Правила обработки персональных данных


1. Общие положения
Данные Правила обработки персональных данных (именуемые в дальнейшей «Правила») регулируют основные принципы и порядок сбора, обработки и хранения персональных данных пользователя веб-сайта www.medstrah.pro (именуемого в дальнейшем «Сайт»), который ввел свои достоверные персональные данные в анкетах на Сайте (именуемого в дальнейшем «Субъект данных»).
Данные Правила должны соблюдаться всеми сотрудниками (именуемыми в дальнейшем «Сотрудники») и уполномоченными представителями ЗАО Др Вярслас, код предприятия 302417821 (именуемого в дальнейшем «Управляющая компания»), которые занимаются обработкой персональных данных и узнают такие данные в ходе выполнения своих должностных обязанностей. Доступ к персональным данным предоставляется только тем сотрудникам, которым это необходимо для выполнения служебных функций.
Термины и определения, используемые в данных Правилах:
Персональные данные — любая информация о физическом лице, личность которого была установлена или может быть установлена (Субъект данных); физическое лицо, личность которого может быть установлена — это лицо, чья личность может быть установлена прямо или косвенно, в частности посредством идентификаторов (таких как имя и фамилия, персональный идентификационный номер, информация о местонахождении и сетевой адрес), либо одного или нескольких физических, физиологических, генетических, психологических, экономических, культурных или социальных идентификационных признаков;
Администратор данных — физическое или юридическое лицо, государственный орган, агентство или другое учреждение, обрабатывающее персональные данные от имени Управляющей компании;
Субъект данных — физическое лицо, чьи персональные данные обрабатываются;
Обработка данных — любая операция или серия операций, выполняемая с персональными данными или пакетами персональных данных с помощью автоматизированных и неавтоматизированных средств, такая как сбор, запись, сортировка, систематизация, хранение, адаптация и преобразование данных, получение данных и ознакомление с ними, использование и раскрытие данных посредством передачи, распространения или иными способами, позволяющими их использовать, а также сопоставление или объединение персональных данных с другими данными, ограничение, удаление или уничтожение;
Управляющая компания — ЗАО Др Вярслас, юридическое лицо, зарегистрированное на территории Литовской Республики, код юридического лица 302417821, адрес: Литовская Республика,. Вильнюсский район, ул. Шяурес, д. 28
Другие термины и определения, используемые в данных Правилах, соответствуют терминам и определениям, предусмотренным Законом Литовской Республики «О правовой защите персональных данных» (именуемым в дальнейшем «ЗПЗПД») и положениями Общего регламента ЕС 2016/679 по защите данных (именуемого в дальнейшем «ОРЗД»).
Данные Правила подготовлены в соответствии с ЗПЗПД, ОРЗД, Общими требованиями к организационным и техническим мерам по защите персональных данных, утвержденными указом директора Государственной инспекции по защите данных № 1T-71 (1.12) от 12 ноября 2008 г. (редакция указа директора Государственной инспекции по защите данных № 1T-74(1.12.E) «Об утверждении Общих требований к организационным и техническим мерам по защите персональных данных» от 18 декабря ноября 2014 г.), а также в соответствии с другими законодательными актами, регулирующими обработку и защиту персональных данных.
Целью данных Правил является урегулирование принципов и порядка сбора, обработки и хранения персональных данных Субъектов, а также определение прав Субъектов данных, факторов риска утечки персональных данных, средств защиты персональных данных и других вопросов, связанных с обработкой таких данных.


