​Утверждено  

Приказом № 8-21 ОД
от 29 декабря 2022 г.
ООО «Элайн Технолоджи»

• 1. ОБЩИЕ ПОЛОЖЕНИЯ
• 2. ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  • 2.1 Перечень ПДн
    ПДн субъектов ПДн обрабатываются Компанией в целях, установленных утвержденным Перечнем ПДн, обрабатываемых в Компании (далее – Перечень ПДн). Обработка ПДн субъектов ПДн в иных целях в Компании не осуществляется.
  • 2.2 Цели обработки ПДн
  • 2.3 Правовые основания обработки ПДн
• 3. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
• 4. УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  • 4.1 Условия обработки ПДн
  • 4.2 Способы обработки ПДн:
  • 4.3 Перечень действий с ПДн:
  • 4.4 Поручение обработки ПДн другому лицу
  • 4.5 Трансграничная передача ПДн
  • 4.6 Сроки обработки ПДн
  • 4.7 Конфиденциальность ПДн
  • 4.8 Использование cookie-файлов и иных средств веб-аналитики
• 5. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
  • 5.1 Согласие субъекта ПДн на обработку его ПДн
  • 5.2 Право субъекта ПДн на доступ к его ПДн
  • 5.3 Права субъекта ПДн при обработке его ПДн в целях продвижения товаров, работ, услуг на рынке
  • 5.4 Права субъекта ПДн при принятии решений на основании исключительно автоматизированной обработки его ПДн
  • 5.5 Право на обжалование действий или бездействия Компании
• 6. ОБЯЗАННОСТИ КОМПАНИИ
  • 6.1 Обязанности Компании при сборе ПДн
  • 6.2 Обязанности Компании при обращении к ней субъекта ПДн
  • 6.3 Обязанности Компании по уточнению, блокированию и уничтожению ПДн
• 7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
• 8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Введение

В соответствии с подпунктом 2 статьи 3 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» ООО «Элайн Технолоджи» является оператором, т.е. юридическим лицом, самостоятельно организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. 

Важным условием реализации целей деятельности ООО «Элайн Технолоджи» является обеспечение защиты прав и свобод человека и гражданина — субъекта персональных данных при обработке его персональных данных.

В ООО «Элайн Технолоджи» разработаны и введены в действие локальные нормативные акты и документы, устанавливающие порядок обработки и обеспечения безопасности персональных данных, которые обеспечивают соответствие требованиям Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов.

1 ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика обработки персональных данных (далее – «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее – «Закон «О персональных данных»).

Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности ПДн пользователей веб-сайтов, принадлежащих, администрируемых или используемых обществом с ограниченной ответственностью «Элайн Технолоджи», ОГРН 1187746426174, место нахождения: 117105, г. Москва, Варшавское шоссе, д. 9, стр. 1, этаж / помещ. 3 / II, ком. 1 (далее – «Компания»):  invisalign.ru; invisalign-professional.ru; global.itero.com/ru (далее – «Сайты»).

Перед использованием Сайтов пожалуйста, ознакомьтесь с условиями настоящей Политики. Пользуясь Сайтами, Вы подтверждаете, что Вы ознакомились с условиями настоящей Политики в полном объеме до начала использования. Начало использования Вами любого из Сайтов в любой форме означает, что Вы принимаете условия настоящей Политики.

1.2. Действие настоящей Политики распространяется на все операции, совершаемые в Компании с ПДн с использованием средств автоматизации или без их использования, а также посредством смешанной обработки. В Политике используются следующие основные термины и определения:

персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
оператор ПДн – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
обработка ПДн – любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без их использования. Обработка ПДн включает в себя, в том числе:

• сбор;
• запись; 
• систематизацию; 
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• блокирование; 
• удаление;
• уничтожение.

автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;
блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
информационная система ПДн – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
клиент:

• юридическое лицо либо индивидуальный предприниматель, с которым Компанией как с покупателем заключен рамочный контракт поставки;
• юридическое лицо либо индивидуальный предприниматель, либо физическое лицо, с которым Компанией как с заказчиком заключен договор на оказание возмездных услуг;

контрагент – юридическое лицо либо индивидуальный предприниматель, либо физическое лицо, с которым Компанией как заказчиком заключен гражданско-правовой договор; 
мероприятие – любое из организуемых Компанией мероприятий, включая наставничество Инвизалайн (для врачей), наставничество Инвизалайн (для врачей) в сочетании с наставничеством Инвизалайн (для вспомогательного персонала), форум Инвизалайн, последующее мероприятие Инвизалайн; 
предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц;
Сайт -  сайт в сети “Интернет” invisalign.ru; invisalign-professional.ru; global.itero.com/ru; 
трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;
Услуги – оказываемые Компанией услуги по организации участия физических лиц и индивидуальных предпринимателей в Мероприятиях. 

1.3. Настоящая Политика обязательна для исполнения всеми лицами, допущенными к обработке ПДн в Компании, и лицами, участвующими в организации процессов обработки и обеспечения безопасности ПДн в Компании. Компания обязана опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки ПДн в соответствии с ч. 2 ст. 18.1. Закона «О персональных данных» на каждой странице Сайтов, на которой осуществляется сбор ПДн. В случае предоставления общего доступа к Политике в отношении обработки ПДн посредством физического доступа к документу необходимо хранить его в доступном поле зрения и беспечить возможность ознакомления с документом любому желающему. При актуализации Политики в отношении обработки ПДн Лицом, ответственным за организацию обработки ПДн и утверждении новой версии необходимо удалить старую версию документа с Сайтов и заменить все экземпляры в офисе Компании на экземпляры новой версии.

1.4. Компания имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на Сайтах, если иное не предусмотрено новой редакцией Политики.

1.5. Настоящая Политика подлежит актуализации в случаях:

• изменения законодательства РФ о ПДн;
• выявления несоответствий, затрагивающих обработку и (или) защиту ПДн, по результатам контроля выполнения требований по обработке и (или) защите ПДн;
• по решению руководства Компании.

Вернуться к началу

2 ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1 Перечень ПДн
ПДн субъектов ПДн обрабатываются Компанией в целях, установленных утвержденным Перечнем ПДн, обрабатываемых в Компании (далее – Перечень ПДн). Обработка ПДн субъектов ПДн в иных целях в Компании не осуществляется.
В Перечне ПДн для каждой цели обработки в т.ч. определены:

• категории субъектов, чьи ПДн обрабатываются Компанией;
• перечень категорий обрабатываемых ПДн;
• правовые основания обработки ПДн;
• способы обработки ПДн;
• сроки обработки (хранения) ПДн;
• порядок уничтожения ПДн.

Перечень ПДн подлежит пересмотру Лицом, ответственным за организацию обработки ПДн Компании не реже одного раза в год и по мере необходимости при изменении процессов обработки ПДн с целью обеспечения точности, достоверности и актуальности ПДн, в том числе по отношению к целям обработки ПДн. Перечень содержится и актуализируется в электронном виде. 

2.2 Цели обработки ПДн

Компания осуществляет обработку ПДн в том числе в следующих целях:

