Политика обработки персональных данных

Настоящая Политика обработки персональных данных (далее – Политика) действует в отношении всей информации, которую филиал общества с ограниченной ответственностью «МЕДРОКЕТ» в Республике Казахстан, являющийся владельцем группы тематических сайтов «МедТочка», «Ydoc», «МедОтвет», «МедЛок», «МедТочка для врача», «МедФлекс», а также программы для ЭВМ «Личный кабинет пациента МедТочка» (далее - «Система МедТочка»), может получить о пользователе во время использования им любого из сервисов, служб, программ и продуктов (далее – Сервисы) и является неотъемлемой частью Пользовательского соглашения. Согласие пользователя на предоставление и обработку персональной информации, данное им в соответствии с настоящей Политикой в рамках использования одного из Сервисов, распространяется на все Сервисы Сайта и Системы МедТочка. Политика разработана в соответствии с требованиями положений Закона Республики Казахстан от 21 мая 2013 года № 94- V «О персональных данных и их защите», Конституции Республики Казахстан и иными нормативными правовыми актами Республики Казахстан в области персональных данных. Использование Сервисов Сайта и/или Системы МедТочка означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования Сервисов Сайта и/или Системы МедТочка.

1. Персональная информация Пользователей, которую получает и обрабатывает Администрация

1.1. В рамках настоящей Политики под «персональной информацией пользователя» понимаются:

1.1.1. Персональная информация, которую Пользователь предоставляет о себе самостоятельно при подаче заявки на регистрацию или в процессе использования Сервисов Сайта и/или Системы МедТочка, включая персональные данные пользователя. Обязательная для предоставления информация помечена специальным образом (знаком «*» и предупреждением об обязательности предоставления информации). Иная информация предоставляется пользователем на его усмотрение.

1.1.2. Данные, которые автоматически передаются Сервисам Сайта и/или Системе МедТочка в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, информация из cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к Сервисам), время доступа, адрес запрашиваемой страницы. Сайт и Система МедТочка используют файлы cookie и аналогичные технологии для обеспечения работы Сервисов, аналитики и улучшения пользовательского опыта. Пользователь может управлять использованием файлов cookie через настройки своего браузера. Использование Сайта и/или Системы МедТочка означает согласие Пользователя на использование файлов cookie, за исключением случаев, когда Пользователь ограничил их использование в настройках своего устройства.

1.1.3. Иная информация о пользователе, сбор и/или предоставление которой необходимо для использования Сервисов.

2. Категории персональных данных, обрабатываемых на Сайте и/или в Системе МедТочка

2.1. Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.

2.2. Общедоступными персональными данными Пользователя являются персональные данные или сведения, на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.

2.3. Персональными данными ограниченного доступа являются персональные данные Пользователя, доступ к которым ограничен законодательством Республики Казахстан. Перечень и объём таких данных, собираемых и обрабатываемых Администрацией, зависит от используемых Пользователем функций Сайта и/или Системы МедТочка.

2.4. В рамках функционирования Сайта и/или Системы МедТочка могут обрабатываться следующие персональные данные ограниченного доступа:

2.4.1. при регистрации Пользователя - ФИО, номер телефона, адрес электронной почты;

2.4.2. при загрузке документов, выданных медицинскими организациями (например, заключений, рецептов, справок и т.д.) - персональные данные, содержащиеся в соответствующих документах, включая данные медицинского работника, данные пациента, состоянии здоровья, медицинских услугах, дате и месте оказания медицинских услуг.

2.4.3. при публикации отзывов - сведения, добровольно указанные Пользователем, в том числе содержащие персональные медицинские данные, информацию о факте обращения за медицинской помощью, состоянии здоровья, диагнозе заболевания и иные сведения, полученные при обследовании и (или) лечении.

2.5. Обработка указанных данных осуществляется в объёме, необходимом для реализации целей работы Сайта и/или Системы МедТочка, в соответствии с законодательством Республики Казахстан и условиями настоящей Политики.

