Настоящая Политика в отношении обработки персональных данных (далее– «Политика») определяет общие принципы и порядок обработки персональных данных (далее – ПДн) ООО «Лучи Здоровье».

Политика является общедоступным документом. Его текст размещен по адресу: https://luchi.ru/legal/general-data-policy/.

Используемые термины

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту Персональных данных).

Обработка Персональных данных (Обработка) – любое действие (операция) или совокупность действий (операций) с Персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление и уничтожение Персональных данных.

Оператор – ООО «Лучи Здоровье» (ОГРН: 1157154006767, адрес: 121205, г. Москва, вн. тер. г. Муниципальный округ Можайский, тер. Сколково инновационного центра, ул. Нобеля, д. 7, этаж/помещ. 4 / V, часть ком. / раб. место 57 / 3).

Информационная система Персональных данных – совокупность содержащихся в базах данных Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Сервис Оператора – программное обеспечение Оператора, состав и условия предоставления которого определены в соответствии с Лицензионным соглашением, размещенным по адресу: https://luchi.ru/legal/licence/

Cookie-файлы – информация, которая может содержать следующие сведения о субъекте Персональных данных: IP-адрес устройства, данные геолокации, информацию о программе, с помощью которой осуществляется доступ к сайту Оператора, технические характеристики оборудования и программного обеспечения, которое использует субъект, дата и время доступа к сайту Оператора, а также иные подобные сведения.

Иные термины толкуются в соответствии с положениями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Используемые сокращения

152-ФЗ – Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных».

ИСПДн – информационная система персональных данных.

Оператор, Общество – ООО «Лучи Здоровье».

ПДн – персональные данные.

Политика – Политика в отношении обработки персональных данных ООО «Лучи Здоровье».

1.1.Настоящая Политика в отношении обработки персональных данных (далее– «Политика») определяет общие принципы и порядок обработки персональных данных (далее – ПДн) ООО «Лучи Здоровье».

1.2.Политика является общедоступным документом. Его текст размещен по адресу:https://luchi.ru/legal/general-data-policy/.

1.3.Политика разработана в соответствии с положениями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами в области сбора и обработки ПДн (далее –«Законодательство») и определяет порядок работы с ПДн, которые Оператор собирает и обрабатывает в рамках своей хозяйственной деятельности.

1.4.Общество является Оператором ПДн в соответствии с Законодательством РФ в области ПДн. Оператор ПДн организует и осуществляет обработку ПДн, а также определяет цели обработки ПДн, состав подлежащих обработке ПДн и действия (операции), совершаемые с ПДн.

1.5.Неотъемлемой частью Политики является Политика обработки персональных данных Пользователей Сервисов ООО «Лучи Здоровье», доступная по адресу: https://luchi.ru/legal/data-policy/.

1.6.Субъект ПДн вправе:

1.6.1. Принимать решение о предоставлении своих ПДн Оператору и давать согласие на их Обработку свободно, своей волей и в своем интересе.

1.6.2. Получать информацию, касающуюся Обработки его ПДн.

1.6.3. Требовать от Оператора уточнения ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели Обработки.

1.6.4. Обжаловать действия (бездействие) Оператора, осуществляющего Обработку ПДн с нарушением требований Законодательства или иным образом нарушающего его права и свободы, в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

1.6.5. Принимать предусмотренные законом меры по защите своих прав и законных интересов, в том числе путем возмещения убытков и (или) компенсации морального вреда в судебном порядке.

1.7.Оператор обязан:

1.7.1. Принимать меры, необходимые и достаточные для соблюдения прав субъектов ПДн и выполнения обязанностей, предусмотренных Законодательством.

1.7.2. Назначить лицо, ответственное за Обработку ПДн.

1.7.3. Принять внутренние документы по вопросам Обработки ПДн и обеспечению их безопасности.

1.7.4. Ознакомить работников с внутренними документами по вопросам Обработки ПДн под подпись в случаях, прямо предусмотренных Законодательством.

1.7.5. Проводить обучение работников на регулярной основе и доводить до них требования Законодательства.

1.7.6. Проводить внутренние проверки на регулярной основе и контролировать, чтобы процессы Обработки ПДн соответствовали Законодательству.

1.7.7. Регулярно проводить оценку вреда, который может быть причинен субъектам ПДн в случае нарушения их прав и требований Законодательства.

1.7.8. Предоставить субъекту ПДн информацию, касающуюся Обработки его ПДн при получении запроса от такого субъекта.

1.7.9. Прекратить Обработку в случае выявления фактов неправомерной Обработки ПДн.

