1 | Введение

1. Обеспечение конфиденциальности и безопасности обработки персональных данных Обществом с ограниченной ответственностью «Медицинский фитнес» (далее – Оператор, Общество) является одной из его приоритетных задач.
2. Обществом для этих целей введен в действие комплект организационно-распорядительной документации, обязательный к исполнению всеми лицами, допущенными к обработке персональных данных.
3. Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации в сфере защиты персональных данных, а также в соответствии с локальными актами Общества.
4. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных субъектов персональных данных и иных лиц, чьи персональные данные обрабатываются, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность сотрудников Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных. 
5. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
6. Настоящая Политика применяется в том числе к веб-сайту https://kinesiologic.ru/.
7. Оператор не контролирует и не несет ответственности за сайты третьих лиц, на которые субъекты персональных данных могут перейти по ссылкам, доступным на указанном веб-сайте и его разделах.

2 | Понятие и состав персональных данных

1. Перечень персональных данных, подлежащих защите Обществом, определяются Федеральным законом «О защите персональных данных», Трудовым кодексом РФ, Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации» и другими нормативно-правовыми актами.
2. Сведениями, составляющими персональные данные, является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (Субъекту персональных данных, далее – Субъект).

3 | Правовые основания обработки персональных данных

1. Оператор осуществляет обработку персональных данных для осуществления, возложенных на него законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами и подзаконными актами.
2. Осуществляя обработку персональных данных, Оператор руководствуется:
3. Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Семейным кодексом Российской Федерации, Федеральным законом от 01.04.1996 г. №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральным законом от 8.02.1998 г. №14-ФЗ «Об обществах с ограниченной ответственностью», Федеральным законом от 21.11.1996 г. №129-ФЗ «О бухгалтерском учете», Федеральным законом от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», Федеральным законом от 21.11.2011 г. №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
4. Внутренними документами Оператора, регламентирующими порядок обработки и защиты персональных данных, в том числе настоящей Политикой.

4 | Цели обработки персональных данных

1. Оператор обрабатывает персональные данные отдельных категорий Субъектов, взаимодействующих с Обществом, исключительно в целях, для которых они были собраны или получены. В частности, Оператор может обрабатывать персональные данные для достижения целей, указанных в Приложении №1.
2. Оператор может обрабатывать персональные данные также в иных целях, установленных утвержденным Оператором перечнем персональных данных.

5 | Цели обработки персональных данных

1. Сроки обработки персональных данных определяются в соответствие со сроком действия договора (соглашением) с субъектом персональных данных, Приказом Рос архива от 20.12.2019 №236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», сроком исковой давности, а также иными требованиями законодательства РФ, а равно до достижения оператором целей обработки персональных данных или до утраты необходимости в достижении этих целей.

6 | Права и обязанности

1. Общество как оператор персональных данных вправе:

• обрабатывать персональные данные для достижения целей способами и средствами, предусмотренными действующим законодательством и внутренними документами Оператора;
• предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
• отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
• использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством;
• защищать свои интересы в суде.

2. Субъект персональных данных вправе:

• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• требовать предоставления перечня своих персональных данных, обрабатываемых Оператором, и источник их получения;
• получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
• требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

7 | Принципы и условия обработки персональных данных

1. Обработка персональных данных Оператором производится на основе соблюдения принципов:

• законности целей и способов обработки персональных данных;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
• уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

2. Отказ Субъекта предоставить согласие на обработку его персональных данных влечет за собой невозможность достижения целей обработки данных Оператором, за исключением случаев, когда наличие Согласия субъекта не требуется.

8 | Передача персональных данных третьим лицам

1. Для достижения целей обработки персональных данных и, при необходимости, с согласия субъектов персональных данных Оператор предоставляет персональные данные или поручает их обработку следующим лицам: 

• государственным органам;
• физическим лицам, состоящим в трудовых и гражданско-правовых отношениях с контрагентами Оператора.
• физическим лицам, состоящим в трудовых и гражданско-правовых отношениях с Оператором.

2. В целях выполнения договорных обязательств или требований федерального законодательства Оператор получает персональные данные от следующих третьих лиц:

• контрагенты, пользователи сайта, партнеры или иные лица в соответствии с договорами гражданско-правового характера, трудовыми договорами.

