Политика в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных определяет порядок обработки и защиты персональных данных в ООО «Клуб здоровья и красоты».

1.2. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Федеральным законом от 13.03.2006 № 38-ФЗ «О рекламе» и иными нормативными правовыми актами Российской Федерации.

1.3. Цель настоящей Политики — обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных, включая защиту права на неприкосновенность частной жизни, личную и семейную тайну.

1.4. Настоящая Политика применяется ко всем персональным данным, которые Оператор получает через сайт, по телефону, через мессенджеры, по электронной почте, при личном обращении, при заключении и исполнении договоров, при оказании медицинских и иных услуг, а также при взаимодействии с работниками, соискателями, контрагентами и иными лицами.

2. Сведения об Операторе

2.1. Оператор персональных данных: Общество с ограниченной ответственностью «Клуб здоровья и красоты».

2.2. Сокращенное наименование: ООО «Клуб здоровья и красоты».

2.3. ИНН: 7802543156; ОГРН: 1157847335029.

2.4. Адрес места нахождения: 194358, г. Санкт-Петербург, проспект Просвещения, дом 15, корпус 1, литера А, помещение 87Н.

2.5. Адрес обособленного подразделения: 194358, г. Санкт-Петербург, Выборгское шоссе, дом 17, корпус 1, помещение 52Н.

2.6. Телефон: 8 (812) 407-37-99.

2.7. Email для обращений по вопросам персональных данных: buch@mywellpoint.ru.

2.8. Сайт: https://wellpointclinic.ru/.

2.9. Лицензия на осуществление медицинской деятельности: № Л041-01148-78/00318917 от 30.01.2018.

3. Основные понятия

3.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

3.2. Оператор — ООО «Клуб здоровья и красоты», самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку персональных данных.

3.3. Субъект персональных данных — физическое лицо, к которому относятся персональные данные.

3.4. Обработка персональных данных — любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение.

3.5. Специальные категории персональных данных — сведения, касающиеся состояния здоровья, медицинских обращений, результатов обследований, назначений, противопоказаний, жалоб, анамнеза и иных медицинских сведений.

3.6. Врачебная тайна — сведения о факте обращения гражданина за медицинской помощью, состоянии его здоровья, диагнозе и иные сведения, полученные при медицинском обследовании и лечении.

3.7. Сайт — интернет-сайт Оператора, расположенный по адресу https://wellpointclinic.ru/

4. Принципы обработки персональных данных

4.1. Обработка персональных данных осуществляется на законной и справедливой основе.

4.2. Обработка ограничивается достижением конкретных, заранее определенных и законных целей.

4.3. Не допускается обработка персональных данных, несовместимая с целями их сбора.

4.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых целях.

4.5. Обрабатываются только те персональные данные, которые отвечают целям обработки.

4.6. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.

4.7. При обработке обеспечиваются точность, достаточность и актуальность персональных данных.

4.8. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки, если иной срок не установлен законодательством Российской Федерации, договором или согласием субъекта персональных данных.

5. Категории субъектов персональных данных

5.1. Оператор может обрабатывать персональные данные посетителей сайта, пациентов и потенциальных пациентов, представителей пациентов, пользователей, направляющих обращения через формы сайта, лиц, записывающихся на прием через сайт, телефон, мессенджеры, сервис онлайн-записи или иные каналы, лиц, оставляющих отзывы, участников бонусных и информационных программ, получателей рекламных и информационных сообщений, работников, бывших работников, соискателей, контрагентов, представителей контрагентов, поставщиков, подрядчиков и иных лиц, взаимодействующих с Оператором.

6. Категории обрабатываемых персональных данных

6.1. В зависимости от цели обработки Оператор может обрабатывать следующие категории персональных данных:

6.2. Данные посетителей сайта

• IP-адрес;
• cookie;
• сведения о браузере;
• сведения об устройстве;
• сведения об операционной системе;
• разрешение экрана;
• источник перехода;
• посещенные страницы;
• дата и время посещения;
• действия на сайте;
• технические идентификаторы;
• иные пользовательские и технические данные.

