ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

версия 1 от 2 августа 2024 г.

1. Общие положения

1.1. Настоящая Политика в отношении обработки и защиты персональных данных (далее – Политика) составлена в соответствии с Конституцией РФ, Федеральным законом «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иными нормативно-правовыми актами Российской Федерации в области обработки и защиты персональных данных, и действует в отношении всех персональных данных, которые Центр живых систем МФТИ (далее – Оператор, Общество) может получить от субъекта персональных данных, являющегося Пользователем Сайта, стороной по гражданско-правовому договору, а также в иных случаях.
1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.3. Политика устанавливает обязательные для сотрудников Оператора, задействованных в обслуживании Сайта, в заключении и исполнении гражданско-правовых договоров, общие требования и правила по работе с персональными данными субъектов персональных данных, независимо от вида носителя информации, содержащего такие данные.
1.4. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в Политику указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики.

2. Термины и определения

2.1. Сайт – совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети Интернет. Под Сайтом в Соглашении понимается сайт, расположенный в сети Интернет по адресу: trials.genlab.llc.
2.2. Участник исследования/Пользователь/субъект персональных данных – участник научного исследования. Участник может иметь свою личную страницу (профиль/аккаунт/личный кабинет). Участник может заполнять онлайн анкету для участия в исследовании.
2.3. Федеральный закон – Федеральный закон от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
2.4. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
2.5. Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является Центр живых систем Московского физико-технического института (Центр живых систем МФТИ), ОГРН: 1027739386135, ИНН: 5008006211, расположенное по адресу: 141701 Московская обл., Долгопрудный, Институтский переулок д.9 строение 7, МФТИ, корпус Физтех.Био, офис 618.
2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.8. Неавтоматизированная обработка персональных данных – обработка персональных данных без средств автоматизации. Распространение персональных данных – действие, направленное на раскрытие персональных данных определенному кругу лиц по предварительному согласию, в случаях, предусмотренных законом.
2.9. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.10. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.
2.11. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.

3. Принципы, условия и цели обработки персональных данных

3.1. Принципы обработки персональных данных Оператора:
3.1.1. Обработка персональных данных осуществляется на законной и справедливой основе.
3.1.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.1.3. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.1.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3.1.5. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
3.1.6. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором и иными документами, стороной которого является субъект персональных данных.
3.1.7. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
3.2. Условия обработки персональных данных Оператора:
3.2.1. Обработка персональных данных субъектов персональных данных осуществляется на основании Гражданского кодекса РФ, Конституции РФ, Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иных нормативно-правовых актов Российской Федерации в области защиты и обработки персональных данных.
3.2.2. Обработка персональных данных допускается только с согласия субъекта персональных данных на их обработку, данного в соответствии с требованиями действующего законодательства РФ.
3.3. Цели обработки персональных данных:
3.3.1. Предоставление Участнику исследования возможности принять участие в исследовании, заполнив анкету;
3.3.2. Предоставление Участнику исследования возможности взаимодействовать с Сайтом;
3.3.3. Осуществление дистанционного взаимодействия с Участниками исследования в рамках сервисно информационного обслуживания посредством сайта Оператора в сети «Интернет»;
3.3.4. Предоставление Участнику исследования (субъекту персональных данных) информации о результатах исследования;
3.3.5. Предоставление Участнику исследования (субъекту персональных данных) информации об проводимых Оператором научных исследованиях;
3.3.6. Продвижение исследований Оператора, информирование о необходимости повторного визита, участии в новых исследованиях путем направления с согласия Участника исследования (субъекта персональных данных) новостных рассылок: смс — сообщений, сообщений на адрес электронной почты, почтовой и телефонной связи.

4. Источники получения персональных данных

4.1. Источником информации обо всех персональных данных субъекта персональных данных является непосредственно сам субъект персональных данных.
4.2. Источником информации о персональных данных субъекта персональных данных являются сведения, полученные вследствие:
4.2.1. Регистрации Участника исследования на Сайте и/или заполнения анкеты и предоставления Участником исследования Оператору своих персональных данных;
4.3. Персональные данные относятся к конфиденциальной информации ограниченного доступа.
4.4. Обеспечения конфиденциальности персональных данных не требуется в случае их обезличивания, а также в отношении общедоступных персональных данных.
4.5. Оператор не имеет права собирать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, частной жизни, за исключением случаев, предусмотренных действующим законодательством РФ.
4.6. Оператор не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных действующим законодательством РФ.