3. Передача персональных данных субъектов третьим лицам осуществляется с их (субъектов) согласия, за исключением случаев, когда в соответствии с законом такое согласие не требуется.

9 | Cookie и иные средства веб-аналитики

1. Cookie — это небольшие файлы, которые создаются и сохраняются браузером при посещении сайтов и сервисов. Cookie-файлы хранятся на устройстве не более года и позволяют Оператору отслеживать качество работы сайтов и сервисов и характеристики их использования, а также оптимизировать маркетинговые активности в интернете.
2. На веб-сайте используются следующие виды средств веб-аналитики:
3. Технические и функциональные cookie-файлы используются для обеспечения бесперебойной работы сайта, а также для запоминания выбранных настроек (в частности, контроля языка и всплывающих баннеров).
4. Маркетинговые и аналитические cookie-файлы представлены сервисом Яндекс.Метрика для сбора и статистического анализа данных, связанных с использованием сайта.
5. Настройки большинства браузеров позволяют принимать cookie-файлы по умолчанию. Пользователь сайта в любой момент может удалить cookie-файлы со своего устройства через настройки используемого браузера. При этом некоторые функции веб-сайтов и сервисов могут перестать работать в случае отказа от cookie-файлов.
6. Сведения о настройке и отключении cookie-файлов представлены по следующим ссылкам:

• Yandex Браузер;
• Google Chrome;
• Mozilla Firefox;
• Microsoft Edge;
• Safari.

10 | Cookie и иные средства веб-аналитики

1. обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
2. Для защиты персональных данных и прочей информации Оператор, в том числе:
3. разрабатывает и соблюдает внутренние документы по вопросам обработки персональных данных, процедуры предотвращения и выявления нарушений законодательства, устранения их последствий;
4. использует современные технические средства и программные комплексы, принимаем организационные меры для защиты персональных данных от несанкционированного доступа, неправомерной обработки или передачи, а также от утери, искажения или уничтожения;
5. проверяет достаточность мер перед созданием новых процессов обработки персональных данных;
6. определяет правила доступа к персональных данным, минимизирует и предоставляет доступ только в случаях действительной необходимости, по возможности логирует действия с данными в информационных системах;
7. оценивает эффективность и регулярно пересматривает принимаемые меры;
8. обучает работников правилам и принципам обработки данных и защиты информации, положениям законодательства РФ, требованиям к неавтоматизированной обработке, знакомит с внутренними документами.
9. Внутренние документы Оператора и соглашения с партнерами, контрагентами и прочими третьими лицами в части, их касающейся, содержат обязательные для исполнения процедуры, направленные на защиту персональных данных и прав субъектов персональных данных.
10. Оператор обеспечивает локализацию персональных данных на территории Российской Федерации и не использует базы данных, расположенные за её пределами, за исключением случаев, предусмотренных законодательством.
11. В целях координации действий по обеспечению безопасности персональных данных назначен ответственный за организацию обработки персональных данных.

11 | Актуализация, исправление, удаление, уничтожение персональных данных и прекращение их обработки

1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

2. Запрос должен содержать:
— номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
— сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие — факт обработки персональных данных Оператором;
— подпись субъекта персональных данных или его представителя.

3. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

5. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

7. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

8. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

9. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

10. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
— уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
— уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

11. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
— Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
— иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

12. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

12 | Заключительные положения

1. Настоящая Политика предназначена для размещения в информационных ресурсах общественного пользования Оператора, в том числе, но не исключительно на веб-сайте Оператора.
2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.
3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.
4. Актуальный текст Политики размещен по адресу: https://kinesiologic.ru/privacy-policy.
5. Ответственность лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора.

13 | Реквизиты

Общество с ограниченной ответственностью «Медицинский фитнес»
ИНН 3906993956
ОГРН 1163926073486
почтовый адрес: 236038, г. Калининград, ул. Староорудийная, дом 5
pochta@kinezis39.ru.

1 | Персональные данные субъектов, использующих веб-сайт Оператора:
Цель: Предоставление услуги на прием.

• Правовые основания: Согласие на обработку.
• Объем данных: ФИО, номер телефона, адрес электронной почты.
• Способ: Автоматизированная.
• Срок: 30 дней с даты согласия или до достижения цели.