6.3. Данные пользователей, направляющих заявки и обращения

• имя;
• фамилия;
• отчество, если указано;
• телефон;
• email;
• выбранная услуга;
• выбранный врач или специалист;
• желаемая дата и время записи;
• содержание обращения;
• комментарий к заявке;
• сведения, предоставленные Пользователем добровольно;
• дата и время обращения;
• источник обращения.

6.4. Данные пациентов и представителей пациентов

• фамилия, имя, отчество;
• дата рождения;
• пол;
• телефон;
• email;
• адрес, если необходим для исполнения договора или ведения медицинской документации;
• сведения о записи на прием;
• сведения о выбранной медицинской услуге;
• сведения о факте обращения за медицинской помощью;
• сведения о состоянии здоровья;
• жалобы, анамнез, диагноз, назначения, противопоказания, результаты обследований и иные медицинские сведения;
• сведения, необходимые для заключения и исполнения договора оказания платных медицинских услуг;
• сведения о законном представителе пациента, если применимо.

6.5. Данные лиц, оставляющих отзывы

• имя;
• фамилия, если указана;
• телефон;
• email;
• текст отзыва;
• сведения об оказанной услуге;
• сведения о враче или специалисте;
• фото, видео или изображение, если предоставлены;
• иные сведения, добровольно указанные субъектом.

6.6. Данные получателей рекламных и информационных сообщений

• имя;
• телефон;
• email;
• сведения о согласии на получение сообщений;
• выбранный канал коммуникации;
• история направления сообщений;
• сведения об отказе от рассылки.

6.7. Данные работников, бывших работников и соискателей

• фамилия, имя, отчество;
• дата рождения;
• место рождения;
• гражданство;
• паспортные данные;
• адрес регистрации и проживания;
• телефон;
• email;
• сведения об образовании;
• сведения о квалификации;
• сведения о трудовой деятельности;
• сведения о доходах;
• СНИЛС;
• ИНН;
• сведения воинского учета;
• сведения о семейном положении;
• сведения о детях;
• сведения, необходимые для кадрового, бухгалтерского и налогового учета.

6.8. Данные контрагентов и представителей контрагентов

• фамилия, имя, отчество;
• должность;
• телефон;
• email;
• сведения о компании;
• реквизиты;
• данные доверенности;
• сведения, необходимые для заключения и исполнения договора;
• история деловой переписки.

7. Специальные категории персональных данных и врачебная тайна

7.1. Оператор является медицинской организацией и в рамках оказания медицинских услуг может обрабатывать специальные категории персональных данных, включая сведения о состоянии здоровья.

7.2. Обработка специальных категорий персональных данных осуществляется только при наличии предусмотренного законом основания, в том числе для оказания медицинской помощи, установления медицинского диагноза, оказания медицинских и медико-профилактических услуг, при наличии согласия субъекта персональных данных или в иных случаях, предусмотренных законодательством Российской Федерации.

7.3. Сведения о факте обращения за медицинской помощью, состоянии здоровья, диагнозе и иные сведения, полученные при медицинском обследовании и лечении, относятся к врачебной тайне.

7.4. Оператор принимает дополнительные меры для защиты таких сведений.

7.5. Оператор не рекомендует Пользователям направлять через открытые формы сайта подробные сведения о состоянии здоровья, диагнозах, результатах анализов, назначениях и иных медицинских данных, если такая информация прямо не запрашивается Оператором в защищенном порядке.

7.6. Если Пользователь добровольно указывает в форме сайта сведения о состоянии здоровья, такие сведения могут быть обработаны Оператором для обработки обращения, записи на прием, предварительной маршрутизации обращения и последующего оказания медицинских услуг.

