Политика конфиденциальности.

1. Общие положения

1.1.  Настоящая Политика проводится ООО «Криомедицинская техника» (далее — «Организация») в отношении обработки и обеспечения защиты персональных данных физических лиц (субъектов персональных данных) на основании статьи 24 Конституции РФ и Федерального закона N 152-ФЗ «О персональных данных».

1.2. Политика применяется в отношении всех персональных данных (субъектов), которые могут быть получены Организацией в процессе деятельности, в том числе клиентов Организации. Обработка персональных данных в Организации осуществляется в соответствии со следующими нормативно-правовыми актами:

- Трудовой кодекс Российской Федерации;

- Федеральный закон от 27 июля 2006 г. No 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»);

- Постановление Правительства Российской Федерации от 15 сентября 2008 г. No 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Постановление Правительства Российской Федерации от 6 июля 2008 г. No 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

- Постановление Правительства Российской Федерации от 1 ноября 2012 г. No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Приказ ФСТЭК России от 18 февраля 2013 г. No 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

- Приказ Роскомнадзора от 05 сентября 2013 г. No 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

- иные нормативные правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти. 

1.3.  Цель Политики заключается в доведении до лиц, предоставляющих свои персональные данные, необходимой информации, позволяющей оценить, какие персональные данные и с какими целями обрабатываются Организацией, какие методы обеспечения их безопасности реализуются, а также установление основных принципов и подходов к обработке и обеспечению безопасности персональных данных в Организации. 

1.4.  Политика обеспечивает защиту прав и свобод субъектов при обработке их персональных данных с использованием средств автоматизации или без использования таких средств, а также устанавливает ответственность лиц, имеющих доступ к персональным данным, за невыполнение требований, регулирующих обработку и защиту персональных данных.

1.5.  Пользователи, используя сервисы и услуги Организации, сообщив Организации свои персональные данные, в том числе при посредничестве третьих лиц, признают своё согласие на обработку персональных данных в соответствии с настоящей Политикой. Организация получает и начинает обработку персональных данных Субъекта с момента получения его согласия. Согласие на обработку персональных данных может быть дано Субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом персональных данных конклюдентных действий при использовании сервисов на веб-сайте Организации www.cryo-mt.ru, использовании форм обратной связи и акцепте оферт, содержащих в себе положения об обработке персональных данных в соответствии с действующим законодательством и размещенных по ссылкам – www.cryo-mt.ru/help/offer. В случае отсутствия согласия Субъекта персональных данных на обработку его персональных данных, такая обработка не осуществляется.
    1.6.  Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных действующим законодательством.
    1.7.  Настоящая Политика может быть изменена Организацией.

2. Понятие и состав персональных данных

2.1.  В целях настоящей Политики под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных).

2.2.  В зависимости от субъекта персональных данных, Организация для осуществления своей деятельности и для выполнения своих обязательств может обрабатывать персональные данные следующих категорий субъектов: 

- персональные данные работника Организации — информация, необходимая Организации в связи с трудовыми отношениями и касающиеся конкретного работника. Данные Клиента — информация, необходимая Организации для выполнения своих обязательств в рамках договорных отношений с Клиентом и для выполнения требований законодательства Российской Федерации. Сюда также относятся данные, предоставленные потенциальными клиентами, представителями клиентов, уполномоченными представлять клиентов; руководителями и главным бухгалтерами юридических лиц, являющихся клиентами Организации, лицами, заключившими с Организацией гражданско-правовые договоры на оказание услуг Организации; работниками партнеров Организации и других юридических лиц, имеющих договорные отношения с Организацией, с которыми взаимодействуют работники Организации в рамках своей деятельности; 

- персональные данные Клиента, предоставленные при регистрации на web-сайте www.cryo-mt.ru, в том числе при осуществлении Клиентом Заказов, а также при использовании иных сервисов. 

- персональные данные физических лиц, которые сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о персональных данных; 

2.3. Субъект персональных данных, подпадающий в перечень лиц указанных в п. 2.2, клиент организации дает согласие на обработку следующих персональных данных: фамилии, имени, отчества; даты рождения; почтовых адресов (по месту регистрации и для контактов); сведений о гражданстве; номере основного документа, удостоверяющего личность Заказчика, сведений о дате выдачи указанного документа и выдавшем его органе; номерах телефонов; номерах факсов; адресах электронной почты (E-mail).
 

3. Основания и цели обработки персональных данных

3.1.  Организация обрабатывает персональные данные для осуществления своей деятельности, в том числе для оказания Клиентам услуг. 

Организация вправе: 

• осуществлять возложенные на Организацию законодательством Российской Федерации функции в соответствии с ФЗ «О Персональных данных» и иными законами и нормативными правовыми актами РФ, а также Уставом и нормативными актами Организации;
• Организация собирает и хранит персональные данные Клиента, необходимые для оказания услуг, исполнения соглашений и договоров, исполнения обязательств перед Клиентом.

3.2. Организация обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:

─ обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

─ обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

─ обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

─ обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

─ осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

─ осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

3.3. Организация и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.4.  Организация может использовать персональные данные Клиента в следующих целях: 

• идентификация Клиента в рамках договоров;
• связь с Клиентом в случае необходимости, в том числе направление предложений, уведомлений, информации и запросов, как связанных, так и не связанных с оказанием услуг, а также обработка заявлений, запросов и заявок Клиента;
• улучшение качества услуг, оказываемых Компанией.