1. соискателей на замещение вакантных должностей (кандидатов) – в составе и сроком, необходимым для подбора и согласования персонала на вакантные должности, рассмотрения кандидата и принятия Компанией решения о приеме либо отказе в приеме на работу;контрагентов и представителей контрагентов - в составе и сроком, необходимым для заключения, исполнения, изменения и расторжения договора, стороной которого либо выгодоприобретателем по которому является соответствующий контрагент, проведения и участия в коммерческих тендерах, ведения коммерческих, финансовых, юридических переговоров, направленных на заключение, исполнение, изменение или расторжение любых не запрещенных действующим законодательством договоров, вне зависимости от результатов таких переговоров, проведения процедур должной осмотрительности при выборе контрагента; достижения целей, предусмотренных законом РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, осуществления прав и законных интересов субъекта ПДн;
2. клиентов и их представителей - в составе и сроком, необходимым для заключения, исполнения, изменения и расторжения договора, стороной которого либо выгодоприобретателем, по которому является субъект ПДн; достижения целей, предусмотренных законом РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей;
3. медицинских работников  - в составе и сроком, необходимым для достижения целей, предусмотренных законом РФ, осуществления и выполнение возложенных законодательством РФ на Компанию функций, полномочий и обязанностей; заключения, исполнения, изменения и расторжения договора, стороной которого либо выгодоприобретателем, по которому является субъект ПДн; осуществления прав и законных интересов Компании, взаимодействия с медицинскими работниками; осуществления информационного обеспечения и обеспечения технической инфраструктуры, оказания клиентской и клинической поддержки и контроля за качеством поддержки, осуществления информационных и рекламных рассылок;
4. представителей органов государственной власти и местного самоуправления– в составе и сроком, необходимым для достижения целей, предусмотренных законом РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, формирования ответов на запросы соответствующих органов.
5. пользователей Сайтов - в составе и сроком, необходимым для осуществления информационного обеспечения; взаимодействия с целью потенциального формирования взаимоотношений; предоставления услуг посредством сети Интернет и осуществления информационных и рекламных рассылок.
   Компания также осуществляет обработку ПДн в следующих целях: 
   • настройка и иное управление учетной записью/информацией участника на Сайтах в сети "Интернет": invisalign.ru; invisalign-professional.ru; global.itero.com/ru; 
   • рассылка приглашений принять участие в опросах или стать членом фан-клуба (где это применимо);
   • анализ использования услуг и товаров, разработки новых услуг и товаров, а также адаптации для нужд покупателей/заказчиков товаров, услуг и другой информации, которые предоставляет Оператор и/или иные лица группы Align Technology;
   • в Компании осуществляется обработка ПДн субъектов – медицинских работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи с предварительного согласия субъекта ПДн. При этом Компания выполняет все требования к данному виду обработки, предусмотренные Законом «О персональных данных».
   • Компания не осуществляет обработку ПДн в целях политической агитации.
   • Компания также осуществляет обработку пациентов ПДн по поручению клиентов - в составе и сроком, предусмотренным поручением клиента, в строгом соответствии с поручением соответствующих клиентов.
    

2.3 Правовые основания обработки ПДн

Компания осуществляет обработку ПДн в том числе с использованием следующих правовых оснований:

1. Правовым основанием обработки ПДн субъектов ПДн - кандидатов являются:
   • Исполнение договора с подрядчиком, обеспечивающим наличие законного основания для обработки ПДн
   • Согласие субъекта ПДн на обработку ПДн в предусмотренных Законом «О персональных данных» случаях
2. Необходимость обработки для заключения трудового договора по инициативе субъекта ПДнПравовым основанием обработки ПДн субъектов ПДн – контрагентов и их представителей являются:
   • Исполнение требований законодательства (в т.ч. Гражданский кодекс РФ и Налоговый кодекс РФ)
   • Исполнение договора с контрагентом
   • Обеспечение прав и законных интересов Компании
3. Правовым основанием обработки ПДн субъектов ПДн – клиентов и их представителей являются:
   • Исполнение требований законодательства (в т.ч. Гражданский кодекс РФ и Налоговый кодекс РФ)
   • Заключение и исполнение договора с клиентом
   • Обеспечение прав и законных интересов Компании
4. Правовым основанием обработки ПДн субъектов ПДн – медицинских работников являются:
   • Согласие субъекта на получение рекламных рассылок
   • Исполнение договора с клиентом 
   • Согласие субъекта ПДн на обработку ПДн в предусмотренных Законом «О персональных данных» случаях, в том числе подписанное простой электронной подписью
5. Правовым основанием обработки ПДн субъектов ПДн – представителей уполномоченных органов государственной власти и местного самоуправления являются:
   • Исполнение требований законодательства РФ
   • Исполнение требований законодательства РФ
6. Правовым основанием обработки ПДн субъектов ПДн – пользователей Сайтов:
   •  
   • Исполнение договора с субъектом ПДн (Пользовательское соглашение в форме публичной оферты, опубликованное на Сайте в сети «Интернет») 
   • Согласие субъекта на обработку ПДн (в составе заполняемых веб-форм на Сайте, если применимо) 
   • Согласие субъекта на получение рекламных рассылок (в составе заполняемых веб-форм на Сайте, если применимо)
   • Согласие субъекта ПДн на трансграничную передачу ПДн (в составе заполняемых форм на Сайте, если применимо), подписанное простой электронной подписью.