8. Цели обработки персональных данных

8.1. Оператор обрабатывает персональные данные в следующих целях:

• обработка обращений Пользователей через сайт;
• запись на прием, консультацию, диагностику или процедуру;
• обратная связь с Пользователем;
• подтверждение, перенос или отмена записи;
• оказание медицинских услуг;
• заключение и исполнение договора оказания платных медицинских услуг;
• ведение медицинской документации;
• выполнение обязанностей медицинской организации, предусмотренных законодательством Российской Федерации;
• обработка отзывов, жалоб, предложений и иных обращений;
• повышение качества медицинских и сервисных процессов;
• информирование Пользователей о работе клиники, услугах, правилах записи, изменениях графика и иных организационных вопросах;
• направление рекламных и информационных сообщений при наличии отдельного согласия;
• анализ работы сайта и улучшение его качества;
• использование Яндекс.Метрики и иных аналитических инструментов в соответствии с Политикой использования cookie;
• обеспечение безопасности сайта;
• предотвращение мошенничества, спама, технических атак и злоупотреблений;
• ведение бухгалтерского, налогового, кадрового и управленческого учета;
• заключение и исполнение договоров с контрагентами;
• подбор персонала;
• соблюдение требований законодательства Российской Федерации.

9. Правовые основания обработки персональных данных

9.1. Правовыми основаниями обработки персональных данных являются Конституция Российской Федерации, Федеральный закон № 152-ФЗ «О персональных данных», Федеральный закон № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Трудовой кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Федеральный закон № 402-ФЗ «О бухгалтерском учете», законодательство Российской Федерации об архивном деле, лицензия Оператора на осуществление медицинской деятельности, договоры, заключаемые между Оператором и субъектами персональных данных, согласия субъектов персональных данных, а также законные интересы Оператора в случаях, когда такая обработка не нарушает права и свободы субъектов персональных данных.

10. Действия с персональными данными

10.1. Оператор может осуществлять с персональными данными сбор, запись, систематизацию, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передачу, предоставление, доступ, обезличивание, блокирование, удаление и уничтожение.

10.2. Обработка может осуществляться как с использованием средств автоматизации, так и без использования таких средств.

11. Источники получения персональных данных

11.1. Оператор получает персональные данные непосредственно от субъекта персональных данных, от представителя субъекта персональных данных, через формы сайта, через сервис онлайн-записи, по телефону, через электронную почту, через мессенджеры и иные каналы связи, при личном посещении клиники, при заключении и исполнении договора, из документов, предоставленных субъектом персональных данных, а также из информационных систем, используемых Оператором для оказания услуг, учета, записи, коммуникации и исполнения обязанностей по закону.

12. Обработка персональных данных на сайте

12.1. На сайте Оператора могут использоваться формы записи на прием, обратного звонка, обращения, отзыва, записи к врачу или специалисту, заявки на услугу и иной коммуникации с Оператором.

12.2. При отправке формы Пользователь предоставляет персональные данные добровольно.

12.3. Перед отправкой формы Пользователь должен подтвердить согласие на обработку персональных данных, если такое согласие является правовым основанием соответствующей обработки.

12.4. Чекбоксы согласий не должны быть проставлены заранее.

12.5. Согласие на рекламные и информационные рассылки оформляется отдельно от согласия на обработку персональных данных для обработки обращения.

12.6. Оператор фиксирует факт получения согласия, включая дату, время, источник, версию документа и технические данные, если это реализовано техническими средствами сайта.

13. Обработка cookie и данных веб-аналитики

13.1. На сайте используются cookie и сервис Яндекс.Метрика.

13.2. Обработка данных, получаемых с использованием cookie и Яндекс.Метрики, осуществляется в соответствии с настоящей Политикой и Политикой использования файлов cookie и сервисов веб-аналитики.

13.3. Пользователь может управлять использованием cookie через настройки браузера и/или через инструменты управления cookie, реализованные на сайте.

13.4. Оператор принимает меры, направленные на недопущение передачи в сервисы веб-аналитики медицинских сведений и иных избыточных персональных данных.

14. Обработка персональных данных для рекламных и информационных сообщений

14.1. Оператор может направлять Пользователям рекламные и информационные сообщения только при наличии соответствующего согласия, если такое согласие требуется законодательством Российской Федерации.

14.2. Согласие на получение рекламных и информационных сообщений оформляется отдельно от иных согласий.