5. Права субъекта персональных данных

5.1. Субъект персональных данных имеет право:
5.1.1. Получать информацию, касающуюся обработки его персональных данных в порядке, форме и сроки, установленные законодательством о персональных данных;
5.1.2. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, не являются необходимыми для заявленной цели;
5.1.3. Принимать предусмотренные законом меры по защите своих прав;
5.1.4. Отозвать свое согласие на обработку персональных данных;

6. Обязанности и права Оператора

6.1. По факту личного обращения либо при получении письменного запроса субъекта персональных данных или его представителя, действующего на законных основаниях, Оператор обязан в течение 30 дней с получения запроса субъекта персональных данных или его представителя предоставить сведения в объеме, установленном Федеральным законом. Такие сведения должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.2. В случае отказа в предоставлении субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней с даты получения запроса субъекта персональных данных или его представителя.
6.3. В случае получения запроса от уполномоченного органа по защите прав субъектов персональных данных о предоставлении информации, необходимой для осуществления деятельности указанного органа, Оператор обязан сообщить такую информацию в уполномоченный орган в течение 30 дней с даты получения такого запроса.
6.4. В случае выявления неправомерной обработки персональных данных при обращении или по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных, Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.
6.5. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных.
6.6. Оператор вправе поручать обработку персональных данных другому лицу в соответствии с ч.3 ст.6 Федерального закона «О персональных данных» с согласия субъекта персональных данных. Ответственность перед субъектом персональных данных за действия другого лица, осуществляющего обработку персональных данных субъекта, несет Оператор.

7. Режим конфиденциальности

7.1. Оператор обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства РФ.
7.2. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено Федеральным законом.
7.3. Персональные данные субъекта персональных данных являются конфиденциальной информацией.
7.4. Лица, осуществляющие обработку персональных данных, обязаны соблюдать требования регламентирующих документов Оператора в части обеспечения конфиденциальности и безопасности персональных данных.

8. Обработка персональных данных

8.1. Перечень обрабатываемых персональных данных Участников исследования зависит от характера взаимоотношений Участника исследования с Оператором, и может включать в себя следующие персональные данные: фамилия, имя, отчество, пол, дата рождения, место рождения, гражданство, место жительства, место регистрации, дата регистрации; контактный телефон; адрес электронной почты; паспортные данные или данные иного основного документа, удостоверяющего личность, данные документа, подтверждающего права представителя, семейное положение, состав семьи, изображение гражданина, запись его голоса, а также видеозаписи консультаций, предоставляемых с использованием телемедицинских технологий, рост, вес, сведения о состоянии здоровья и о факте обращения за медицинской помощью; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес).
8.2. Лица, имеющие право доступа к персональным данным:
8.2.1. Правом доступа к персональным данным субъектов обладают лица, наделенные Оператором соответствующими полномочиями, в соответствии со своими служебными обязанностями, а также лица, указанные в п. 8.2.3 Политики;
8.2.2. Перечень лиц, имеющих доступ к персональным данным, утверждается генеральным директором Оператора.
8.2.3. Оператор передает персональные данные третьим лицам и поручает обработку персональных данных сторонним лицам и организациям с согласия субъекта персональных данных.
8.3. От имени Оператора персональные данные Участника исследования обрабатывают сотрудники Оператора (администраторы баз данных и т. д.), допущенные установленным порядком к обработке персональных данных Участника исследования.
8.4. Блокирование персональных данных.
8.4.1. Под блокированием персональных данных понимается временное прекращение Оператором операций по их обработке по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных, по мнению субъекта персональных данных, действий в отношении его данных.
8.4.2. Блокирование персональных данных на Сайте осуществляется на основании письменного заявления от субъекта персональных данных.
8.5. Уничтожение персональных данных.
8.5.1. Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных на Сайте и/или в результате которых уничтожаются материальные носители персональных данных.
8.5.2. Субъект персональных данных вправе в письменной форме требовать уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
8.5.3. В случае отсутствия возможности уничтожения персональных данных Оператор осуществляет блокирование таких персональных данных.
8.5.4. Уничтожение персональных данных осуществляется путем удаления информации администрацией Сайта (стирание), уничтожения носителя персональных данных (персональные данные на бумажном носителе): шредирование, термическая обработка и т.д.

9. Система защиты персональных данных

9.1. Меры по обеспечению безопасности персональных данных при их обработке.
9.1.1. Оператор при обработке персональных данных предпринимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2. Система защиты персональных данных Оператора обеспечивает: – своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; – недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование; – возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; – постоянный контроль за обеспечением уровня защищенности персональных данных.
9.3. Все сотрудники Оператора, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с Политикой, требованиями законодательства РФ. Лица, виновные в нарушении требований Политики, несут предусмотренную законодательством РФ ответственность.

10. Заключительные положения

10.1. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных, настоящая Политика действует в части, не противоречащей действующему законодательству до приведения ее в соответствие с ним.
10.2. Условия настоящей Политики устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления субъекта персональных данных. С момента размещения на Сайте новой редакции Политики предыдущая редакция считается утратившей свою силу. В случае существенного изменения условий настоящей Политики Оператор извещает об этом субъекта персональных данных путем размещения на Сайте соответствующего сообщения.
10.3. Если субъект персональных данных не согласен с условиями настоящей Политики, то он обязан отозвать свое согласие на обработку персональных данных, подав письменное заявление в произвольной форме, направив его по адресу электронной почты: contact@genlab.llc или заказным письмом с уведомлением по следующему адресу: 141701 Московская обл., Долгопрудный, Институтский переулок д.9 строение 7, МФТИ, корпус Физтех.Био, офис 618. Участник исследования также должен немедленно удалить свой профиль с Сайта. В противном случае, профиль Участника исследования, отозвавшего свое Согласие, удаляется администрацией Сайта самостоятельно.