайте и в Мобильном приложении: проставление «галочки» в специальном поле при оформлении заказа и нажатии кнопки «Согласен(-на) с Политикой обработки персональных данных» в Мобильном приложении и «Я согласен с условиями обработки персональных данных» на Сайте.

6.1.4.В случае отсутствия согласия Субъекта на обработку его ПД такая обработка не осуществляется.

6.1.5.Получение Оператором персональных данных от иных лиц, а равно передача поручения по обработке ПД осуществляется на основании договора, содержащего условия о порядке обработки и сохранения конфиденциальности полученных ПД.

6.1.6.Оператор сообщает субъекту ПД о целях обработки, предполагаемых источниках и способах их получения, характере подлежащих получению ПД, перечне действий с ними, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать согласие на их получение.

6.1.7.Документы, содержащие персональные данные, создаются путем:


6.2.Действия, осуществляемые с персональными данными

6.2.1.Обработка персональных данных ведется:


6.2.2.Способы обработки ПД включают осуществление любых действий с ПД в соответствии с действующим законодательством РФ, включая:


6.3.Хранение персональных данных.

6.3.1.ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как в электронном виде, так и на бумажных носителях.

6.3.2.ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа. ПД субъектов, обрабатываемые в разных целях, хранятся в разных папках.

6.3.3.Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.

6.3.4.Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

6.3.5.Срок хранения персональных составляет:


6.4.Прекращение обработки персональных данных и их уничтожение.

6.4.1.Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

6.4.2.Субъект ПД может отозвать согласие на обработку своих персональных данных, направив соответствующий запрос на адрес электронной почты Оператора: info@engy.app. Отзыв будет считаться совершенным (момент отзыва) по истечении 30 (Тридцати) рабочих дней с даты получения соответствующего письма Оператором. При этом такой отзыв не влияет на законность обработки, осуществлявшейся до момента отзыва.

6.4.3.При наступлении одного из условий прекращения обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

6.4.4.Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

6.4.5.ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.

6.4.6.Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.

6.5.Передача персональных данных.

6.5.1.Оператор передает ПД третьим лицам, включая трансграничную передачу данных, в следующих случаях:


6.5.2 Третьи лица, которым передаются персональные данные:


7. Защита персональных данных


7.1.В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

7.2.Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

7.3.Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

7.4.Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.

7.5.Основными мерами защиты ПД, используемыми Оператором, являются:

7.5.1.Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.

7.5.2.Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.

7.5.3.Разработка политики в отношении обработки персональных данных.

7.5.4.Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.

7.5.5.Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

7.5.6.Применение соответствия средств защиты информации, прошедших в установленном порядке процедуру оценки.

7.5.7.Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

7.5.8.Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.

7.5.9.Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

7.5.10.Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

7.5.11.Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документом, определяющим политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

7.5.12.Осуществление внутреннего контроля и аудита.


8. Основные права и обязанности субъекта персональных данных и Оператора


8.1.Права субъекта персональных данных. Субъект ПД имеет право:

8.1.1.на доступ к его персональным данным и следующим сведениям:

8.1.2.на обжалование действий или бездействия Оператора;

8.1.3.на исправление или уничтожение своих персональных данных;

8.1.4.на ограничение на обработку своих персональных данных;

8.1.5.возражать против обработки своих персональных данных;

8.1.6.потребовать у Общества переноса своих персональных данных, в том числе к другому оператору.

Для осуществления прав, указанных в п.п. 8.1.1-8.1.6 субъект ПД направляет соответствующий запрос на адрес электронной почты Оператора: info@engy.app.

8.2.Обязанности субъекта персональных данных. Субъект персональных данных обязан:

8.2.1.передавать Оператору достоверные персональные данные. Оператор вправе проверять достоверность предоставленных ПД в порядке, не противоречащем законодательству РФ, однако он исходит из того, что Субъект ПД предоставляет достоверные и достаточные ПД для осуществления целей их обработки и поддерживает эту информацию в актуальном состоянии;

8.2.2.своевременно сообщать Оператору об изменении своих ПД.

8.2.3.субъект ПД принимает решение о предоставлении своих ПД и дает согласие на их обработку свободно, своей волей и в своем интересе.

8.3.Обязанности Оператора. Оператор обязан:

8.3.1.при сборе ПД предоставить информацию об обработке ПД;

8.3.2.в случаях, если ПД были получены не от субъекта ПД, уведомить об этом субъекта;

8.3.3.при отказе в предоставлении ПД субъекту ПД разъясняются последствия такого отказа;

8.3.4.опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;

8.3.5.принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;

8.3.6.давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.


9. Заключительные положения


9.1.Настоящая Политика действует для Оператора с даты ее утверждения, для остальных лиц – с даты опубликования на Сайте. Дата опубликования указана в начале документа.

9.2.Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции («Дата публикации»). Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики.

9.3.Если Пользователь не согласен с условиями настоящей Политики, то он должен немедленно направить Оператору требование об удалении его ПД и прекратить использование Сайта и Мобильного приложения, в противном случае продолжение использования Пользователем Сайта и/или Мобильного приложения означает, что Пользователь согласен с условиями настоящей Политики.

9.4.В случае изменения применимого законодательства, внесения изменений в нормативные акты по защите персональных данных настоящая Политика действует в части, не противоречащей действующему законодательству до приведения ее в соответствие с такими изменениями.