1.7.10.Уничтожить ПДн в порядке, установленном Законодательством в случае, если обеспечить правомерность Обработки ПДн невозможно.

1.7.11.Осуществить блокирование ПДн и уточнить их в порядке, установленном Законодательством, в случае выявления факта неточности ПДн.

2.1.Обработка ПДн Оператором осуществляется на основе следующих принципов:

2.1.1. ПДн обрабатываются на законной и справедливой основе;

2.1.2. ПДн обрабатываются до достижения конкретных, заранее определённых и законных целей. Оператор не допускает обработки ПДн, несовместимых с целями сбора ПДн;

2.1.3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

2.1.4. Обрабатываются только ПДн, отвечающие заявленным целям их обработки;

2.1.5. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки;

2.1.6. При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных;

2.1.7. ПДн хранятся в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом либо договором,стороной которого,выгодоприобретателем или поручителем по которому является субъект ПДн;

2.1.8. Обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.2.Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн или иного основания, предусмотренного федеральным законом.

3.1.Общество обрабатывает ПДн в следующих случаях:

3.1.1. Обязанности по закону – обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

3.1.2. Договор – обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.

3.1.3. Согласие – обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

3.1.4. Защита жизни – обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

3.1.5. Законный интерес – обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях",либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы.

3.1.6. Обязательное опубликование по закону – осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

3.1.7. Участие в суде – обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.

3.1.8. Исполнение акта по закону – обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица,подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

3.2.Общество обрабатывает ПДн во исполнение следующих целей:

3.2.1. подбор персонала на замещение вакантных должностей;

3.2.2. управление персоналом, в том числе ведение кадрового учета и обеспечения соблюдения трудового законодательства РФ, ведение воинского учета и миграционного учета, расчет и выплата заработной планы и иных финансовых начислений, ведение бухгалтерского и налогового учета в отношении персонала,содействия работникам в выполнении своих функциональных обязанностей,карьерного продвижения по работе, контроля количества и качества выполняемой работы;

3.2.3. обеспечение продуктивности, развития и безопасности персонала, в том организация обучения работников, предоставление корпоративной техники,систем и сервисов, организация пропускного режима на территорию оператора,обеспечение безопасности труда;

3.2.4. поддержка и мотивация персонала, в том числе предоставление льгот и сервисов работникам, предоставление добровольного медицинского и иных видов страхования;

3.2.5. сопровождение и поддержка основной деятельности в соответствии с требованиями действующего законодательства РФ, в том числе ведение договорной работы с контрагентами, организация закупочных процедур и участия в закупочных процедурах, осуществления финансовых расчетов с контрагентами и ведение соответствующего бухгалтерского и налогового учета, участие во внесудебном и судебном урегулировании споров, организация документооборота,ведение и направление необходимой отчетности в органы государственной власти, исполнение требований и предписаний государственных органов, исполнение судебных актов, рассмотрение обращений клиентов и контрагентов;

3.2.6. совершенствование и развитие деятельности, в том числе контроль качества обслуживания клиентов; продвижение товаров, работ, услуг на рынке; персонализация сервисов и повышение удобства использования сайта и сервисов Оператора пользователями и клиентами и отслеживание посещаемости страниц сайта;

3.2.7. Ведение деятельности в соответствии с уставом (осуществление исследовательской деятельности и коммерциализации ее результатов): Разработка, реализация, сервисное сопровождение собственной продукции (включая программное обеспечение, сопутствующие услуги); Исполнение договоров, направленных на коммерциализацию результатов исследовательской деятельности (собственных разработок), в том числе оказание и организация оказания услуг в сфере здоровья, организация страхования.

3.3.Цели обработки ПДн могут быть детализированы с учетом необходимости оценки соответствия порядка обработки ПДн требованиям Законодательства РФ о ПДн и (или) разработки рекомендаций по совершенствованию порядка обработки ПДн.

3.4.Для каждой цели обработки ПДн определены категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн. Указанные сведения зафиксированы в Перечне обрабатываемых персональных данных в Обществе.

4.1.Общество обрабатывает ПДн как без использования средств автоматизации, так и с использованием средств автоматизации.

4.2.Общество обрабатывает специальные категории ПДн, а именно сведения о состоянии здоровья. Обработка указанных ПДн может осуществляться в следующих случаях:

4.2.1. субъект ПДн дал согласие в письменной форме на обработку своих ПДн;

4.2.2. обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи,трудовым законодательством,пенсионным законодательством РФ;

4.2.3. обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно.

4.3.Общество не обрабатывает биометрические ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

4.4.Общество ведет Перечень лиц, которые обрабатывают ПДн по поручению Оператора и которым осуществляется передача ПДн (далее – Перечень третьих лиц). Выдержка из Перечня третьих лиц приведена по адресу: https://luchi.ru/allclinics/.

