1.1 Настоящая Политика обработки персональных данных (далее – Политика) разработана во исполнение требований Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон) и действует в отношении всей информации, которую ООО «Портал здоровья» (УНП 193439282, 220062, Республика Беларусь, г. Минск, ул. Мяcтровская, 26, 2-й этаж, адрес в сети Интернет: https://www.waytohealth.by) (далее – Оператор) может получить о субъекте персональных данных, определяет основные цели и правовые основания обработки персональных данных, перечни субъектов и обрабатываемых у оператора персональных данных, порядок, условия, способы обработки персональных данных, права субъектов персональных данных, обязанности оператора при обработке персональных данных.
1.2 Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3 Действия настоящей Политики распространяется на все операции, совершаемые оператором с персональными данными с использованием средств автоматизации или без их использования.
1.4 Политика не применяется к обработке персональных данных в процессе трудовой деятельности и при осуществлении административных процедур (в отношении работников и бывших работников), при видеонаблюдении, а также при обработке cookie-файлов на интернет-сайте Оператора.
1.5 Оператор обязуется соблюдать законы и правила, касающиеся защиты персональных данных субъекта персональных данных, действующие в Республике Беларусь.
1.6 Оператор осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей, и не допускает их избыточной обработки.
1.7 Оператор не проверяет достоверность персональных данных, предоставляемых субъектом персональных данных. В связи с этим негативные последствия (в том числе и любого рода ответственность), которые могут наступить в связи с предоставлением недостоверных персональных данных, находятся в поле ответственности самого субъекта персональных данных.
1.8 В настоящей Политике используются термины и их определения в значении, определенном Законом.
1.9 Настоящая Политика вступает в силу с момента ее утверждения.
2.1 Оператор собирает и обрабатывает персональные данные для следующих целей:
2.1.1 для предоставления услуг клиентам;
2.1.2 для оценки и повышения качества оказываемых услуг;
2.1.3 для подготовки, заключения, изменения и прекращения договоров с субъектами персональных данных, исполнения Оператором обязательство по договору;
2.1.4 для отправки субъектам персональных данных уведомлений, коммерческих предложений, информирования об услугах, которые могут быть оказаны Оператором;
2.1.5 для установления с субъектом персональных данных обратной связи, включая направление уведомлений, запросов, касающихся использования сайта Оператора для оказания услуг;
2.1.6 для предоставление субъекту персональных данных с его согласия иных сведений/уведомлений от имени Оператора;
2.1.7 для рассмотрения обстоятельств по поступившим жалобам, претензиям и (или) обращениям клиентов и иных субъектов персональных данных и защиты своих законных интересов;
2.1.8 для ведения кадровой работы, учета работников, их контактных данных, для размещения информации о них на сайте;
2.1.9 для рассмотрения резюме кандидатов и подбора персонала на вакантные должности Оператора;
2.1.10 в иных целях, не противоречащих законодательству Республики Беларусь.
2.2 Персональные данные, собираемые и обрабатываемые Оператором, могут включать в себя следующую информацию: фамилия, имя, отчество, дата рождения, место рождения, данные документа, удостоверяющего личность, фото, гражданство, место работы, должность, контактная информация (номер телефона, адрес электронной почты, адрес регистрации (проживания)), сведения об образовании, место учебы, род занятий (специальность, область профессиональных знаний), сведения, содержащиеся в резюме, сведения о трудовой деятельности, биографические сведения, сведения, содержащиеся в доверенности, банковские реквизиты (расчетный счет, БИК), электронная подпись, сведения, содержащиеся в обращении, история запросов и просмотров на сайте, иная информация (перечень может быть дополнен или сокращен в зависимости от конкретного случая и целей обработки). При посещении сайта Оператора автоматически собирается информацию об использовании сайта. Данная информация, среди прочего, включает в себя: имя домена и узла доступа в Интернет, IP-адрес компьютера или поставщика услуг Интернета, используемая операционная система (например, Mac OS, Windows), версия веб-обозревателя (например, Mozilla Firefox, Internet Explorer, Opera), имя веб-сайта, с которого был выполнен переход на сайт, информация из файлов «cookie», тип используемого устройства, адреса запрошенных страниц, время доступа.
