Политика конфиденциальности
1. Общие положения
Настоящая Политика конфиденциальности (далее — Политика) разработана обществом с ограниченной ответственностью «МедЭкс-Лаб», оператором в терминологии Закона Республики Беларусь «О защите персональных данных», в соответствии с законодательством Республики Беларусь и регулирует обработку персональных данных, которые стали ему доступны в процессе осуществления предпринимательской деятельности.
Сфера применения (бизнес-процесс), на который распространяется действие Политики – оказание медицинских услуг заказчикам (пациентам) на основании договора публичной оферты, заключаемого с использованием сайта в глобальной информационной сети «Интернет».
Оказываемые услуги включают получение у заказчика (пациента) анализов (биологического материала), передачу их в аккредитованную лабораторию на исследование и последующее ознакомление заказчика с результатами. С целью оказания данных услуг оператору необходимо получать персональные данные.
Термины и определения, применительно к данной политике:
- оператор – общество с ограниченной ответственностью «МедЭкс-Лаб», оказывающее медицинские услуги на основании соответствующего гражданско-правового договора;
- третье лицо (лаборатория) – сторонняя организация, которая на основании договора с оператором оказывает часть медицинских услуг;
- заказчик (пациент) – лицо, предоставляющее персональные данные;
- сайт оператора – сайт mylab.by в глобальной информационной сети Интернет, с использованием которого заключается договор, заказывается услуга и предоставляются необходимые для этого персональные данные.
2. Цель и правовые основания обработки персональных данных
Целью обработки персональных данных заказчика (пациента) является заключение, исполнение, изменение и расторжение с ним договора возмездного оказания медицинских услуг методом публичной оферты, который является основанием для осуществления описанного выше бизнес-процесса.
Обработка персональных данных осуществляется исключительно с согласия заказчика (пациента).
Правовыми основаниями являются Закон Республики Беларусь «О защите персональных данных», нормативные правовые акты Оперативно-аналитического центра при Президенте Республики Беларусь, Национального центра защиты персональных данных Республики Беларусь, другие нормативные правовые акты в сфере работы с персональными данными.
3. Категории субъектов персональных данных,
перечень персональных данных
Обработке оператором подвергаются персональные данные заказчиков (пациентов) – правоспособных и дееспособных лиц, которые заключает с оператором договор возмездного оказания медицинских услуг в отношении себя лично либо в отношении лиц, которых они представляют на законных основаниях.
Обработке подвергаются следующие персональные данные:
- фамилия, имя, отчество;
- дата рождения, пол;
- фактическое место жительства;
- идентификационный номер документа, удостоверяющего личность;
- контактные данные – номера телефонов, адреса электронной почты.;
- информация о самочувствии, жалобах на здоровье (на момент обращения за оказанием услуги);
- информация об оказанных услугах;
- финансовая информация применительно к предмету заключенного с заказчиком (пациентом) договора;
- информация о результатах лабораторных исследований;
- информация о посещении сайта оператора – IP-адрес, cookie, геолокация.
Оператор обрабатывает минимум персональных данных, необходимых ему для оказания услуг.
4. Порядок и условия обработки,
срок хранения персональных данных
В процессе обработки персональных данных оператор совершает следующие действия: хранение, изменение, если для этого появились законные основания, раскрытие, в предусмотренных законодательством случаях, структурирование, использование, обезличивание, предоставление третьим лицам в рамках исполнения договора возмездного оказания услуг, уничтожение персональных данных.
Источником получения персональных данных являются сведения, которые сообщил заказчик (пациент) о себе лично либо о лице, которое он на законных основаниях представляет, посредством использования сайта и заполнения в электронном виде выложенных на нём форм, а также результаты лабораторных исследований, полученные от третьего лица.
Оператор обрабатывает персональные данные самостоятельно. С целью обеспечения защиты персональных данных оператор принимает следующие меры:
- назначение лица ответственного за соблюдение конфиденциальности при работе с персональными данными;
- определение строго определенного круга лиц (персонально), имеющих доступ к персональным данным, которые ознакомлены с требованиями законодательства о защите персональных данных, настоящей Политикой и дали письменное обязательство соблюдать изложенные в них требования;
- разработка локальных нормативных правовых актов, регламентирующих работу с персональными данными, в том числе их защиту;
- использование программного обеспечения, исключающего несанкционированный доступ к персональным данным, хранящимся у оператора в электронном виде;
- уничтожение персональных данных по истечении срока их хранения, установленного настоящей Политикой.
Оператор хранит персональные данные в течение общего срока исковой давности – 3 года. Если персональные данные заказчиков (пациентов) будут переданы третьей стороне, то время их хранения будет определяться Политикой третьей стороны.
5. Права субъектов персональных данных
Заказчик (пациент) имеет право:
- в любое время без объяснения причин отозвать свое согласие на обработку персональных данных посредством подачи оператору заявления в порядке, установленном законодательством;
- на получение информации, касающейся обработки своих персональных данных, содержащей: наименование и место нахождения оператора, подтверждение факта обработки персональных данных оператором, источник их получения, правовые основания и цели обработки персональных данных, срок, на который дано его согласие;
- получать от оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено законодательными актами;
- требовать от оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных актами законодательства.
Для реализации указанных выше прав заказчик (пациент) подает оператору заявление в письменной форме с использованием электронной почты, указанной на сайте оператора, либо на бумажном носителе по месту нахождения оператора. Ответ на заявление направляется заказчику (пациенту) в аналогичной форме в течение пяти рабочих дней (день подачи заявления не учитывается).
Заказчик (пациент) вправе обратиться за содействием в реализации своего права субъекта персональных данных с использованием электронной почты либо по номеру телефона, указанному на сайте оператора.