4.5.Общество вправе поручить обработку ПДн третьему лицу, с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение обработки ПДн). Лицо, осуществляющее обработку ПДн по поручению Общества, обязано соблюдать принципы и правила обработки ПДн, предусмотренные 152-ФЗ, соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ.

4.6.Общество поручает обработку ПДн третьим лицам только по необходимости, для достижения заявленных целей обработки и только ПДн, соответствующие заявленным целям обработки ПДн.

4.7.Третье лицо, которому Общество передает ПДн или предоставляет доступ к ПДн, обязано:

4.7.1. ограничить обработку ПДн достижением целей оказания услуг и не допускать обработку ПДн, несовместимую с целями их сбора;

4.7.2. соблюдать принципы и правила обработки ПДн, предусмотренные 152-ФЗ, в том числе обеспечивать конфиденциальность ПДн и безопасность ПДн их обработке.

4.8.Указанные в п.4.8. обязанности должны быть существенным условием договора или соглашения о неразглашении информации между третьим лицом и Обществом. Передача ПДн третьему лицу без указания соответствующих обязанностей в договоре или соглашении о неразглашении информации запрещена.

4.9.Оператор может передавать ПДн субъекта без его согласия также следующим лицам:

4.9.1. Государственным органам, в том числе органам дознания и следствия, органам местного самоуправления по их мотивированному запросу.

4.9.2. Иным лицам, передача ПДн которым прямо предусмотрена Законодательством.

4.10. При принятии решений, затрагивающих интересы субъекта ПДн, Общество не основывается на ПДн, полученных исключительно в результате их автоматизированной обработки, за исключением случаев, предусмотренных законодательством РФ в области ПДн.

4.11. При получении согласия на обработку ПДн Общество оформляет согласия на обработку ПДн отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект ПДн.

4.12. Общество взаимодействует с уполномоченным органом по защите прав субъектов ПДн в соответствии с требованиями статьи 23 152-ФЗ.

4.13. Общество взаимодействует с субъектами ПДн в соответствии с требованиями статьи 14 и статьи 20 152-ФЗ.

4.14. Общество обеспечивает безопасность ПДн в порядке, предусмотренном Законодательством РФ о ПДн, в том числе путем:

4.14.1. определения угроз безопасности ПДн при их обработке в ИСПДн;

4.14.2. применения организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн при их обработке в ИСПДн;

4.14.3. учета машинных носителей ПДн;

4.14.4. обнаружения фактов несанкционированного доступа к ПДн и принятием мер по их защите;

4.14.5. установления правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета действий, совершаемых с ПДн в ИСПДн;

4.14.6. контроля за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ПДн при их обработке в ИСПДн;

4.15. Общество выполняет организационные меры по обеспечению безопасности ПДн, в том числе:

4.15.1. повышение осведомленности работников Общества по вопросам обеспечения защиты ПДн при их обработке;

4.15.2. своевременное выявление нарушений работниками Общества требований к обеспечению конфиденциальности;

4.15.3. все лица, допущенные к обработке ПДн, подписывают обязательство о неразглашении информации, в том числе ПДн, и (или) заключают договор, содержащий требования об обеспечении безопасности ПДн, а также должны ознакомиться с настоящим Политикой;

4.15.4. проведение внутренних проверок порядка обработки ПДн требованиям Законодательства РФ о ПДн на регулярной основе;

4.15.5. проведение регулярной оценки вреда, который может быть причинен субъектам ПДн в случае нарушения их прав и требований Законодательства РФ о ПДн;

4.15.6. реализация процедур по управлению доступом к ИСПДн.

4.16. Оператор прекращает Обработку ПДн при достижении целей Обработки в случае истечения срока действия согласия на Обработку или отзыва субъектом своего согласия на Обработку, а также в случае выявления неправомерной Обработки ПДн. Оператор имеет право продолжить Обработку ПДн в случаях, предусмотренных Законодательством.

4.17. ПДн хранятся и обрабатываются в течение срока, необходимого для достижения заявленных целей Обработки или в течение срока, установленного соглашением с субъектом ПДн.

4.18. Оператор обеспечивает нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись,систематизация, накопление, хранение, уточнение (обновление, изменение),извлечение ПДн граждан Российской Федерации.