Вернуться к началу

3 ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания осуществляет обработку в том числе следующих сведений, составляющих ПДн различных категорий субъектов ПДн:

Город

1. ПДн соискателей на замещение вакантных должностей в Компанию (кандидатов):
   • ФИО
   • Дата рождения
   • Адрес проживания
   • Сведения об образовании (наименование учебного заведения, номер диплома, специальность по диплому, квалификация по диплому)
   • Сведения об опыте работы (место работы, должность, продолжительность периода работы)
   • Контактные данные (адрес электронной почты, номер контактного телефона).
2. ПДн контрагентов (ИП, ФЛ):
   • ФИО
   • Должность
   • Паспортные данные
   • Адрес регистрации
   • Адрес местонахождения
   • ИНН
   • СНИЛС
   • Банковские реквизиты
   • Информация о платеже
   • Сумма начислений, удержанных и начисленных налогов
   • Дата рождения
   • Данные справки с места работы
   • Сведения из доверенности
   • Данные справки из банка
   • Подпись.
3. ПДн представителей контрагентов и клиентов (ЮЛ):
   • ФИО
   • Наименование организации (место работы)
   • Контактные данные (номер контактного телефона, адрес электронной почты)
   • Данные доверенности (номер, дата выдачи)
   • Сведения о работе (место работы, должность)
   • Подпись.
4. ПДн клиентов (ИП):
   • ФИО
   • Наименование организации (место работы)
   • Паспортные данные (серия, номер, сведения о дате и подразделении выдачи)
   • Контактные данные (номер контактного телефона, адрес электронной почты)
   • Данные доверенности (номер, дата выдачи)
   • Сведения о работе (место работы, должность)
   • ИНН
   • СНИЛС
   • Банковские реквизиты
   • Информация о платеже (сроки, сумма начислений)
   • Подпись.
5. ПДн медицинских работников:
   • ФИО
   • Наименование организации (место работы)
   • № заказа
   • Должность
   • Специализация
   • Учёная степень, звание
   • Страна
   • Город
   • Адрес местонахождения
   • Контактный номер телефона
   • Адрес электронной почты
   • Логин/пароль для входа в личный кабинет на Сайтах
6. ПДн представителей уполномоченных органов государственной власти и местного самоуправления:
   • ФИО
   • Наименование уполномоченного органа (место работы)
   • Должность
   • Контактные данные (адрес электронной почты, номер контактного телефона).
7. ПДн пользователей Сайта invisalign.ru:
   • ФИ
   • Профессиональная категория
   • Специализация
   • Уровень
   • Город
   • Место работы
   • Адрес места работыАдрес электронной почты
   • Номер контактного телефона.
8. ПДн пользователей Сайта global.itero.com/ru:
   • ФИ
   • Профессиональная категория/специальность
   • Страна
   • Город
   • Почтовый индекс
   • Почтовый адрес
   • Контактный номер телефона
   • Адрес электронной почты
   • Детали использования интраорального сканера
9. ПДн пользователей Сайта invisalign-professional.ru:
   • ФИ
   • Адрес электронной почты
   • Номер контактного телефона.
   • Специализация
   • Почтовый адрес