2.3 Оператор осуществляет обработку персональных данных субъектов персональных данных в целях, объеме, на правовых основаниях и в сроки применительно к каждой категории субъектов персональных данных согласно Приложению 1 к настоящей Политике.
3.1 Оператор имеет право:
3.1.1 получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
3.1.2 в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе;
3.1.3 определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом или другими законодательными актами Республики Беларусь.
3.1.4 отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок.
3.2 Оператор обязан:
3.2.1 разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
3.2.2 получать согласие субъекта персональных данных (Приложение 2 к настоящего Политике), за исключением случаев, предусмотренных законодательными актами;
3.2.3 предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам (Приложение 3 к настоящей Политике), за исключением случаев, предусмотренных законодательными актами. Информация предоставляется в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных, если иной срок не установлен законодательными актами;
3.2.4 внести изменения в персональные данные субъекта при наличии сведений, подтверждающих, что обрабатываемые персональные данные являются неполными, устаревшими, неточными (Приложение 3 к настоящей Политике) в пятнадцатидневный срок после получения заявления;
3.2.5 прекратить обработку персональных данных субъекта и осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) по его письменному заявлению в пятнадцатидневный срок после получения заявления
3.2.6 прекратить обработку персональных данных в случаях, если персональные данные незаконно получены или не являются необходимыми для заявленной цели обработки, а также в случае отзыва субъектом согласия на обработку его персональных данных, при отсутствии у оператора законных оснований для продолжения обработки персональных данных (Приложение 3 к настоящей Политике);
3.2.7 уведомить субъекта персональных данных о результатах запрашиваемых субъектом действий в порядке и сроки, предусмотренные законодательством Республики Беларусь.
3.2.8 обеспечивать защиту персональных данных в процессе их обработки;
3.2.9 принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных;
3.2.10 уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
3.2.11 осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
3.2.12 исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
3.2.13 выполнять иные обязанности, предусмотренные законодательными актами;
3.2.14 обеспечить неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Оператора (уполномоченного лица) в отношении обработки персональных данных, до начала такой обработки.
4.1. Субъект персональных данных имеет право:
4.1.1 на отзыв своего согласия (Приложение 3 к настоящей Политике), если для обработки персональных данных Оператор обращался к субъекту персональных данных за получением согласия. Право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на иных правовых основаниях (например, в соответствии с требованиями законодательства либо на основании договора);
4.1.2 на получение информации, касающейся обработки своих персональных данных у Оператора, содержащей:
– место нахождения Оператора;
– подтверждение факта обработки персональных данных обратившегося лица у Оператора;
– персональные данные и источник их получения;
– правовые основания и цели обработки персональных данных;
– срок, на который дано согласие (если обработка персональных данных осуществляется на основании согласия);
– наименование и место нахождения уполномоченного лица (уполномоченных лиц);
– иную информацию, предусмотренную законодательством;
4.1.3 требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными (Приложение 3 к настоящей Политике). В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;
4.1.4 на получение от Оператора информации о предоставлении своих персональных данных, обрабатываемых Оператором, третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами (Приложение 3 к настоящей Политике);
4.1.5 требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами (Приложение 3 к настоящей Политике);
4.1.7. на обжалование действий (бездействия) и решений Оператора, нарушающих его права при обработке персональных данных, в порядке, установленном законодательством.
4.2. Для реализации своих прав, связанных с обработкой персональных данных у Оператора, субъект персональных данных подает Оператору заявление в письменной форме (Приложение 3 к настоящей Политике) по почтовому адресу, указанному в подпункте 1.1 пункта 1 настоящей Политики, или посредством государственной единой (интегрированной) республиканской информационной системы учета и обработки обращений граждан и юридических лиц (https://обращения.бел), а в случае реализации права на отзыв согласия – в форме, в которой такое согласие было получено.