2.6. Настоящая Политика применима только к Сервисам Сайта и/или Системе МедТочка. Администрация не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте и/или в Системе МедТочка. На таких сайтах у пользователя может собираться или запрашиваться иная персональная информация, а также могут совершаться иные действия.

2.7. Администрация не проверяет достоверность персональной информации, предоставляемой Пользователями, а также не осуществляет проверку их дееспособности. Однако Администрация исходит из того, что Пользователь предоставляет достоверную и достаточную персональную информацию по вопросам, предлагаемым в форме регистрации, и поддерживает эту информацию в актуальном состоянии. Последствия предоставления недостоверной информации определены в «Пользовательском соглашении».

2.8. Предоставляя данные третьих лиц, необходимые для использования Сайта и/или Системы МедТочка, Пользователь подтверждает получение им согласия этих лиц на обработку их персональных данных или наличие у Пользователя полномочий на выражение согласия от имени таких лиц. Ответственность за правомерность предоставления и достоверность персональных данных Пользователя и иных лиц, данные которых сообщены, несет Пользователь. Поскольку Администрация не обязана проводить установление личности Пользователя, то она не отвечает за то, что Пользователь действительно является тем лицом, от имени которого осуществлена регистрация, и не несет ответственности за возможный ущерб, причиненный другим Пользователям или иным лицам в случае, если Пользователь не является таким лицом. Администрация вправе запросить у Пользователя подтверждение получения такого согласия. В случае отсутствия подтверждения Администрация вправе ограничить обработку соответствующих данных.

2.9. Под обработкой персональных данных, согласно законодательству Республики Казахстан, понимается любое действие, направленное на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.

2.10. Обработка специальных персональных данных (данных о состоянии здоровья) осуществляется только при наличии отдельного согласия Пользователя, выраженного путем совершения активных действий (проставления отметки/загрузки данных/использования соответствующего функционала).

3. Цели сбора и обработки персональной информации пользователей

3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определённых настоящей Политикой и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных

3.2. Администрация собирает и хранит только те персональные данные, которые необходимы для реализации прав граждан на свободный выбор врача и медицинской организации в Республике Казахстан.

3.3. Персональная информация пользователя может использоваться в следующих целях:

3.3.1. Идентификация стороны в рамках использования Сервисов Сайта и/или Системы МедТочка;

3.3.2. Предоставление пользователю персонализированных Сервисов;

3.3.3. Связь с Пользователем в случае необходимости, в том числе направление уведомлений, запросов и информации, связанных с использованием Сервисов, оказанием услуг, а также обработка запросов и заявок от Пользователя;

3.3.4. Улучшение качества Сервисов, удобства их использования, разработка новых Сервисов и услуг;

3.3.5. Проведение статистических и иных исследований на основе обезличенных данных.

4. Условия обработки персональной информации пользователя и её передачи третьим лицам

4.1. Администрация хранит персональную информацию пользователей в соответствии с законодательством Республики Казахстан.

4.2. В отношении персональной информации пользователя сохраняется ее конфиденциальность, кроме случаев добровольного предоставления пользователем информации о себе для общего доступа всем пользователям Сайта и/или Системы МедТочка. При использовании отдельных Сервисов (например, Мой Профиль), Пользователь соглашается с тем, что его персональная информация становится общедоступной, включая загружаемые им изображения. При публикации отзывов - сведения, добровольно указанные Пользователем в отзыве, в том числе содержащие персональные медицинские данные, информацию о факте обращения за медицинской помощью (в том числе дате и месте получения медицинской помощи), состоянии здоровья, диагнозе заболевания и иные сведения, полученные при обследовании и (или) лечении также становятся общедоступными.