Город

• Обработка биометрических ПДн – не осуществляется.
• Обработка специальных категорий ПДн – осуществляется в отношении ПДн работников на основании требований законодательства и с согласия субъектов ПДн в письменной форме.
• Обработка ПДн о судимости – не осуществляется.
• Принятие решений на основании исключительно автоматизированной обработки ПДн – не осуществляется.
• Обезличивание ПДн Компанией – не осуществляется.
• Компания также осуществляет обработку ПДн пациентов по поручению клиента как оператора ПДн пациентов на основании договора с клиентом и соответствующего поручения обработки ПДн строго в соответствии с письменными инструкциями клиента (раздел 13 Основных условий ценообразования и продаж, утвержденных Компанией).
• Компания осуществляет распространение ПДн неограниченному кругу лиц с согласия субъекта ПДн на распространение его ПДн посредством сайта www.invisalign.ru и с соблюдением запретов и условий, предусмотренных Законом «О персональных данных». Распространение ПДн осуществляется на основании согласия субъекта ПДн по форме, утвержденной Приказом РКН от 24.02.2021 N 18 "Об утверждении требований к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения".
• ПДн медицинских работников, опубликованные на сайте www.invisalign.ru: предназначены лишь для информационного обеспечения и предоставления пользователям сайта www.invisalign.ru информации о месте работы медицинских экспертов. Не допускается использование опубликованных ПДн третьими лицами в любых иных целях. Установлен запрет на передачу (кроме предоставления доступа посредством сайта www.invisalign.ru) ПДн неограниченному кругу лиц, а также запрет на обработку (кроме получения доступа) этих ПДн неограниченным кругом лиц согласно ст.10.1 Закона «О персональных данных».

Вернуться к началу

4 УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1 Условия обработки ПДн

Компания осуществляет обработку ПДн при наличии хотя бы одного из следующих условий:

• обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
• обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;
• обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
• обработка ПДн необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
• осуществляется обработка ПДн, разрешенных субъектом ПДн для распространения;
• осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
• в иных случаях, предусмотренных Законом о персональных данных.

4.2 Способы обработки ПДн:

Обработка ПДн осуществляется Компанией, а также по ее поручению третьими лицами, следующими способами:

• неавтоматизированная обработка;
• автоматизированная обработка;
• смешанная обработка (неавтоматизированная и автоматизированная).

4.3 Перечень действий с ПДн:

Компания, а также по ее поручению третьи лица в зависимости от допустимого перечня действий в поручении обработки ПДн, вправе совершать следующие действия с ПДн субъектов:

• cбор,
• запись,
• систематизация,
• накопление,
• хранение,
• уточнение (обновление, изменение),
• извлечение,
• использование,
• передача (предоставление и доступ), в т.ч. трансграничная передача ПДн компаниям группы Align Technology и иным третьим лицам в соответствии с разделом 4.5 ниже;
• блокирование,
• удаление,
• уничтожение,

4.4 Поручение обработки ПДн другому лицу

Компания вправе поручить обработку ПДн третьему лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, а также передавать ПДн третьим лицам (предоставлять доступ к ним) для достижения целей обработки ПДн или в соответствии с законодательством РФ. К числу подобных третьих лиц могут относиться, в частности, компании группы Align Technology, контрагенты Компании, а также органы государственной власти в случаях, установленных законодательством. Компания также вправе получать ПДн от подобных третьих лиц. Лицо, осуществляющее обработку ПДн по поручению Компании, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом «О персональных данных» и настоящей Политикой.

Данные, собираемые используемыми системами веб-аналитики, могут также получать и обрабатывать третьи лица-провайдеры таких систем (в частности, ООО «Яндекс», Google LLC), в том числе находящиеся в иных странах. При этом обработка ПДн осуществляется в рамках предоставления Сайтов субъекту ПДн для исполнения Пользовательского соглашения. Компания может осуществлять трансграничную передачу ПДн в случаях, предусмотренных законодательством Российской Федерации, договорами с иностранными компаниями и Пользовательским соглашением, в том числе в страны, не обеспечивающие адекватную защиту прав субъектов ПДн в соответствии с разделом 4.5 Политики.