2. Сбор, обработка и хранение персональных данных
На основании данных Правил Управляющая компания обрабатывает персональные данные в целях прямого маркетинга.
При обработке персональных данных Управляющая компания опирается на следующие основные принципы обработки персональных данных:
персональные данные собираются для установленных и законных целей, предусмотренных действующим законодательством, и обрабатываются способами, согласованными с этими целями;
сбор и обработка персональных данных осуществляются в соответствии с принципами целесообразности и пропорциональности; Управляющая компания не требует от Субъектов предоставить данные, которые не являются необходимыми; данные не собираются и не обрабатываются в избыточных количествах;
персональные данные обрабатываются точно, честно и законно. Управляющая компания обеспечивает, чтобы уполномоченные ею Администраторы данных (включая сотрудников) обрабатывали персональные данные в соответствии с данными Правилами и положениями ЗПЗПД и ОРЗД. Уполномоченные Управляющей компанией Администраторы данных имеют право собирать, обрабатывать, передавать, хранить, уничтожать или иным образом использовать персональные данные, однако лишь для выполнения своих прямых функций, указанных в описании должности, должностных инструкциях или договоре, заключенном между Управляющей компанией и Администратором данных. Администратору данных (включая сотрудников) запрещается произвольно собирать, обрабатывать, передавать, хранить, уничтожать или иным образом использовать персональные данные. Обрабатываемые персональные данные должны быть точными и обновляться (если это необходимо для их обработки). Неполные и неточные данные корректируются, дополняются, уничтожаются или их обработка приостанавливается в порядке, предусмотренном данными Правилами;
персональные данные уточняются, корректируются, изменяются, дополняются, аннулируются и восстанавливаются по просьбе Субъекта данных, а также по инициативе Управляющей компании;
персональные данные хранятся в такой форме, чтобы личности Субъектов данных невозможно было установить в большем объеме, чем это необходимо для достижения целей, для которых эти данные были собраны и обработаны;
персональные данные обрабатываются в соответствии с требованиями к обработке персональных данных, установленными ОРЗД, ЗПЗПД и другими правовыми актами, регулирующими соответствующие виды деятельности.
В целях прямого маркетинга обрабатываются следующие персональные данные: имя, адрес электронной почты.
Если Управляющая компания осуществляет обработку персональных данных Субъекта данных в целях прямого маркетинга, то это делается только с согласия Субъекта, которое он предоставляет, зарегистрировавшись на Сайте и (или) подписавшись на информационный бюллетень. Свое согласие Субъект данных выражает посредством нажатия на соответствующую кнопку рядом с согласием на обработку персональных данных в регистрационной форме. Такие данные собираются и автоматически используются только в соответствии с порядком и целями, указанными в данных Правилах.
Если Субъект данных подписывается на информационный бюллетень, на его электронную почту отправляется сообщение с подпиской и согласием на обработку персональных данных. Чтобы подтвердить свое согласие, Субъект должен нажать на кнопку «Я согласен(-а)» или активировать содержащуюся в сообщении ссылку на Сайт, четко указав, что такая активация является согласием на обработку персональных данных. Если Субъект данных не выполняет никаких действий (т. е. не нажимает на кнопку «Я согласен(-а)» или не активирует ссылку на Сайт), считается, что он не согласен с подпиской и обработкой персональных данных. Если это происходит, Управляющая компания не осуществляет обработку персональных данных Субъекта.
Управляющая компания обязуется не передавать персональные данные, обрабатываемые для целей, указанных в данных Правилах, третьим лицам, за исключением случаев, предусмотренных действующим законодательством Литовской Республики, и в порядке, установленном действующим законодательством Литовской Республики.
Персональные данные зарегистрированного пользователя хранятся в течение 2 (двух) лет с момента его последнего посещения Сайта. По истечении срока хранения персональные данные зарегистрированного пользователя уничтожаются в порядке, предусмотренном действующим законодательством.
Персональные данные зарегистрированного пользователя обрабатываются с применением безопасных организационных и технических средств, которые защищают персональные данные от случайного или незаконного уничтожения, изменения, раскрытия, использования и любых других несанкционированных форм обработки.
Управляющая компания собирает и получает персональные данные из следующих источников:
Субъекты данных;
По просьбе Субъекта данных — от третьих лиц, указанных самим Субъектом;
В случаях, когда Субъект данных регистрируется на Сайте Управляющей компании, используя свой аккаунт Facebook или Google (gmail.com) — от компаний, управляющих платформами Facebook и Google.
Управляющая компания не занимается сбором и обработкой персональных данных Субъектов, не достигших 16 (шестнадцати) лет. Согласие на обработку персональных данных, полученное от Субъектов, не достигших 16 (шестнадцати) лет, считается недействительным. При регистрации на Сайте Управляющей компании Субъект данных должен предоставить полные, точные и достоверные сведения о своих персональных данных. Если выяснится, что данные, предоставленные Субъектом, являются неточными, Управляющая компания имеет право потребовать от Субъекта уточнить персональные данные и, в том случае, если он этого не сделает, уничтожить находящиеся в ее распоряжении данные Субъекта, а также заблокировать аккаунт Субъекта.
Субъект данных должен незамедлительно внести соответствующие изменения в свои персональные данные на Сайте Управляющей компании или уведомить Управляющую компанию по почте в случае изменения своих персональных данных после регистрации на Сайте. Управляющая компания не несет ответственности за ущерб, причиненный Субъекту данных и (или) третьим лицам в связи с тем, что Субъект предоставил недостоверные и (или) неполные персональные данные, либо не обновил персональные данные, не внес соответствующие изменения.
Осуществлять обработку персональных данных разрешается только Администраторам данных, которые в письменной форме или по закону обязуются:
не раскрывать, не передавать и не создавать третьим лицам условий для ознакомления с персональными данными, если упомянутые третьи лица не имеют права обрабатывать персональные данные, а также получать персональные данные в порядке, предусмотренном данными Правилами или действующим законодательством;
хранить персональные данные в тайне;
немедленно уведомлять руководителя Управляющей компании о любых известных обстоятельствах, которые могут угрожать безопасности персональных данных;
соблюдать положения правовых актов, регулирующих защиту персональных данных.

