ПОЛИТИКА 

интернет-портала Medviser.ru в отношении обработки

персональных данных при организации медицинских консультаций

со специалистами и сведения о реализуемых требованиях к защите

персональных данных

 

1. Общие положения

1.1.     «Политика интернет-портала Medviser.ru в отношении обработки персональных данных при организации медицинских консультаций со специалистами и сведения о реализуемых требованиях к защите персональных данных» (далее – Политика) определяет общие принципы и порядок обработки персональных данных, меры по обеспечению их безопасности, принимаемые компанией «Медвайзер Оперейшнс Лимитед» (далее – Компания).

Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований законодательства Российской Федерации (далее – законодательство) в области обеспечения обработки и безопасности персональных данных российских граждан.

1.2.     Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», другими законодательными и нормативными правовыми актами, определяющими порядок работы с персональными данными российских граждан и требования к обеспечению их безопасности.

1.3.     В Политике используются следующие термины и определения:

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

врачебная тайна – сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении;

дата-центр – специализированная организация, предоставляющая услуги по размещению серверного и сетевого оборудования, сдаче серверов (в том числе виртуальных) в аренду, а также по подключению к сети Интернет;

доступ к персональным данным – ознакомление определенных лиц (в том числе работников Компании) с персональными данными субъектов, обрабатываемыми Компанией, при условии сохранения конфиденциальности этих сведений;

контрагент – сторона договора с Компанией;

конфиденциальность персональных данных – обязанность лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством;

медицинская услуга – комплекс мероприятий, направленных на поддержание и (или) восстановление здоровья, в том числе – проведение дистанционных (с использованием сети Интернет) консультаций, предоставление лечебно-профилактической и/или санитарно-эпидемиологической информации, иных услуг медицинского характера в соответствии с заключенным договором между Компанией Medviser Operations Limited от имени и за счет Пользователя в форме публичной оферты (далее – Оферта), акцептом которой является оплата заказанной медицинской услуги;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен на основании законодательства субъектом персональных данных либо по его просьбе, в том числе данные, которые подлежат обязательному раскрытию или опубликованию;

оператор –государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Пользователь – физическое лицо, зарегистрировавшееся и создавшее личный кабинет на Сайте, с целью получения услуг Специалистов с использованием телемедицинских технологий;

Посетитель –физическое лицо, посещающее Сайт, желающее ознакомиться с предлагаемыми на Сайте услугами, разместить заказ (заказы) на получение услуг выбранного им Специалиста;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

простая электронная подпись – электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. В Политике под простой электронной подписью понимается логин (адрес электронной почты) в совокупности с паролем, указанные Пользователем при регистрации на Сайте;

регистрационная форма – веб-форма на Сайте, используя которую Пользователи предоставляют Компании персональные данные, предусмотренные формой, и акцептуют Оферту об использовании услуг с использованием Сайта;

регистрация на Сайте – бесплатная, добровольная со стороны Пользователя процедура, заключающаяся в предоставлении Пользователем информации о себе;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Сайт – веб-сайт https://medviser.ru, размещенный в сети Интернет и являющийся коммуникационным порталом, объединяющий Пользователей, Посетителей и Специалистов в целях организации медицинских консультаций с использованием телемедицинских технологий; сведения о состоянии здоровья – анамнез сведений о результатах медицинского обследования, наличии заболевания, об установленном диагнозе и о прогнозе развития заболевания, методах оказания медицинской помощи, связанном с ними риске, возможных видах медицинского вмешательства, его последствиях и результатах оказания медицинской помощи;

Специалист – физическое лицо, имеющее все предусмотренные законодательством резидентства Специалиста правомочия заниматься лечебно-профилактической или санитарно-эпидемиологической деятельностью, а также надлежащим образом прошедшее процедуру регистрации на Сайте;

специальные категории персональных данных – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья;

субъект персональных данных – физическое лицо, к которому относятся персональные данные;

телемедицинские технологии – информационные технологии, обеспечивающие дистанционное взаимодействие медицинских работников между собой, с пациентами и (или) их законными представителями, идентификацию и аутентификацию указанных лиц, документирование совершаемых ими действий при проведении консилиумов, консультаций, дистанционного медицинского наблюдения за состоянием здоровья пациента;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

2. Статус Компании и категории субъектов, чьи персональные данные обрабатываются Компанией

2.1.      Компания является оператором персональных данных в отношении персональных данных следующих физических лиц:

  • физических лиц, зарегистрировавшихся и создавших личный кабинет на Сайте с целью получения услуг с использованием телемедицинских технологий (далее – Пользователи);
  • физических лиц, посещающих Сайт, но не зарегистрировавшихся и/или не авторизовавшихся на нем, и желающих ознакомиться с предлагаемыми на Сайте услугами, разместить заказ (заказы) на получение услуг выбранного ими Специалиста (далее – Посетители)
  • специалистов, разместивших информацию о себе на Сайте с целью оказания медицинских услуг Пользователям (далее – Специалисты).