4.5 Трансграничная передача ПДн Компания также осуществляет трансграничную передачу ПДн. При этом Компания выполняет все требования к трансграничной передаче ПДн, предусмотренные Законом «О персональных данных». В том числе Компания обязуется получить от лиц, которым планируется передача ПДн, сведения о мерах по защите ПДн и условиях прекращения их обработки, информацию о правовом регулировании и случаях передачи ПДн иным лицам, после чего уведомить уполномоченный орган по защите прав субъектов ПДн о намерении осуществлять трансграничную передачу ПДн (об осуществлении трансграничной передачи) в порядке, установленном ст. 12 Закона «О персональных данных» (соответствующие положения вступают в силу с 1 марта 2023 года).

4.6 Сроки обработки ПДн

Компания осуществляет обработку, включая хранение, ПДн, в срок до (в зависимости того, что наступит ранее):

• достижения целей обработки ПДн; или
• истечения срока действия согласия субъекта ПДн на обработку его/ее ПДн; или
• отзыва согласия субъекта ПДн на обработку его/ее ПДн; или
• выявления неправомерной обработки ПДн в предусмотренных Законом «О персональных данных» случаях;

или

в иных случаях, предусмотренных Законом о персональных данных.

4.7 Конфиденциальность ПДн Компания и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

4.8 Использование cookie-файлов и иных средств веб-аналитики Cookie — это небольшие файлы, которые создаются и сохраняются браузером при посещении Сайтов Компании. Cookie-файлы хранятся на устройстве не более 6 месяцев и позволяют отслеживать качество работы веб-сайта и характеристики его использования, а также оптимизировать маркетинговые активности в Интернете. Посещение и использование Сайтов по умолчанию предусматривает генерацию и сохранение cookie-файлов. Однако субъект ПДн в любой момент может удалить cookie-файлы с устройства через настройки используемого браузера. Субъект ПДн также может отказаться от принятия cookie-файлов, однако при этом не гарантирована работа всех функций веб-сайтов (например, запоминание города Пользователя, аутентификация в личных кабинетах). На Сайтах Компании используются следующие виды средств веб-аналитики:

Технические и функциональные cookie-файлы	Эти файлы, генерируемые движками сайтов, используются для обеспечения бесперебойной работы сайтов, а также для запоминания выбранных пользователем настроек (в частности, контроля языка и всплывающих баннеров).
Маркетинговые и аналитические cookie-файлы и пиксели	Для сбора и статистического анализа данных, связанных с использованием веб-сайтов, используются сервисы Google Analytics. Кроме этого, могут также использоваться различные пиксели дополнительных сервисов. Сведения, получаемые с помощью сервисов, не позволяют идентифицировать пользователей.

Вернуться к началу

5 ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1 Согласие субъекта ПДн на обработку его ПДн

Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. 

Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом, в том числе в электронной форме на Сайтах в сети «Интернет»: invisalign-professional.ru, invisalign.ru, global.itero.com/ru  в случае предоставления субъектом своих ПДн посредством данных Сайтов. 

5.2 Право субъекта ПДн на доступ к его ПДн

Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, предусмотренной Законом «О персональных данных» и иными федеральными законами 

Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если: 

• обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
• доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц. Субъект ПДн вправе требовать от Компании уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Запросы/обращения субъектов ПДн и их представителей, уполномоченных органов по поводу неточности ПДн, неправомерности их обработки, отзыва согласия и доступа субъекта ПДн к своим ПДн необходимо направлять в письменной форме по юридическому адресу Компании или по адресу электронной почты personal.data.russia@aligntech.com с указанием:
• ФИО субъекта ПДн;
• сути запроса/обращения субъекта ПДн;
• категорий ПДн, в отношении которых направляется запрос/обращение;
• контактных данных (адреса или адреса электронной почты) для ответа на запрос/обращение;
• номера основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведений о дате выдачи документа и выдавшем органе, сведений, подтверждающих участие субъекта ПДн в отношениях с Компанией (для запросов на доступ к ПДн).