14.3. Пользователь вправе отказаться от получения рекламных и информационных сообщений в любой момент.

14.4. Отказ от рекламных сообщений не влияет на возможность получать сервисные сообщения, связанные с записью, переносом приема, оказанием услуг, исполнением договора или выполнением требований закона.

15. Обработка отзывов, фото и видео

15.1. Оператор может обрабатывать отзывы Пользователей о качестве оказанных услуг.

15.2. Публикация отзыва на сайте, в социальных сетях, рекламных материалах или иных открытых источниках допускается только при наличии соответствующего правового основания.

15.3. Если отзыв содержит персональные данные, сведения о состоянии здоровья, сведения о факте обращения в медицинскую организацию, фото, видео или изображение субъекта, Оператор получает отдельное согласие на распространение таких данных, если это требуется законодательством.

15.4. Субъект персональных данных вправе отозвать согласие на распространение персональных данных в порядке, установленном законодательством Российской Федерации.

16. Поручение обработки персональных данных третьим лицам

16.1. Оператор вправе поручить обработку персональных данных третьим лицам при наличии законного основания.

16.2. К таким лицам могут относиться хостинг-провайдеры, разработчики и технические администраторы сайта, CRM-системы, сервисы онлайн-записи, сервисы телефонии, сервисы коллтрекинга, сервисы веб-аналитики, сервисы email- и SMS-коммуникаций, платежные сервисы, бухгалтерские и юридические подрядчики, а также иные лица, участвующие в обеспечении деятельности Оператора.

16.3. Лица, обрабатывающие персональные данные по поручению Оператора, обязаны соблюдать конфиденциальность персональных данных, принимать необходимые меры защиты, использовать данные только для целей, определенных Оператором, не передавать данные третьим лицам без законного основания, уведомлять Оператора об инцидентах безопасности, уничтожать или возвращать данные после прекращения поручения, если иное не предусмотрено законом или договором.

17. Локализация персональных данных граждан Российской Федерации

17.1. При сборе персональных данных граждан Российской Федерации, в том числе через сеть Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение таких персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

17.2. Оператор принимает меры для того, чтобы используемые сайт, CRM, сервисы записи, хостинг, резервное копирование и иные информационные системы соответствовали требованиям законодательства Российской Федерации о локализации персональных данных.

18. Трансграничная передача персональных данных

18.1. На дату утверждения настоящей Политики Оператор исходит из модели, при которой трансграничная передача персональных данных не осуществляется, если иное прямо не указано в актуальном уведомлении Оператора и внутренних документах.

18.2. Если в будущем Оператор начнет использовать сервисы, предполагающие трансграничную передачу персональных данных, Оператор до начала такой передачи выполнит требования законодательства Российской Федерации, включая оценку условий передачи, уведомление уполномоченного органа и обновление настоящей Политики.

18.3. Оператор не осуществляет трансграничную передачу специальных категорий персональных данных без предусмотренного законом основания.

19. Сроки обработки и хранения персональных данных

19.1. Сроки обработки и хранения персональных данных определяются целями обработки, требованиями законодательства Российской Федерации, условиями договоров и сроками действия согласий.

19.2. Персональные данные, связанные с оказанием медицинских услуг и ведением медицинской документации, хранятся в сроки, установленные законодательством Российской Федерации.

19.3. Персональные данные, обрабатываемые для обработки заявки или обращения, хранятся до достижения цели обработки либо до отзыва согласия, если отсутствуют иные законные основания для продолжения обработки.

19.4. Персональные данные, обрабатываемые для рекламных и информационных сообщений, хранятся до отзыва согласия или до прекращения соответствующей рассылки.

19.5. Персональные данные работников хранятся в сроки, установленные трудовым, налоговым, бухгалтерским и архивным законодательством Российской Федерации.

19.6. После достижения целей обработки или при утрате необходимости в достижении этих целей персональные данные подлежат уничтожению или обезличиванию, если иное не предусмотрено законодательством Российской Федерации.