3.5. Обработка специальных категорий Персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Организацией не осуществляется.
3.6. Правовыми основаниями обработки персональных данных являются следующие правовые акты:

• Федеральный закон "О связи" от 07.07.2003 N 126-ФЗ;
• Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ
• Уставные документы Организации;
• Договоры, заключаемые между Организацией и Клиентами (договор-оферта поставки товара https://cryo-mt.ru/dogovor-oferta/);

4. Принципы обработки персональных данных.

4.1. Обработка Персональных данных Организацией осуществляется на основе принципов:

• законности целей и способов Обработки Персональных данных;
• добросовестности Организацией, как оператора Персональных данных, что достигается путем выполнения требований законодательства Российской Федерации в отношении Обработки Персональных данных;
• соответствия состава и объема обрабатываемых Персональных данных, а также способов Обработки Персональных данных заявленным целям Обработки;
• точности и достаточности, а в необходимых случаях и актуальности Персональных данных по отношению к заявленным целям их Обработки;
• Уничтожения Персональных данных по достижении целей Обработки способом, исключающим возможность их восстановления;
• недопустимости объединения баз данных, содержащих Персональные данные, Обработка которых осуществляется в целях, несовместимых между собой.

4.2. Работники Организации, допущенные к Обработке Персональных данных, обязаны: 

• Знать и неукоснительно выполнять положения: законодательства Российской Федерации в области Персональных данных; настоящей Политики; локальных актов Организации по вопросам Обработки и обеспечения безопасности Персональных данных;
  • Обрабатывать Персональные данные только в рамках выполнения своих должностных обязанностей;
  • Не разглашать Персональные данные, обрабатываемые в Организации;
  • Сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
  • Сообщать об известных фактах нарушения требований настоящей Политики Ответственному за организацию Обработки Персональных данных в Организации.

4.3. Безопасность Персональных данных в Организации обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности Персональных данных, минимизацию возможного ущерба, 

5. Сроки обработки персональных данных

5.1.  Сроки обработки персональных данных определяются исходя из целей обработки в информационных системах Организации, в соответствии со сроком действия договора, соглашения с субъектом персональных данных.

6. Круг лиц допущенных к обработке персональных данных

6.1.  Для достижения целей статьи 3 настоящей Политики к обработке персональных данных допущены только те сотрудники Организации, на которых возложена такая обязанность в соответствии с их служебными (трудовыми) обязанностями. Доступ других сотрудников может быть предоставлен только в предусмотренных законом случаях. Организация требует от своих сотрудников соблюдения конфиденциальности и обеспечения безопасности персональных данных, при их обработке.

6.2.  Организация вправе передать персональные данные третьим лицам в следующих случаях: 

• Субъект персональных данных явно выразил свое согласие на такие действия;
• Передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

При этом к приобретателю переходят все обязательства по соблюдению условий настоящей Политики применительно к полученным им данным.

7. Порядок и методы обработки персональных данных

7.1.  В процессе предоставления услуг, при осуществлении внутрихозяйственной деятельности Организация использует автоматизированную и неавтоматизированную обработку персональных данных.

8. Реализация защиты персональных данных

8.1.  Деятельность Организации по обработке персональных данных в информационных системах неразрывно связана с защитой Организацией конфиденциальности полученной информации. Все работники Организации обязаны обеспечивать конфиденциальность персональных данных, а также об иных сведениях, установленных Организацией, если это не противоречит действующему законодательству РФ.

8.2.  Безопасность персональных данных при их обработке в информационных системах Организации обеспечивается с помощью системы защиты информации.

Обеспечение безопасности обрабатываемых персональных данных осуществляется Организацией в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, составляющей коммерческую тайну, с учетом требований Законодательства о персональных данных, принятых в соответствии с ним нормативных правовых актов.  

8.3.  Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защищенным техническими средствами защиты информации.

8.4.  При обработке персональных данных в информационных системах Организации обеспечиваются: 

• проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передача их лицам, не имеющим права доступа к такой информации;
• своевременное обнаружение фактов несанкционированного доступа к персональным данным;
• недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
• возможность незамедлительного восстановления персональных данных, модифицированных и уничтоженных вследствие несанкционированного доступа к ним;
• постоянный контроль уровня защищенности персональных данных.
• назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
• ограничение состава лиц, имеющих доступ к персональным данным;
• ознакомление субъектов с требованиями федерального законодательства и нормативных документов Организации по обработке и защите персональных данных; 

8.5. Субъект персональных данных соглашается, что в случае перемены лиц в обязательстве, передаче прав требований или обязательств кредитора по заключенному между Субъектом персональных данных и Организацией гражданско-правовому договору, лицо, которому переходят права Исполнителя по Договорам, вправе осуществлять обработку ПД, предоставленных в рамках Договоров, в целях продолжения оказания услуг по заключенному договору.

8.6. В случае несогласия Субъекта персональных данных с указанной в п. 8.5. передачей данных, руководствуясь положениями настоящей Политики, такой субъект вправе отозвать предоставленное Организации согласие на обработку персональных данных