3. Права Субъекта данных
Субъект данных имеет право:
знать (получать информацию) об обработке своих персональных данных;
ознакомиться со своими персональными данными и методом их обработки, а также получать копии всех своих персональных данных, переданных Управляющей компании, в стандартном машиночитаемом формате;
требовать исправить или уничтожить свои персональные данные, либо приостановить обработку своих персональных данных (кроме хранения), если данные обрабатываются с нарушением положений данных Правил и других законов;
отказаться от обработки своих персональных данных, за исключением случаев, предусмотренных действующим законодательством и данными Правилами;
требовать, чтобы его (ее) персональные данные были полностью удалены (право быть забытым), за исключением случаев, когда Управляющая компания не может удалить данные из-за выполнения обязательств и требований, предусмотренных действующим законодательством.
Получив от Субъекта данных запрос на реализацию одного из прав Субъекта, перечисленных в пункте 3.1 данных Правил, Управляющая компания обязуется удовлетворить его не позднее, чем в течение 20 (двадцати) рабочих дней, либо предоставить Субъекту данных письменный отказ от выполнения действий, связанных с персональными данными.
Субъект данных, представивший удостоверяющий личность документ или в соответствии с порядком, предусмотренным действующим законодательством или при помощи средств электронной связи, которые позволяют надлежащим образом идентифицировать человека, подтвердивший свою личность, имеет право бесплатно ознакомиться со своими персональными данными, хранящимися у Управляющей компании.
Сообщения, уведомления и запросы Субъекта данных, адресованные Управляющей компании, отправляются на адрес электронной почты: mail@medstrah.pro или почтовым отправлением по юридическому адресу Управляющей компании, указанному в пункте 1.2 данных Правил.

4. Cookie-файлы
Сайт использует cookie-файлы, которые помогают обеспечить качество услуг, оказываемых посетителям.
Сookie-файл представляет собой небольшой текстовый документ с уникальным идентификационным номером, который попадает с Сайта Управляющей компании на жесткий диск устройства Субъекта данных, чтобы Управляющая компания могла отличить подключение устройства Субъекта данных к системе Управляющей компании и, таким образом, адаптировать и организовать работу Сайта для конкретного Субъекта данных.
Данные, которые получает Управляющая компания при помощи cookie-файлов, не являются персональными данными и не используются для идентификации Субъекта данных.
Свое согласие с условиями Политики использования cookie-файлов и использованием cookie-файлов в соответствии с порядком и целями, предусмотренными в данных Правилах, Субъект данных выражает, отметив «Я согласен(-а)». Если Субъект данных не согласится на использование cookie-файлов, Сайт Управляющей компании может функционировать неправильно.
Информация об используемых cookie-файлах



Название

Описание

Момент создания / срок действия

CMSSESSIDX

Стандартный cookie-файл, который используется для сеансовой поддержки пользователя.