Цель: Обеспечение функционирования сайта.

• Правовые основания: Законный интерес оператора.
• Объем данных: Сведения в файлах cookie.
• Способ: Автоматизированная.
• Срок: 1 год с последнего посещения сайта.

Цель: Аналитика посещаемости сайта для улучшения сервиса.

• Правовые основания: Согласие субъекта в cookie-баннере.
• Объем данных: Сведения в файлах cookie и иные данные веб-аналитики (в т.ч. Яндекс.Метрика).
• Способ: Автоматизированная.
• Срок: 1 год с последнего посещения сайта.

2 | Персональные данные субъектов, состоящих с Оператором в договорных правоотношениях (контрагенты и представители контрагентов):
Цель: Заключение, изменение, исполнение и расторжение гражданско-правовых договоров.

• Правовые основания: Заключение договоров, законный интерес оператора, исполнение требований налогового законодательства.
• Объем данных: ФИО, номера телефонов, адреса электронной почты, данные документа, удостоверяющего личность, адрес регистрации, почтовый адрес, иные данные, необходимые для исполнения договора. Для представителей: ФИО, данные документа, номера телефонов, адреса электронной почты.
• Способ: Смешанная.
• Срок: Срок действия договора + 5 лет после его истечения.

3 | Персональные данные пациентов и законных представителей пациентов:
Цель: Заключение, изменение и расторжение договоров оказания платных медицинских услуг.

• Правовые основания: Заключение/изменение/расторжение договора.
• Объем данных: ФИО, данные документа, удостоверяющего личность, адрес места жительства, номер телефона.
• Способ: Смешанная.
• Срок: Срок действия договора + 5 лет после его истечения.

Цель: Исполнение договоров оказания платных медицинских услуг.

• Правовые основания: Исполнение договора, требования законодательства об охране здоровья.
• Объем данных: ФИО, дата рождения, номер телефона, сведения о состоянии здоровья (диагнозы, анализы, операции и пр.), антропометрические данные.
• Способ: Смешанная.
• Срок: Срок действия договора + 5 лет после его истечения.

Цель: Выдача справок о стоимости оказанных услуг для получения налогового вычета.

• Правовые основания: Исполнение требований налогового законодательства.
• Объем данных: ФИО, ИНН, данные документа, удостоверяющего личность.
• Способ: Смешанная.
• Срок: 3 года с даты заявления.

Цель: Получение обратной связи (отзыва) о сервисе и качестве оказания услуг Оператором.

• Правовые основания: Согласие на обработку; согласие на распространение (при использовании на сайте).
• Объем данных: ФИО, номер телефона, адрес электронной почты, фотоизображение.
• Способ: Смешанная.
• Срок: 1,5 года с даты представления согласия.

Цель: Публикация или иное обнародование клинического случая.

• Правовые основания: Согласие на обработку.
• Объем данных: Возраст, сведения о состоянии здоровья (диагнозы, анализы, операции и пр.), антропометрические данные.
• Способ: Неавтоматизированная.
• Срок: 10 лет с даты получения согласия.

4 | Персональные данные лиц, предоставивших согласие на проведение маркетинговых коммуникаций:
Цель: Направление информации, в том числе рекламной, о мероприятиях/услугах Оператора.

• Правовые основания: Согласие субъекта.
• Объем данных: ФИО, номер телефона, адрес электронной почты.
• Способ: Автоматизированная.
• Срок: До отзыва согласия субъектом.

Цель: Проведение маркетинговых опросов и исследований.

• Правовые основания: Согласие субъекта.
• Объем данных: ФИО, номер телефона, адрес электронной почты, город, возраст, иные согласованные категории (кроме специальных и биометрических).
• Способ: Смешанная.
• Срок: 5 лет.

5 | Персональные данные соискателей вакантных должностей:
Цель: Подбор и согласование персонала на вакантные должности.

• Правовые основания: Согласие субъекта.
• Объем данных: ФИО, возраст, гражданство, страна и город, номер телефона, адрес электронной почты, сведения о прежних местах работы, данные об образовании и квалификации, иные сведения, указанные соискателем.
• Способ: Смешанная.
• Срок: 1 месяц.