Обработка персональных данных Специалистов, не являющихся гражданами Российской Федерации, осуществляется в соответствии с законодательством страны, в юрисдикции которой находится Компания.

2.2.      Компания не принимает на себя и не несет никакой ответственности за действия с персональными данными Пользователя после их передачи Специалистамв соответствии с его поручением, даваемым при заключении с Компанией договора об оказании медицинских услуг.

3. Принципы обработки персональных данных

Обработка персональных данных Компанией осуществляется в соответствии со следующими принципами:

3.1.     Законность и справедливая основа обработки персональных данных. Компания принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законодательством, не использует персональные данные во вред субъектам.

3.2.     Ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей. Целями обработки персональных данных Компанией являются:

  • в отношении Пользователей – организация оказания медицинских услуг Пользователям Специалистами, сведения о которых размещены на Сайте, по выбору Пользователя;
  • в отношении Посетителей – информирование о сервисах, предоставляемых Сайтом, получение статистической информации о Посетителях Сайта;
  • в отношении Специалистов – размещение информации о них на Сайте в целях предоставления им возможности оказания медицинских услуг Пользователям по их выбору.

3.3.     Обработка только тех персональных данных, которые отвечают заранее объявленным целям их обработки. Соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки. Недопущение обработки персональных данных, не совместимой с целями сбора персональных данных, а также избыточных по отношению к заявленным целям их обработки. Компания не собирает и не обрабатывает персональные данные, не требующиеся для достижения целей, указанных в п.3.2 Политики, не использует персональные данные субъектов в каких-либо целях, отличных от указанных выше.

3.4.     Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.

3.5.     Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных. Компания принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая, но не ограничиваясь, реализацией права каждого субъекта получать для ознакомления свои персональные данные, переданные им Компании и самостоятельно выполнять действия по их уточнению, изменению, обновлению и блокированию или уничтожению, требовать от Компании их блокирования, обезличивания или уничтожения без объяснения причин такого требования.

3.6.     Хранение персональных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством страны, в юрисдикции которой действует Компания.

3.7.     Уничтожение либо обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, отзыве согласия на обработку субъектом персональных данных, если иное не предусмотрено законодательством или договорами с субъектами.

Пользователь вправе самостоятельно уничтожить переданные им Компании персональные данные в своем личном кабинете в любое время по своему усмотрению или потребовать от Компании их уничтожения или обезличивания.

3.8.     Персональные данные Пользователя хранятся Компанией до момента уничтожения их Пользователем, отзывом Пользователем своего согласия на обработку персональных данных Компанией или выставления Пользователем требования об их уничтожении. В случае отзыва Пользователем согласия на обработку Компанией его персональных данных или выставления требования об уничтожении персональных данных путем направления его Компании в произвольной форме, в том числе по электронной почте, с указанием идентифицирующих Пользователя данных, указанных им при регистрации в личном кабинете, Компания уничтожает персональные данные в течение 30 дней с момента получения отзыва согласия или требования об уничтожении персональных данных.

4. Условия обработки персональных данных Пользователя

4.1.         Обработка Компанией персональных данных Пользователя осуществляется в случае регистрации Пользователя на Сайте, а также размещения им своих персональных данных, в том числе специальных категорий (сведений о состоянии здоровья) в личном кабинете на Сайте, и только для целей, указанных в п.3.2 Политики.

4.2.         Компания может использовать представленные Пользователем данные в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных, в том числе предоставлять их иным лицам в указанных целях без согласия Пользователя.

4.3.         Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством.

4.4.         Персональные данные Пользователей предоставляются Компанией только Специалистам, выбранным Пользователями, а в случае, если Пользователю будет оказываться медицинская помощь за рубежом, – также контрагентам Компании, организующим оказание такой помощи.

4.5.         Сведения, составляющие врачебную тайну, могут быть предоставлены Компанией другим лицам на территории Российской Федерации в случаях, предусмотренных законодательством.

4.6.         Компания осуществляет трансграничную передачу персональных данных на территорию стран, где находятся Специалисты, выбранные Пользователем для оказания им медицинских услуг.