5.3 Права субъекта ПДн при обработке его ПДн в целях продвижения товаров, работ, услуг на рынке

Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом ПДн (потенциальным потребителем) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта ПДн. 

5.4 Права субъекта ПДн при принятии решений на основании исключительно автоматизированной обработки его ПДн

Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.

5.5 Право на обжалование действий или бездействия Компании

Если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований Закона «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Вернуться к началу

6 ОБЯЗАННОСТИ КОМПАНИИ

6.1 Обязанности Компании при сборе ПДн

При сборе ПДн Компания обязана предоставить субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн, предусмотренную Законом «О персональных данных». 

При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети "Интернет", Компания обязана обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Законом «О персональных данных». 

6.2 Обязанности Компании при обращении к ней субъекта ПДн

Компания обязана сообщить субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение 10 (десяти) рабочих дней с даты получения запроса субъекта ПДн или его представителя, либо в тот же срок дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14  Закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн. Срок может быть продлен Компанией не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес субъекта ПДн мотивированного уведомления с указанием причин.

Компания обязана предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий 7 (семь) рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Компания обязана внести в них необходимые изменения. В срок, не превышающий 7 (семь) рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания обязана уничтожить такие ПДн . Компания обязана уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

6.3 Обязанности Компании по уточнению, блокированию и уничтожению ПДн

В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Компания обязана осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

В случае подтверждения факта неточности ПДн Компания на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязана уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПДн.

В случае выявления неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим по поручению Компании, Компания в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Компании. В случае, если обеспечить правомерность обработки ПДн невозможно, Компания в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн, обязана уничтожить такие ПДн или обеспечить их уничтожение.

В случае достижения цели обработки ПДн Компания обязана прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) и уничтожить ПДн  или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн либо если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом «О персональных данных» или другими федеральными законами.

В случае отзыва субъектом ПДн согласия на обработку его ПДн Компания обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн либо если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом «О персональных данных» или другими федеральными законами.

В случае отсутствия возможности уничтожения ПДн в течение срока, указанного выше, Компания осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компания) и обеспечивает уничтожение ПДн в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
Также Компания обязана соблюдать требования об информировании уполномоченного органа по защите прав субъектов ПДн об инцидентах с ПДн в порядке, установленном ч. 3.1. ст. 21 Закона «О персональных данных».

Вернуться к началу

7 ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Безопасность ПДн, обрабатываемых Компанией, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты ПДн.

Для предотвращения несанкционированного доступа к ПДн Компанией применяются следующие организационно-технические меры:

• назначение должностных лиц, ответственных за организацию обработки ПДн;
• ограничение состава лиц, допущенных к обработке ПДн;
• ознакомление субъектов с требованиями федерального законодательства и нормативных документов Компании по обработке и защите ПДн;
• организация учета, хранения и обращения носителей, содержащих информацию с ПДн;
• определение угроз безопасности ПДн при их обработке, формирование на их основе моделей угроз;
• разработка на основе модели угроз системы защиты ПДн;
• проверка готовности и эффективности использования средств защиты информации;
• разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
• регистрация и учет действий пользователей информационных систем ПДн;
• использование антивирусных средств и средств восстановления системы защиты ПДн;
• применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
• организация пропускного режима на территорию Компании, охраны помещений с техническими средствами обработки ПДн.

Вернуться к началу

8 ПРОЧИЕ ПОЛОЖЕНИЯ

Иные права и обязанности Компании в связи с обработкой ПДн определяются законодательством Российской Федерации в области ПДн.

Работники Компании, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

Вернуться к началу