20. Права субъектов персональных данных

20.1. Субъект персональных данных имеет право получать информацию об обработке своих персональных данных, требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, отзывать согласие на обработку персональных данных, требовать прекращения обработки персональных данных в случаях, предусмотренных законодательством Российской Федерации, получать сведения о лицах, которым поручена обработка персональных данных, обжаловать действия или бездействие Оператора в Роскомнадзор или суд, а также осуществлять иные права, предусмотренные законодательством Российской Федерации.

21. Порядок обращения субъекта персональных данных

21.1. Для реализации своих прав субъект персональных данных может направить Оператору обращение по почтовому адресу Оператора, на email Оператора или через иные каналы связи, указанные на сайте.

21.2. Обращение должно содержать сведения, позволяющие идентифицировать субъекта персональных данных и определить суть требования.

21.3. Оператор вправе запросить дополнительную информацию, необходимую для подтверждения личности заявителя и защиты персональных данных от неправомерного доступа третьих лиц.

21.4. Оператор рассматривает обращения субъектов персональных данных в сроки, установленные законодательством Российской Федерации.

22. Отзыв согласия

22.1. Субъект персональных данных вправе в любой момент отозвать согласие на обработку персональных данных.

22.2. Отзыв согласия может быть направлен по адресу: 194358, г. Санкт-Петербург, проспект Просвещения, дом 15, корпус 1, литера А, помещение 87Н, либо по email: buch@mywellpoint.ru.

22.3. В отзыве согласия рекомендуется указать фамилию, имя, отчество, контактные данные, какое именно согласие отзывается, дату направления отзыва и подпись, если отзыв направляется на бумажном носителе.

22.4. После получения отзыва согласия Оператор прекращает обработку персональных данных, если отсутствуют иные законные основания для продолжения обработки.

22.5. Отзыв согласия не влияет на законность обработки, осуществлявшейся до момента получения отзыва.

23. Меры защиты персональных данных

23.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.

23.2. К таким мерам относятся назначение ответственного за организацию обработки персональных данных, принятие локальных актов, определение перечня лиц, имеющих доступ к персональным данным, разграничение прав доступа, применение средств защиты информации, использование защищенного соединения HTTPS на сайте, контроль доступа к информационным системам, резервное копирование, антивирусная защита, контроль действий пользователей информационных систем, обучение работников, получение обязательств о неразглашении, проверка подрядчиков, оценка вреда и контроль за принимаемыми мерами защиты.

24. Конфиденциальность персональных данных

24.1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

24.2. Работники и подрядчики Оператора, имеющие доступ к персональным данным, обязаны соблюдать режим конфиденциальности.

25. Уведомление Роскомнадзора

25.1. Оператор направил уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Номер уведомления: 3994226.

25.2. При изменении сведений, указанных в уведомлении, Оператор принимает меры по актуализации таких сведений в порядке, предусмотренном законодательством Российской Федерации.

25.3. Оператор регулярно проверяет соответствие фактических процессов обработки персональных данных сведениям, указанным в уведомлении.

26. Обработка персональных данных несовершеннолетних

26.1. Оператор может обрабатывать персональные данные несовершеннолетних пациентов в случаях, предусмотренных законодательством Российской Федерации, в том числе при обращении законных представителей.

26.2. Обработка персональных данных несовершеннолетних осуществляется с учетом требований законодательства Российской Федерации и с повышенным вниманием к защите таких данных.

27. Актуализация и изменение Политики

27.1. Оператор вправе вносить изменения в настоящую Политику.

27.2. Актуальная редакция Политики размещается на сайте https://wellpointclinic.ru/

27.3. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не указано в самой Политике.

27.4. Оператор рекомендует Пользователям периодически проверять актуальную редакцию Политики.

28. Контакты по вопросам персональных данных

28.1. По всем вопросам, связанным с обработкой и защитой персональных данных, субъект персональных данных может обратиться к Оператору: ООО «Клуб здоровья и красоты», адрес: 194358, г. Санкт-Петербург, проспект Просвещения, дом 15, корпус 1, литера А, помещение 87Н, телефон: 8 (812) 407-37-99, email: buch@mywellpoint.ru, сайт: https://wellpointclinic.ru/