4.3. Администрация вправе передать персональную информацию пользователя третьим лицам в следующих случаях:

4.3.1. Пользователь явно выразил свое согласие на такие действия;

4.3.2. Передача необходима в рамках использования Пользователем определенного Сервиса либо для оказания услуги Пользователю, при этом обеспечивается конфиденциальность персональной информации. Использование Сервисов означает безоговорочное согласие Пользователя на передачу Администрацией персональных данных Пользователя третьим лицам, если такая передача необходима с целью реализации положений данного пункта;

4.3.3. Передача предусмотрена законодательством Республики Казахстан или иным применимым законодательством в рамках установленной законодательством процедуры;

4.3.4. Такая передача происходит в рамках продажи или иной передачи бизнеса (полностью или в части), при этом к приобретателю переходят все обязательства по соблюдению условий настоящей Политики применительно к полученной им персональной информации;

4.3.5. В целях обеспечения возможности защиты прав и законных интересов Администрации или третьих лиц в случаях, когда Пользователь нарушает «Пользовательское соглашение».

4.4. Передача персональной информации третьим лицам осуществляется только с условием принятия такими третьими лицами обязательств по обеспечению конфиденциальности и выполнении иных требований, предусмотренных Законом.

4.5. Персональные данные могут быть переданы уполномоченным государственным органам Республики Казахстан по основаниям и в порядке, установленным законодательством Республики Казахстан.

4.6. При обработке персональных данных пользователей Администрация Сайта руководствуется Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите», требованиями Конституции Республики Казахстан и иными нормативными правовыми актами Республики Казахстан в области персональных данных.

4.7. Администрация вправе собирать, использовать и передавать третьим лицам по собственному усмотрению обезличенные данные (без персональных), загруженные Пользователем в Систему МедТочка и относящиеся в полной или частичной мере к объектам исследования медицинской статистики или другим видам анализа в научных целях, а также для улучшения качества работы Сайта и Системы МедТочка.

4.8. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.

4.9. Администрация вправе запрашивать и обрабатывать следующий перечень персональных данных: фамилия, имя, отчество, пол, возраст, дата рождения, номер телефона, адрес электронной почты, данные документов удостоверяющих личность, СНИЛС, данные свидетельства о рождении, данные о фактах обращения, а также о намерении обратиться, к врачу и/или в лечебно-профилактическое учреждение для получения медицинской помощи, данные о медицинских заключениях, диагнозах, симптомах, любые данные о здоровье, необходимые для использования Сервисов Сайта или Системы МедТочка в целом, данные из медицинских документов, данные о местоположении, данные микрофона (голос), данные камеры (изображение), иная информация о Пользователе указанная и/или загружаемая им или третьими лицами в персонализированный Сервис Сайта (личный кабинет) и/или в Систему МедТочка.

5. Изменение пользователем персональной информации

5.1. Пользователь может в любой момент изменить (обновить, дополнить) предоставленную им персональную информацию или её часть, воспользовавшись функцией редактирования персональных данных в персональном разделе соответствующего Сервиса.

6. Накопление и хранение персональных данных

6.1. Накопление персональных данных осуществляется путём их сбора в объёме, необходимом и достаточном для достижения конкретных, заранее определённых целей обработки, соответствующих задачам, выполняемым Администрацией в рамках своей деятельности.

6.2. Хранение персональных данных, содержащихся в электронных информационных ресурсах, осуществляется Администрацией в электронной базе, находящейся в серверном помещении, расположенном на территории Республики Казахстан, с принятием необходимых мер по защите персональных данных.

6.3. Срок хранения персональных данных определяется в соответствии с целями их сбора и обработки и ограничивается периодом, необходимым для их достижения, за исключением случаев, когда иные сроки хранения установлены законодательством Республики Казахстан.

7. Меры, применяемые для защиты персональной информации пользователей

7.1. Администрация обеспечивает защиту персональных данных путём применения комплекса правовых, организационных и технических мер. Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих возможность несанкционированного, в том числе случайного, доступа к персональным данным при их сборе и обработке, результатом которого могут стать уничтожение, изменение, блокирование, копирование, несанкционированное предоставление третьим лицам, несанкционированное распространение персональных данных, а также иные неправомерные действия.

