1. Общие положения и термины

1.1. Настоящая Политика конфиденциальности АО «Р-Фарм» для Сайта «МедПризыв2020» (далее – «Политика») принята и действует в АО «Р-Фарм» (адрес местонахождения: 123154, Москва, ул. Берзарина, д. 19, корп. 1. Телефон: 8-495-956-79-37. ИНН: 7726311464. КПП: 997550001. ОГРН: 1027739700020) (далее — «Общество», «Оператор»).

1.2. Политика определяет общие принципы и регулирует порядок обработки персональных данных пользователей Сайта МедПризыв2020, а также меры по обеспечению безопасности персональных данных.

1.3. Цель Политики – обеспечение защиты прав и свобод человека во время обработки его персональных данных, включая защиту частной жизни, личной и семейной тайны.

1.4. Настоящая Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», иными законодательными и нормативными правовыми актами Российской Федерации, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.

1.5. Действие Политики распространяется на персональные данные, передаваемые Обществу пользователями при использовании Сайта.

1.6. При использовании Сайта и предоставлении своих персональных данных Обществу пользователь действует добровольно и дает свое согласие на обработку своих персональных данных в соответствии с Политикой.

1.7. Основные понятия:

«Дата-центр» - специализированная организация, предоставляющая услуги по размещению серверного и сетевого оборудования, сдаче серверов (в том числе виртуальных) в аренду, а также подключению к сети интернет.

«Информационная система персональных данных» - совокупность персональных данных, содержащихся в базах данных, и обеспечивающих их обработку информационных технологий и технических средств.

«Обработка персональных данных» – осуществление любых действий (операций) или совокупности действий? (операций) в отношении персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление и изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение, как с использованием, так и без использования средств автоматизированной? обработки персональных данных.

«Оператор» - лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Оператором является АО «Р-Фарм».

«Персональные данные» – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

«Пользователь» - субъект персональных данных, который предоставляет Оператору свои персональные данные при использовании Сайта.

«Сайт» - веб-сайт «МедПризыв2020» и/или сервисы, службы, продукты и приложения, размещенные на веб-сайте, принадлежащем Обществу.

1.8. Обработку персональных данных Пользователей осуществляет Оператор.

2. Категории Пользователей, чьи персональные данные обрабатываются Оператором

2.1. Оператор обрабатывает персональные данные следующих категорий Пользователей:

• посетители Сайта, предоставляющие свои персональные данные для получения информации на Сайте.

2.2. Оператор не осуществляет обработку персональных данных Пользователей, не достигших возраста 14 (четырнадцати) лет. В случае выявления персональных данных лиц, не достигших возраста 14 (четырнадцати) лет, персональные данные таких лиц будут удалены Оператором, и дальнейшая обработка персональных данных таких лиц осуществляться не будет.

3. Перечень и цели обработки персональных данных

3.1. В перечень персональных данных, обрабатываемых Обществом, входят:

• информация, содержащаяся в тексте обращений, которые Пользователь направляет в адрес Общества;
• технические данные, которые автоматически передаются устройством, на котором Пользователь заходит на Сайт: технические характеристики устройства и используемого программного обеспечения, IP-адрес, информация, сохраненная в файлах «cookie» (небольшие файлы с данными, которые были отправлены на устройство Пользователя с посещаемого им Сайта), информация о браузере (или иной программе, с помощью которой Пользователь осуществляет доступ к Сайту), дата и время доступа к Сайту, адреса запрашиваемых страниц и иная подобная информация;
• иная информация, которую Пользователь добровольно предоставил Обществу.

3.2. Информация о Пользователе, обрабатываемая Обществом:

• информация, содержащаяся в тексте обращений, которые Пользователь направляет в адрес Общества;
• сведения об устройстве Пользователя, используемом для доступа к Сайту, и данные об использовании Сайта.

3.3. Цели обработки персональных данных:

• обработка запросов Пользователей, предоставление ответов и иная ответная коммуникация с Пользователями;
• аналитика. Файлы cookie и другие идентификаторы применяются для сбора информации об использовании Сайта;
• обеспечение безопасности и разрешение споров.

4. Принципы, условия и способы обработки персональных данных

4.1. Принципы обработки персональных данных.

Обработка персональных данных осуществляется в соответствии со следующими принципами:

• абсолютная законность действий;
• ограничение обработки при достижении заранее определенных целей;
• обработка только необходимых для определенных целей персональных данных;
• использование точных, достаточных и актуальных персональных данных и проведение работ по их актуализации;
• персональные данные хранятся в форме, позволяющей определить Пользователя, ровно столько, сколько этого требуют цели обработки персональных данных (если не установлен иной срок хранения);
• все персональные данные уничтожаются по достижению целей обработки или при утрате необходимости достижения таких целей, а также в иных случаях, предусмотренных законодательством РФ.