При входе на веб-сайт /
до закрытия окна веб-сайта

cookiesAgree

Cookie-файл, который используется для распознания факта Вашего согласия на использование cookie-файлов на нашем сайте.

С момента согласия / до удаления

cookiesLevelX

Cookie-файл, который используется для распознания cookie-файлов, которые Вы разрешаете использовать на нашем сайте.

С момента согласия / до удаления

_ga

Этот cookie-файл используется Google Analytics для оценки целей посещения пользователя, составления отчетов об активности сайта для операторов веб-сайтов и повышения степени удовлетворенности клиентов при посещении сайта.

С момента согласия /
2 года

_gat

Эти cookie-файлы используются Google Analytics для сбора статистической информации о посещаемости веб-сайта.

При первом посещении веб-сайта /
до конца сессии

_gid

Этот cookie-файл используется Google Analytics для идентификации лица.

При первом входе на веб-сайт /
2 дня




Дополнительную информацию о cookie-файлах (например, о том, как ими управлять и их удалять) Субъект данных может найти на сайте http://www.allaboutcookies.org.
Чтобы узнать, как отменить отслеживание веб-сайтов, осуществляемое Google Analytics с помощью cookie-файлов, Субъект данных может посетить http://tools.google.com/dlpage/gaoptout.

Типы cookie-файлов:
Сессионные cookie-файлы
Сессионные cookie-файлы позволяют идентифицировать Субъекта данных за одно посещение Сайта Управляющей компании, чтобы все изменения страницы или варианты выбора запоминались при переходе с одной страницы на другую. Эти cookie-файлы позволяют легко и быстро перемещаться по многочисленным страницам Сайта без необходимости повторной обработки информации при каждом посещении нового места. Сессионные cookie-файлы являются временными и исчезают после того, как Субъект данных закрывает окно браузера или уходит с сайта.

Постоянные cookie-файлы
Постоянные cookie-файлы — это cookie-файлы, которые остаются на компьютере Субъекта данных в течение определенного промежутка времени после завершения сеанса просмотра, поэтому они могут сохранять определенные параметры и действия пользователя при повторном посещении сайта.
Cookie-файлы первого лица
Это cookie-файлы, необходимые для надлежащего функционирования Сайта ЗАО Др Вярслас.
Cookie-файлы третьих лиц
Это cookie-файлы, используемые другими организациями через Сайт Управляющей компании. В случае Управляющей компании, Сайт ЗАО Др Вярслас использует cookie-файлы Google Analytics, предназначенные для анализа его посещаемости. Google Analytics анонимно собирает информацию о количестве посетителей и местах, из которых осуществлялись подключения к Сайту Управляющей компании, а также информацию о том, какие сегменты Сайта посетителей заинтересовали. Эти cookie-файлы создаются Google Analytics. Подробнее о Google Analytics читайте на странице http://www.google.com/analytics.
Любая информация, собранная с помощью cookie-файлов, сохраняется до истечения срока их действия и не используется в целях, отличных от тех, которые указаны в данных Правилах.
Сайт Управляющей компании содержит ссылки на веб-сайты других лиц, предприятий и организаций. Управляющая компания не несет ответственности за содержание таких веб-сайтов и за применяемые ими принципы обеспечения конфиденциальности. Поэтому в случае перехода на другие сайты по ссылке с Сайта ЗАО Др Вярслас, следует отдельно поинтересоваться их политикой конфиденциальности.