4.7.         Компания осуществляет передачу персональных данных Пользователей после их записи в базу данных в дата-центре на территории Российской Федерации, а также после их актуализации (уточнения, изменения, обновления) в базе данных в дата-центре на территории Российской Федерации, в дата-центр за пределами Российской Федерации для предоставления к ним удаленного доступа с использованием сети Интернет Специалистам, определенным Пользователем.

5. Конфиденциальность персональных данных

5.1.     Работники Компании, получившие доступ к персональным данным Пользователей, обеспечивают конфиденциальность таких данных.

Обеспечение конфиденциальности не требуется в отношении персональных данных после их обезличивания.

5.2.     Компания размещает свою информационную систему персональных данных, в которой обрабатываются персональные данные Пользователей, в дата-центре на территории Российской Федерации. Договором, заключаемым Компанией с дата-центром, доступ персонала дата-центра к информационной системе персональных данных Компании не допускается, поэтому данное размещение не рассматривается Компанией как поручение дата-центру обработки персональных данных и не требует согласия субъектов.

6. Согласие Пользователя на обработку своих персональных данных

6.1.     Пользователь принимает решение о предоставлении своих персональных данных Компании и дает согласие на их обработку свободно, своей волей и в своем интересе. Даваемое Пользователем Компании согласие на обработку персональных данных является конкретным, информированным и сознательным.

6.2.     Компания, в соответствии с условиями Оферты, акцептуемой Пользователем при предоставлении своих персональных данных Компании с использованием личного кабинета, рассматривает логин и пароль Пользователя как аналог его собственноручной подписи – простую электронную подпись, порядок использования которой установлен Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи». Таким образом, согласие на обработку персональных данных специальных категорий – сведений о состоянии здоровья и на трансграничную передачу персональных данных Пользователя, в том числе в страны, не обеспечивающие адекватную защиту прав субъектов персональных данных, на территории которых находятся выбранные Пользователем Специалисты, которые будут оказывать ему медицинские услуги, включая Израиль. Германию и другие государства, даваемое Пользователем с использованием логина и пароля, рассматривается Компанией как равнозначное согласию, содержащему собственноручную подпись субъекта персональных данных и данному им в письменной форме, в соответствии с положениями части 4 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

6.3.      Согласие Посетителей на обработку их персональных данных, получаемых Компанией при использовании файлов cookie, дается путем принятия Посетителями условий раздела 7 Политики «Обработка файлов cookie»

6.4.      Согласие субъектов на предоставление их персональных данных не требуется при получении Компанией, в рамках установленных полномочий, мотивированных запросов от уполномоченных органов Российской Федерации: органов прокуратуры, правоохранительных органов, органов следствия и дознания, органов безопасности, службы судебных приставов и иных органов, которым законодательством предоставлено право запрашивать информацию, в том числе персональные данные граждан.

Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

6.5.     В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, Компания обязана получить согласие субъекта на предоставление его персональных данных и предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.

6.6.     Согласие на обработку персональных данных может быть отозвано субъектом персональных данных порядком, определяемым п.3.8 Политики.

7. Обработка файлов cookie

7.1.         Компания использует технические и маркетинговые файлы cookie, свои собственные и сторонних компаний. Посетитель, просматривающий страницы Сайта, рассматривается Компанией как согласившийся с условиями обработки файлов cookie, изложенными в данном разделе Политики.

7.2.         Пользователь, не согласный с тем, чтобы Компания использовала данный тип файлов, должен соответствующим образом установить настройки своего браузера или не посещать Сайт (не просматривать его страницы). В случае отключения поддержки файлов cookie, которые использует Компания, это может повлиять на возможности просмотра и использования страниц Сайта.

7.3.         Компания использует сервисы Google Analytics и Яндекс.Метрика, которые анализируют содержание файлов cookie и помогают оценить активность посетителей. Данные сервисы не получают и не собирают никакие сведения о личности Посетителя, а также сведения, позволяющие идентифицировать Посетителя как физическое лицо (установить его личность).

Сервисы получают данные на анонимной основе.

7.4.         Компания, как владелец Сайта, и указанные в п.7.3 сервисы могут передать полученные при анализе файлов cookie данные третьим лицам, в том числе для предоставления Посетителю таргетированной (направленной на него и построенной на основании анализа его предпочтений) рекламы. Продолжая просматривать страницы Сайта и не изменив настройки своего браузера, Посетитель соглашается с передачей указанных выше данных третьим лицам и получение таргетированной рекламы.

Компания не контролирует аналитические службы и никак не влияет на данный процесс.

7.5.         Посетитель осознает, что оборудование и программное обеспечение, используемые им для посещения Сайта, могут обладать функцией запрещения операций с файлами cookie (для любых сайтов или для определенных сайтов), а также удаления ранее полученных файлов cookie.