4.2. Условия обработки персональных данных.

Обработка персональных данных Оператором допускается в следующих случаях:

• при наличии согласия Пользователя на обработку его персональных данных;
• для выполнения функций, полномочий и обязанностей, которые были возложены на Оператора законодательством РФ;
• для статистических и исследовательских целей (при условии обязательного обезличивания данных);
• Пользователь предоставил доступ к своим персональным данным неограниченному кругу лиц (сделал свои персональные данные общедоступными);
• персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с законодательством РФ;
• Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия Пользователя, если иное не предусмотрено законодательством РФ;
• Оператор не обрабатывает персональные данные, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья;
• Оператор не обрабатывает биометрические персональные данные Пользователей.

4.3. Способы обработки персональных данных:

• Оператор может осуществлять обработку Персональных данных как с использованием средств автоматизации, так и без использования таких средств.
• по отношению к целям обработки персональных данных Оператор совершает следующие действия с персональными данными Пользователей: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение;
• Оператор вправе осуществлять обработку персональных данных самостоятельно или с привлечением третьих лиц, осуществляющих обработку персональных данных по поручению Оператора;
• настоящая Политика предусматривает возможность передачи данных на территорию иностранных государств для выполнения целей, указанных в Политике;
• в соответствии с требованиями действующего законодательства при сборе персональных данных Оператор осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

5. Прекращение обработки персональных данных

5.1. Оператор прекращает обработку Персональных данных:

• при достижении целей обработки или при утрате необходимости в достижении указанных целей;
• в случае выявления неправомерной обработки персональных данных;
• при истечении срока действия согласия Пользователя на обработку его персональных данных, если иное не предусмотрено действующим законодательством РФ;
• в случае отзыва согласия Пользователя на обработку его персональных данных, если иное не предусмотрено действующим законодательством РФ;
• при ликвидации Общества.

6. Конфиденциальность персональных данных

6.1. Оператор обеспечивает конфиденциальность обрабатываемых им персональных данных в порядке, предусмотренном федеральными законами.

6.2. Оператор вправе поручить обработку персональных данных третьему лицу с согласия Пользователя, если иное не предусмотрено Федеральным законом РФ от 27.07.2006 № 152 ФЗ «О персональных данных», на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом РФ от 27.07.2006 № 152 ФЗ «О персональных данных». В поручении на обработку персональных данных Оператор определяет перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, должны быть определены цели обработки персональных данных, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к обеспечению безопасности обрабатываемых персональных данных.

6.3. Оператор вправе разместить свои информационные системы персональных данных на хостинге или в Дата-центре иных лиц. Если договором с оператором информационной системы (Дата-центра), обеспечивающим услуги хостинга, доступ персонала оператора информационной системы (Дата-центра) к информационной системе персональных данных Оператора не допускается, данное размещение не рассматривается как поручение оператору информационной системы (Дата-центра) обработки персональных данных и не требует согласия Пользователей.

6.4. Если обработку персональных данных осуществляет третье лицо по поручению Оператора, ответственность за действия третьего лица перед Пользователем несет сам Оператор. Лицо, непосредственно осуществляющее обработку персональных данных, несет, в свою очередь, ответственность перед Оператором.

7. Согласие Пользователей на обработку персональных данных

7.1. Пользователь Сайта самостоятельно и свободно принимает решение о предоставлении Обществу своих персональных данных. Согласие на обработку персональных данных может предоставляться в любой форме, позволяющей подтвердить факт его получения, если иное не установлено законодательством РФ.

7.2. Согласие Пользователя действует 1 (один) год с момента его предоставления, либо до момента отзыва такого согласия. Отзыв согласия осуществляется Пользователем в соответствии с п. 8.2. настоящей Политики.

7.3. Если согласие дает представитель Пользователя, то Оператор имеет право проверить полномочия представителя на дачу такого согласия.

8. Права Пользователей

8.1. Пользователь имеет право получать информацию, которая касается обработки его персональных данных. Он может требовать их уточнения, блокирования или уничтожения, а также отзывать свое согласие на обработку персональных данных.

8.2. По вопросам, предусмотренным п. 8.1. настоящей Политики, Пользователь может обратиться к Оператору, указав тему обращения, путем направления сообщения Оператору на электронный адрес: dpo@rpharm.ru.