5. Средства защиты персональных данных
Управляющая компания использует соответствующие организационные и технические средства, предназначенные для защиты персональных данных от случайного или незаконного уничтожения, изменения, раскрытия и любых других несанкционированных форм обработки. В целях обеспечения защиты персональных данных, Управляющая компания использует следующие средства защиты:
административные (настройки безопасной обработки документации, компьютерных данных и их архивов, а также порядка организации работы в различных сферах деятельности; личное знакомство с защитой персональных данных при приеме на работу, а также после прекращения трудовых и других аналогичных отношений, и т. д.);
защита аппаратного и программного обеспечения (администрирование служебных станций, информационных систем и баз данных; обслуживание рабочих мест и помещений Управляющей компании; обеспечение стандартов безопасности серверов, на которых хранятся базы данных, и т. д.);
защита коммуникационных и компьютерных сетей (фильтрация (firewalling) данных общего пользования, программ, пакетов нежелательных данных и т. д.).
Все управляющие компании, занимающиеся обработкой персональных данных, обязаны соблюдать требования к безопасности обработки персональных данных.
Управляющая компания применяет следующие организационные меры обеспечения безопасности персональных данных:
обеспечение защиты, управления и контроля доступа к персональным данным;
доступ к персональным данным предоставляется только лицу, которому они необходимы для выполнения функций, связанных с обработкой данных;
персональные данные можно использовать только для выполнения операций по обработке данных, для которых Администратору данных выдается доверенность, инструкция или распоряжение Управляющей компании;
реализация требований к паролям доступа к персональным данным: гарантируется их конфиденциальность; они являются уникальными, состоят из 8 (восьми) и более символов, не содержат личной информации; они меняются не реже 1 (одного) раза в 3 (три) месяца; пользователь обязан сменить пароль при первом входе в систему;
ограничение доступа посторонних лиц в помещение, в котором хранятся личные данные;
гарантия уничтожения персональных данных по истечении срока хранения данных, предусмотренного данными Правилами;
обеспечение защиты компьютерного оборудования от вредоносных программ — установка антивирусной программы и ее обновление;
оценка воздействия на безопасность персональных данных не реже 1 (одного) раза в год;
шифрование персональных данных, которые хранятся в активной (функционирующей) базе данных;
применение мер обеспечения безопасности персональных данных, с помощью которых осуществляется контроль за действиями администраторов базы данных / служебной станции / информационной системы.
Сотрудники Управляющей компании, которые занимаются обработкой персональных данных или получили доступ к персональным данным в ходе исполнения своих должностных обязанностей, обязаны соблюдать принцип конфиденциальности и хранить в тайне любую информацию, касающуюся персональных данных, если такая информация не является общедоступной в соответствии с действующим законодательством Литовской Республики. Принцип конфиденциальности сотрудники обязаны соблюдать даже после того, как трудовые отношения подойдут к концу.

6. Нарушение требований по защите персональных данных и уведомления
Нарушение требований по защите персональных данных — это действия или бездействие, которые могут привести или приводят к нежелательным последствиям, а также противоречат требованиям законов, регулирующих защиту персональных данных. В каждом отдельном случае степень воздействия, причиненный ущерб и последствия нарушения требований по защите персональных данных определяются руководителем Управляющей компании или комиссией, образованной его уполномоченными представителями.
В случае нарушения требований по защите персональных данных Управляющая компания незамедлительно, однако не позднее, чем в течение 48 (сорока восьми) часов после того, как ей стало известно о нарушении, уведомляет об этом Государственную инспекцию по защите данных и Субъектов данных, за исключением случаев, когда такое нарушение требований по защите персональных данных не представляет реальной угрозы правам и свободам Субъектов. Уведомления о нарушении требований по защите персональных данных отправляются на адрес электронной почты Субъекта данных, который Субъект предоставил Управляющей компании, либо почтовым отправлением, если Субъект данных не предоставил Управляющей компании свой адрес электронной почты.
В случаях, когда нарушение требований по защите персональных данных не связано со случайными природными явлениями (такими как молния, наводнение, пожар и т. д.) и является результатом действий человека, Управляющая компания, узнав о таком нарушении, обязуется незамедлительно обратиться в соответствующие правоохранительные органы с заявлением о предполагаемом преступлении.

7. Заключительные положения
Все сообщения и уведомления, касающиеся обработки персональных данных, отправляются Управляющей компании по электронной почте mail@medstrah.pro или по почте .
Ответ Управляющая компания представляет в той форме, в которой было получено сообщение или уведомление Субъекта данных и не позднее, чем в течение 20 (двадцати) календарных дней со дня получения сообщения или уведомления Субъекта.
Контроль за соблюдением данных Правил осуществляет менеджер Управляющей компании или его уполномоченный представитель. Правила пересматриваются и, при необходимости, обновляются не реже 1 (одного) раза в календарный год. Поправки и дополнения к данным Правилам вступают в силу после их обнародования, т. е. со дня их размещения на Сайте Управляющей компании.