7.2. Администрация определяет перечень лиц, имеющих доступ к персональным данным ограниченного доступа, а также назначает лицо, ответственное за организацию обработки персональных данных. Доступ к персональным данным имеют только уполномоченные сотрудники Администрации, уполномоченные сотрудники сторонних компаний (т.е. поставщиков услуг) или деловых партнеров, подписавшие договор о конфиденциальности и защите персональных данных. Все сотрудники Администрации, имеющие доступ к персональным данным, должны придерживаться политики по обеспечению конфиденциальности и защиты персональных данных. В целях обеспечения конфиденциальности информации и защиты персональных данных Администрация поддерживает соответствующую ИТ-среду:

7.2.1. применяет сертифицированные средства криптографической защиты информации, не ниже третьего уровня безопасности по СТ РК 1073-2007;

7.2.2. регулярно обновляет программное обеспечение, производит установку антивирусной защиты;

7.2.3. ведёт журналы событий систем управления базами данных и действий Пользователей;

7.2.4. обеспечивает защиту физических носителей, содержащих персональные данные, от утраты или несанкционированного доступа;

7.2.5. обеспечивает резервное копирование и восстановление данных при сбоях или угрозах безопасности.

8. Администрация обязана в течение одного рабочего дня:

8.1. изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;

8.2. блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;

8.3. уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных законодательством Республики Казахстан;

8.4. снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных;

8.5. с момента обнаружения нарушения безопасности персональных данных уведомить уполномоченный орган о таком нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных.

9. Пользователь имеет право:

9.1. знать о наличии у Администрации своих персональных данных, а также получать информацию, содержащую (а) подтверждение факта, цели, источников, способов сбора и обработки персональных данных, (б) перечень персональных данных, (в) сроки обработки персональных данных, в том числе сроки их хранения;

9.2. требовать от Администрации изменения и дополнения своих персональных данных при наличии оснований, подтверждённых соответствующими документами;

9.3. требовать от Администрации блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;

9.4. требовать от Администрации уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных законом и иными нормативными правовыми актами Республики Казахстан;

9.5. отозвать согласие на сбор, обработку, распространение в общедоступных источниках, передачу третьим лицам и трансграничную передачу персональных данных, кроме случаев, предусмотренных законом; Отзыв согласия не влияет на законность обработки персональных данных, осуществленной до момента его отзыва.

9.6. дать согласие (или отказ) Администрации на распространение своих персональных данных в общедоступных источниках персональных данных.

10. Администрация имеет право осуществлять сбор, обработку персональных данных в порядке, установленном Законом и иными нормативными правовыми актами Республики Казахстан.

11. Администрация обязана:

11.1. утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых им задач, если иное не предусмотрено законами Республики Казахстан;

11.2. утверждать документы, определяющие политику в отношении сбора, обработки и защиты персональных данных;

11.3. принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;

11.4. соблюдать законодательство Республики Казахстан о персональных данных и их защите;

11.5. предоставлять по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения требований Закона;

11.6. принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан;

11.7. представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;

11.8. по обращению Пользователя сообщать информацию, относящуюся к нему, в сроки, предусмотренные законодательством Республики Казахстан;

11.9. в случае отказа в предоставлении информации субъекту или его законному представителю представить мотивированный ответ в сроки, предусмотренные законодательством Республики Казахстан.

12. Изменение Политики. Применимое законодательство

12.1. Администрация имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики.

12.2. К настоящей Политике и отношениям между пользователем и Администрацией, возникающим в связи с применением Политики обработки персональных данных, подлежит применению действующее законодательство Республики Казахстан.

12.3. Обратная связь. Вопросы и предложения по поводу настоящей Политики следует сообщать Администрации: help@medrocket.me.