8.3. Чтобы обеспечить защиту прав и свобод Пользователей, по запросу Пользователя Оператор:

• в течение 30 (тридцати) календарных дней с момента получения запроса подтверждает обработку персональных данных Пользователя, и предоставляет возможность ознакомиться с ними, если это не противоречит законодательству РФ;
• обязан сообщить о составе персональных данных Пользователя и источнике их получения, если иной порядок предоставления таких данных не предусмотрен законодательством РФ;
• сообщает Пользователю о правовых основаниях, целях, сроках и способах обработки его персональных данных;
• в течение 7 (семи) рабочих дней с момента получения подтверждения актуализирует персональные данные, если они являются неполными, неточными или неактуальными;
• сообщает Пользователю об осуществленной или о предполагаемой трансграничной передаче его персональных данных;
• сообщает Пользователю наименование и местонахождение организаций, которые имеют или могут получить доступ к его персональным данным, а также которым может быть поручена их обработка;
• уведомляет Пользователя о порядке осуществления его прав при обработке персональных данных;
• в течение 30 (тридцати) календарных дней с момента получения отзыва согласия прекращает обработку персональных данных, если для дальнейшей обработки персональных данных не будет правовых оснований, предусмотренных законодательством РФ;
• прекращает обработку персональных данных, если будет подтверждено, что Оператор их обрабатывает неправомерно, и уведомляет Пользователя о предпринятых мерах;
• блокирует персональные данные Пользователя, если Пользователь заявляет о неправомерной обработке персональных данных либо о неточности персональных данных, на период проверки, если блокирование персональных данных не нарушает права и законные интересы Пользователя или третьих лиц;
• уничтожает персональные данные Пользователя, если будет подтверждено, что они незаконно получены или не соответствуют заявленным целям обработки, в течение 7 (семи) рабочих дней с даты получения соответствующего подтверждения и уведомляет Пользователя о предпринятых мерах;
• отвечает на вопросы Пользователя, касающиеся обработки персональных данных Пользователя.

9. Безопасность и защита персональных данных

9.1. Защита персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства РФ в области защиты персональных данных. Во внутренних документах Оператора закреплены конкретные меры, которые применяет Оператор.

9.2. Правовые меры включают в себя:

• разработку нормативных локальных актов Оператора, реализующих требования законодательства РФ в отношении обработки и обеспечения безопасности персональных данных;
• включение в договоры с третьими лицами, которым могут быть переданы персональные данные Пользователей или которым может быть поручена обработка персональных данных Пользователей, требований об обеспечении конфиденциальности полученных от Оператора персональных данных.

9.3. Организационные меры включают в себя:

• назначение лица, ответственного за организацию обработки персональных данных;
• минимизацию количества работников Оператора и иных лиц, привлекаемых Оператором к обработке персональных данных, и создание системы условий для доступа к ним;
• ознакомление работников Оператора или иных уполномоченных на обработку персональных данных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, с нормативными локальными актами Оператора по вопросам обработки персональных данных, обучение указанных работников;
• регламентацию процессов обработки персональных данных;
• организацию Оператором и лицами, осуществляющими обработку персональных данных по поручению Оператора, учета материальных носителей персональных данных и их хранения для предотвращения хищения, подмены, несанкционированного копирования и уничтожения;
• определение угроз безопасности персональных данных, актуальных для информационных систем персональных данных с учетом оценки возможного вреда Пользователям, который может быть причинен в случае нарушения требований безопасности, формирование на их основе моделей угроз безопасности персональных данных;
• определение уровня защищенности персональных данных и обеспечение необходимого уровня их защиты;
• оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
• размещение технических средств обработки персональных данных в пределах охраняемой территории;
• ограничение допуска посторонних лиц в помещения Оператора, недопущение их нахождения в помещениях, где осуществляется обработка персональных данных и размещаются технические средства обработки, без контроля со стороны работников Оператора;
• контроль за выполнением настоящих требований.

9.4. Технические меры включают в себя:

• использование для нейтрализации актуальных угроз средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
• реализацию разрешительной системы доступа к персональным данным, обрабатываемым в информационных системах, и средствам защиты информации;
• регистрацию и учет действий c персональными данными пользователей информационных систем, в которых обрабатываются персональные данные;
• выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Оператора;
• безопасное межсетевое взаимодействие;
• обнаружение вторжений в информационную систему Оператора, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (систему резервного копирования и восстановления персональных данных);
• периодическое проведение мониторинга действий пользователей, а также разбирательств по фактам нарушения требований безопасности персональных данных.

10. Раскрытие информации и персональных данных

10.1. Оператор не передает персональные данные третьим лицам без предварительного согласия Пользователя, за исключением случаев, когда такая передача осуществляется в соответствии с требованиями законодательства РФ.

10.2. Оператор может раскрывать персональные данные Пользователей в следующих случаях:

• c предварительного согласия Пользователя;
• Оператор может раскрыть персональные данные третьим лицам, работающим от имени Общества для достижения целей, описанных выше в настоящей Политике.

11. Трансграничная передача персональных данных

11.1. Настоящая Политика предусматривает возможность трансграничной передачи Оператором персональных данных Пользователей как на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, так и иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, с учетом требований Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных».