4.1. Оператор не рассматривает заявления субъектов персональных данных, поступившие в его адрес иными способами (e-mail, телефон и т.п).
4.3. За содействием в реализации прав, связанных с обработкой персональных данных у Оператора, субъект персональных данных может обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных у Оператора, направив сообщение на электронный адрес pd@waytohealth.by.
4.4 Субъект персональных данных обязан:
4.4.1 предоставлять оператору достоверные сведения о себе;
4.4.2 в случае необходимости предоставлять оператору документы, содержащие персональные данные в объеме, необходимом для цели их обработки;
4.4.3 информировать оператора об изменении своих персональных данных.
4.4 Субъект персональных данных, предоставивший оператору неполные, устаревшие, недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с законодательством.
5.1 Обработка персональных данных осуществляется с согласия субъекта персональных данных. Согласие субъекта персональных данных на обработку персональных данных не требуется в случаях, предусмотренных Законом, включая следующие:
– при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
– при обработке персональных данных, когда они указаны в документе, адресованном Оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
– в других в случаях, предусмотренных законодательством.
5.2 При обращении за оказанием услуги клиента, признанного недееспособным или ограниченно дееспособным, либо пациента, не достигшего шестнадцатилетнего возраста, согласие на обработку персональных данных дает один из его законных представителей (Приложение 2 к настоящей Политике).
5.3 Оператор может получать персональные данные клиентов и других категорий субъектов:
– при их личном обращении;
– c использованием технических средств Сайта / ресурсов сети Интернет при использовании их субъектом персональных данных;
– из публичных источников.
5.4 Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, и иных мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
5.4.1 Правовые меры, принимаемые Центром в области защиты персональных данных:
– утверждение настоящей Политики;
– включение в договоры с организациями – партнёрами дополнительных требований о соблюдении условий конфиденциальности и законодательства в области зашиты персональных данных;
– издание иных документов, необходимых для обеспечения соблюдения законодательства в области защиты персональных данных.
5.4.2 Организационные меры, принимаемые Оператором в области защиты персональных данных:
– назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
– обеспечение неограниченного доступа к документам, определяющим политику Оператора в области защиты персональных данных, в том числе путём размещения таких документов в глобальной сети Интернет на сайте;
– ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, либо имеющим к ним доступ в силу исполнения должностных обязанностей, с положениями законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
– учёт и регистрация всех обращений субъектов персональных данных по вопросам персональных данных;
– прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Республики;
– обеспечение условия для хранения документов, содержащих персональные данные в ограниченном доступе;
– контроль соблюдения требований по обеспечению безопасности персональных данных, в том числе установленных настоящей Политикой.
5.4.3 Технические меры, принимаемые Оператором в области защиты персональных данных:
– предоставление каждому сотруднику, имеющему доступ к автоматизированным системам хранения и обработки персональных данных, персонализированной учётной записи, доступ к которой обеспечен при введении индивидуальных логина и пароля, а также возможность отследить все совершаемые в автоматизированной системе действий такого сотрудника;
– определение угроз безопасности персональных данных при их обработке; применение мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
– обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
– восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
5.5 Оператор также принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
5.6 Персональные данные Пользователя не передаются третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.
5.7 Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.
5.8 Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РБ.
5.9 Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных
5.10 Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.
5.11 Доступ к персональным данным предоставляется только уполномоченным сотрудникам Оператора, назначенным приказом руководителя.
5.12 Трансграничная передача персональных данных Оператором не производится.
6.1 Настоящая Политика является официальным документом и публикуется в информационной коммуникационной сети Интернет на Сайте Оператора: https://waytohealth.by/, а также на информационных стендах по месту оказания услуг: ул. Мяcтровская, 26, 2-й этаж.
6.2 Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
6.3 Оператор вправе по своему усмотрению изменять/дополнять условия настоящей Политики в соответствии с требованиями законодательства.