4.19. Для корректности работы сайта Оператора используются cookie-файлы. Cookie-файлы, используемые сайтом Оператора, можно условно разделить на четыре вида:

4.19.1. необходимые – без таких cookie надлежащее функционирование сайта невозможно;

4.19.2. отвечающие за эффективность – данные cookie помогают разработчикам Оператора оценивать эффективность работы сайта, оптимизировать его дизайн и в целом делать его более удобным и современным. С их помощью также собирается статистика посещений различных страниц сайта и анализируются способы перехода на страницу;

4.19.3. отвечающие за функциональные возможности – эти cookie позволяют запомнить выбранные пользователем настройки, которые будут автоматически активизированы при последующих посещениях им сайта;

4.19.4.статистические – эти cookie помогают понять, как пользователь взаимодействует с сайтом Общества.

4.20. Пользователь сайта Оператора имеет право отказаться от обработки данных с использованием файлов cookie, отключив их сбор в настройках своего веб-браузера. После отключения функции использования с файлов cookie в веб-браузере возможна некорректная работа некоторых разделов сайта Оператора. Инструкции по управлению файлами cookie в браузере можно найти в справочной службе браузера.

5.1.Субъект ПДн может реализовать свои права на получение сведений, касающихся обработки его ПДн Оператором, следующими способами:

5.1.1. направить обращение в Сервисе Оператора;

5.1.2. направить заявление, подписанное согласно законодательству РоссийскойФедерации в области электронной подписи, на электронную почту Оператора privacy@luchi.ru;

5.1.3. направить заявление Оператору заказным письмом с уведомлением о вручении;

5.1.4. передать заявление под расписку представителю Оператора.

5.2.В соответствии с частью 3 статьи 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» запрос субъекта ПДн (или его представителя) должен содержать:

5.2.1. номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

5.2.2. сведения, подтверждающие участие субъекта ПДн в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн оператором;

5.2.3. подпись субъекта ПДн или его представителя.

5.3.Субъект ПДн вправе в любой момент уточнить (обновить, изменить) ПДн путем направления обращения в Сервис Оператора.

5.4.Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели Обработки, а также принимать предусмотренные Законодательством меры по защите своих прав.

5.5.При получении запроса субъекта о получении информации, касающейся Обработки ПДн, Оператор обязуется безвозмездно в доступной форме в течение 10 (десяти) рабочих дней предоставить субъекту такую информацию либо дать в письменной форме мотивированный ответ, содержащий ссылку на положения федерального закона (законов), являющиеся основанием для отказа в предоставлении информации.

5.6.В случае выявления случаев неправомерной Обработки ПДн Оператор обязуется прекратить такую Обработку. Если обеспечить правомерность Обработки ПДн невозможно, Оператор обязуется уничтожить такие ПДн в порядке, установленном Законодательством.

5.7.В случае выявления факта неточности ПДн Оператор обязуется осуществить блокирование таких ПДн и уточнить их в порядке, установленном Законодательством.

5.8.Если субъект считает, что Оператор осуществляет Обработку ПДн с нарушением требований Законодательства или иным образом нарушает его права и свободы, субъект вправе обратиться с претензией к Оператору, а также обжаловать действия или бездействие Оператора в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке.

5.9.Субъект имеет право на отзыв согласия на Обработку ПДн (в случае, если такое согласие было дано Оператору) следующими способами:

5.9.1. направить обращение в Сервисе Оператора;

5.9.2. направить заявление, подписанное согласно законодательству Российской Федерации в области электронной подписи, на электронную почту Оператора privacy@luchi.ru;

5.9.3. направить заявление Оператору заказным письмом с уведомлением о вручении;

5.9.4. передать заявление под расписку представителю Оператора.

5.10. При получении Оператором запроса, содержащего отзыв согласия субъекта на Обработку ПДн, в течение 30 (тридцати) календарных дней с момента его получения Оператор обязан удалить ПДн и прекратить их Обработку, за исключением случаев, прямо предусмотренных Законодательством, допускающих Обработку ПДн в отсутствие согласия субъекта, а также случаев, когда иной срок на прекращение Обработки и уничтожение ПДн установлен соглашением с субъектом ПДн.

6.1.Лица, виновные в нарушении норм, регулирующих обработку и защиту ПДн,привлекаются к дисциплинарной, материальной, гражданско-правовой,административной и уголовной ответственности в порядке, установленном Трудовым кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Уголовным кодексом Российской Федерации и иными федеральными законами.

7.1.К Политике и отношениям между субъектами ПДн и Оператором, возникающим в связи с Политикой, подлежит применению право Российской Федерации.

7.2.Если по тем или иным причинам одно или несколько положений Политики будут признаны недействительными или не имеющими юридической силы, это не оказывает влияния на действительность или применимость остальных положений Политики.

7.3.Оператор вправе вносить изменения в Политику в одностороннем порядке.