12. Использование файлов «cookie» и аналогичных технологий

12.1. Оператор использует файлы cookie и(или) аналогичные технологии для обеспечения работы Сайта, а также для сбора аналитических данных.

12.2. Файлы cookie – это небольшие файлы с данными, создаваемые веб-сайтами, которые посещают Пользователи. Они направляются на устройство Пользователя (обычно в браузер) во время использования сайта и сохраняются на устройстве, чтобы затем повторно передаваться на сайт при следующем его посещении для упрощения работы в интернете. Такие файлы помогают сайту запоминать, что Пользователь на нем делал, хранить настройки, введенные данные, предлагать релевантную информацию, а также анализировать эффективность страниц сайта.

12.3. Оператор использует файлы cookie в следующих целях:

• Аналитика. Файлы cookie и другие идентификаторы применяются для сбора информации об использовании Сайта. Эта информация помогает в дальнейшем оценивать эффективность Сайта.

12.4. При посещении Сайта на устройстве Пользователя могут сохраняться файлы cookie других компаний. В части случаев это происходит из-за привлечения сторонних компаний для предоставления определенных услуг. В других случаях это связано с тем, что Сайт может содержать контент сторонних компаний (изображения, видео). Если Пользователь взаимодействует с таким контентом, он подключается к серверам третьих компаний для получения информации, а эти компании в свою очередь могут сохранять собственные файлы cookie на устройстве Пользователя для сбора сведений о действиях Пользователя.

12.5. Использование веб-маяков и аналитических служб.

Некоторые страницы Сайта могут содержать электронные изображения, называемые «веб-маяками» (однопиксельные GIF-файлы, пустые GIF-файлы и пиксельные теги). Веб-маяки используются для упрощения сбора статистики Сайта. Веб-маяки позволяют также подсчитывать общее количество посетителей, просмотревших те или иные страницы Сайта и отслеживать их взаимодействие с контентом Сайта, что позволяет лучше персонализировать предоставляемый контент. Веб-маяки не используются для сбора или доступа к персональным данным без согласия Пользователя.

12.6. Управление файлами cookie.

У Пользователя есть возможность управлять параметрами браузера, чтобы блокировать и/или удалять файлы cookie. В этом случае доступ к определенным функциям Сайта может быть ограничен.

13. Google Analytics и Яндекс.Метрика

13.1. Общество использует средства веб-аналитики с целью общего анализа использования Сайта и получения исходных данных для его улучшения. Полученная при этом информация может передаваться в анонимной форме на сервер службы веб-аналитики, сохраняться и обрабатываться там. Общество использует аналитические инструменты и соответствующие cookie-файлы Google Analytics и Яндекс.Метрика.

13.2. О том, как Google собирает и обрабатывает данные Пользователей можно ознакомиться по адресу: www.google.com/policies/privacy/partners/.

13.3. О том, как ООО «Яндекс» собирает и обрабатывает данные Пользователей можно ознакомиться по адресу: www.yandex.ru/legal/confidential/.

13.4. В соответствии с п. 12.6. настоящей Политики Пользователь может отказаться от использования cookie.

14. Ссылки на веб-сайты третьих лиц

14.1. На Сайте могут быть размещены ссылки, карты, изображения, другие файлы, ведущие на сторонние веб-сайты, не находящиеся под контролем Общества и обладающие собственными принципами работы с персональными данными. При переходе Пользователя на сторонний веб-сайт обработка персональных данных Пользователя будет осуществляться в соответствии с политикой текущего веб-сайта. Оператор не несет ответственности за безопасность и конфиденциальность любой информации, собираемой сторонними веб-сайтами.

15. Изменение настоящей Политики. Недействительность отдельных положений настоящей Политики

15.1. Общество оставляет за собой право без предварительного уведомления изменять и обновлять настоящую Политику. При внесении изменений указывается дата последнего обновления (начала применения редакции). Пользователям рекомендуется регулярно проверять актуальность настоящей Политики. Продолжая пользоваться Сайтом после изменения настоящей Политики, Пользователь осознаёт, что, тем самым, соглашается с изменениями в настоящей Политике.

15.2. Если отдельное положение настоящей Политики будет признано или объявлено недействительным или незаконным, оно потеряет свою юридическую силу и не будет подлежать применению, что не повлияет на действительность и юридическую силу самой Политики и других ее положений.

16. Применимое право, юрисдикция

16.1. Все вопросы, касающиеся настоящей Политики, отношений между Пользователем и Оператором в связи с применением настоящей Политики, использованием Сайта и обработкой персональных данных, регулируется законодательством РФ. Рассмотрение споров находится в юрисдикции судов Российской Федерации.

17. Обратная связь

17.1. Любые вопросы и предложения в отношении настоящей Политики Пользователи могут направить на адрес электронной почты: dpo@rpharm.ru или по адресу: 123154, Москва, ул. Берзарина, д. 19, корп. 1.