7.6.         Большинство интернет-браузеров изначально настроены автоматически принимать cookie. Посетитель может изменить настройки таким образом, чтобы блокировать cookie или получать предупреждения о том, когда файлы данного типа будут отправлены на устройство. Посетителю необходимо обратиться к инструкции браузера для того, чтобы узнать о том, как скорректировать или изменить его настройки

Если Посетитель использует различные устройства для просмотра и доступа к Сайту (например, компьютер, планшет, смартфон и т.д.), ему необходимо убедиться, что каждый браузер на каждом устройстве настроен в соответствии с его позицией относительно работы с файлами cookie.

8. Права Пользователей в отношении их персональных данных

8.1.     Пользователь имеет право на получение от Компании информации, касающейся обработки его персональных данных. Субъект персональных данных вправе в любой момент уточнить, изменить, обновить или уничтожить свои персональные самостоятельно или требовать от Компании уточнения его персональных данных, их блокирования или уничтожения, а также принимать предусмотренные законодательством меры по защите своих прав.

8.2.     Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

9. Сведения о реализуемых требованиях к защите персональных данных Пользователей

9.1. Защита персональных данных, обрабатываемых Компанией, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.9.2. Правовые меры включают:

  • обеспечение соответствия обработки персональных данных российских граждан на территории Российской Федерации, а также порядка трансграничной передачи персональных данных, требованиям законодательства;
  • отказ от любых способов обработки персональных данных, не соответствующих целям, заранее предопределенным Компанией и указанным в Политике.

9.3.     Организационные меры включают:

  • ограничение состава работников Компании, имеющих доступ к персональным данным Пользователей, и организацию разрешительной системы доступа к ним;
  • обучение всех категорий работников, непосредственно осуществляющих обработку персональных данных, правилам работы с ними и правилам обеспечения безопасности обрабатываемых данных;
  • определение в должностных инструкциях работников Компании обязанностей по обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного порядка;
  • регламентацию процессов обработки персональных данных;
  • определение угроз безопасности персональных данных при их обработке в информационных системах, расположенных на территории Российской Федерации, и формирование на их основе моделей угроз (в качестве такой модели угроз используется частная модель угроз, разработанная дата-центром, находящимся на территории Российской Федерации, который предоставляет Компании услуги хостинга информационной системы персональных данных);
  • размещение технических средств обработки персональных данных в пределах охраняемой территории дата-центра, находящегося на территории Российской Федерации;
  • ограничение допуска посторонних лиц в помещения дата-центра на территории Российской Федерации, недопущение их нахождения в помещениях, где ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников дата-центра.

9.4.     Технические меры включают:

  • реализацию дата-центром, находящимся на территории Российской Федерации, требований к обеспечению безопасности персональных данных, установленных не ниже, чем для 3-го уровня защищенности при условии признания актуальными типовых угроз 3-го типа, не связанных с наличием недекларированных возможностей системного и прикладного программного обеспечения, используемого дата-центром при оказании Компании услуг хостинга;
  • использование для нейтрализации актуальных угроз дата-центром, оказывающим Компании услуги хостинга на территории Российской Федерации, средств защиты информации, прошедших процедуру оценки соответствия;
  • оценку дата-центром, оказывающим Компании услуги хостинга на территории Российской Федерации, эффективности принимаемых мер по обеспечению безопасности персональных данных;
  • реализацию разрешительной системы доступа работников Компании к персональным данным, обрабатываемым в информационной системе;
  • выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети дата-центра, где размещена информационная система Компании и обеспечивающих соответствующую техническую возможность;
  • безопасное межсетевое взаимодействие (применение межсетевого экранирования);
  • обнаружение вторжений в информационную систему дата-центра, оказывающего Компании услуги хостинга на территории Российской Федерации, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
  • защиту передаваемых по незащищенным каналам связи, в том числе через сеть Интернет, персональных данных Пользователей, передаваемых ими Компании с использованием личных кабинетов, а также передаваемых Компанией Специалистам, с использованием протокола HTTPS;
  • возможность восстановление персональных данных Пользователей, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (система резервного копирования и восстановления персональных данных, предоставляемая Компанией дата-центом, где размещена информационная система Компании);
  • контроль дата-центром, оказывающим Компании услуги хостинга на территории Российской Федерации, за выполнением перечисленных выше требований (самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации) не реже 1 раза в 3 года.

9.5.     Выполнение дата-центром, оказывающим Компании услуги хостинга на территории Российской Федерации, организационных и технических мер, перечисленных в п.п.8.3 и 8.4 Политики, включается в договор между Компанией и дата-центром в качестве его существенных условий.