Утверждено
Приказом № 8-21 ОД
от 29 декабря 2022 г.
ООО «Элайн Технолоджи»
В соответствии с подпунктом 2 статьи 3 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» ООО «Элайн Технолоджи» является оператором, т.е. юридическим лицом, самостоятельно организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Важным условием реализации целей деятельности ООО «Элайн Технолоджи» является обеспечение защиты прав и свобод человека и гражданина — субъекта персональных данных при обработке его персональных данных.
В ООО «Элайн Технолоджи» разработаны и введены в действие локальные нормативные акты и документы, устанавливающие порядок обработки и обеспечения безопасности персональных данных, которые обеспечивают соответствие требованиям Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов.
1.1. Политика обработки персональных данных (далее – «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее – «Закон «О персональных данных»).
Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности ПДн пользователей веб-сайтов, принадлежащих, администрируемых или используемых обществом с ограниченной ответственностью «Элайн Технолоджи», ОГРН 1187746426174, место нахождения: 117105, г. Москва, Варшавское шоссе, д. 9, стр. 1, этаж / помещ. 3 / II, ком. 1 (далее – «Компания»): invisalign.ru; invisalign-professional.ru; global.itero.com/ru (далее – «Сайты»).
Перед использованием Сайтов пожалуйста, ознакомьтесь с условиями настоящей Политики. Пользуясь Сайтами, Вы подтверждаете, что Вы ознакомились с условиями настоящей Политики в полном объеме до начала использования. Начало использования Вами любого из Сайтов в любой форме означает, что Вы принимаете условия настоящей Политики.
1.2. Действие настоящей Политики распространяется на все операции, совершаемые в Компании с ПДн с использованием средств автоматизации или без их использования, а также посредством смешанной обработки. В Политике используются следующие основные термины и определения:
персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
оператор ПДн – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
обработка ПДн – любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без их использования. Обработка ПДн включает в себя, в том числе:
автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;
блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
информационная система ПДн – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
клиент:
контрагент – юридическое лицо либо индивидуальный предприниматель, либо физическое лицо, с которым Компанией как заказчиком заключен гражданско-правовой договор;
мероприятие – любое из организуемых Компанией мероприятий, включая наставничество Инвизалайн (для врачей), наставничество Инвизалайн (для врачей) в сочетании с наставничеством Инвизалайн (для вспомогательного персонала), форум Инвизалайн, последующее мероприятие Инвизалайн;
предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц;
Сайт - сайт в сети “Интернет” invisalign.ru; invisalign-professional.ru; global.itero.com/ru;
трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;
Услуги – оказываемые Компанией услуги по организации участия физических лиц и индивидуальных предпринимателей в Мероприятиях.
1.3. Настоящая Политика обязательна для исполнения всеми лицами, допущенными к обработке ПДн в Компании, и лицами, участвующими в организации процессов обработки и обеспечения безопасности ПДн в Компании. Компания обязана опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки ПДн в соответствии с ч. 2 ст. 18.1. Закона «О персональных данных» на каждой странице Сайтов, на которой осуществляется сбор ПДн. В случае предоставления общего доступа к Политике в отношении обработки ПДн посредством физического доступа к документу необходимо хранить его в доступном поле зрения и беспечить возможность ознакомления с документом любому желающему. При актуализации Политики в отношении обработки ПДн Лицом, ответственным за организацию обработки ПДн и утверждении новой версии необходимо удалить старую версию документа с Сайтов и заменить все экземпляры в офисе Компании на экземпляры новой версии.
1.4. Компания имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на Сайтах, если иное не предусмотрено новой редакцией Политики.
1.5. Настоящая Политика подлежит актуализации в случаях:
2.1 Перечень ПДн
ПДн субъектов ПДн обрабатываются Компанией в целях, установленных утвержденным Перечнем ПДн, обрабатываемых в Компании (далее – Перечень ПДн). Обработка ПДн субъектов ПДн в иных целях в Компании не осуществляется.
В Перечне ПДн для каждой цели обработки в т.ч. определены:
Перечень ПДн подлежит пересмотру Лицом, ответственным за организацию обработки ПДн Компании не реже одного раза в год и по мере необходимости при изменении процессов обработки ПДн с целью обеспечения точности, достоверности и актуальности ПДн, в том числе по отношению к целям обработки ПДн. Перечень содержится и актуализируется в электронном виде.
2.2 Цели обработки ПДн
Компания осуществляет обработку ПДн в том числе в следующих целях:
2.3 Правовые основания обработки ПДн
Компания осуществляет обработку ПДн в том числе с использованием следующих правовых оснований:
Компания осуществляет обработку в том числе следующих сведений, составляющих ПДн различных категорий субъектов ПДн:
Город
Город
4.1 Условия обработки ПДн
Компания осуществляет обработку ПДн при наличии хотя бы одного из следующих условий:
4.2 Способы обработки ПДн:
Обработка ПДн осуществляется Компанией, а также по ее поручению третьими лицами, следующими способами:
4.3 Перечень действий с ПДн:
Компания, а также по ее поручению третьи лица в зависимости от допустимого перечня действий в поручении обработки ПДн, вправе совершать следующие действия с ПДн субъектов:
4.4 Поручение обработки ПДн другому лицу
Компания вправе поручить обработку ПДн третьему лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, а также передавать ПДн третьим лицам (предоставлять доступ к ним) для достижения целей обработки ПДн или в соответствии с законодательством РФ. К числу подобных третьих лиц могут относиться, в частности, компании группы Align Technology, контрагенты Компании, а также органы государственной власти в случаях, установленных законодательством. Компания также вправе получать ПДн от подобных третьих лиц. Лицо, осуществляющее обработку ПДн по поручению Компании, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом «О персональных данных» и настоящей Политикой.
Данные, собираемые используемыми системами веб-аналитики, могут также получать и обрабатывать третьи лица-провайдеры таких систем (в частности, ООО «Яндекс», Google LLC), в том числе находящиеся в иных странах. При этом обработка ПДн осуществляется в рамках предоставления Сайтов субъекту ПДн для исполнения Пользовательского соглашения. Компания может осуществлять трансграничную передачу ПДн в случаях, предусмотренных законодательством Российской Федерации, договорами с иностранными компаниями и Пользовательским соглашением, в том числе в страны, не обеспечивающие адекватную защиту прав субъектов ПДн в соответствии с разделом 4.5 Политики.
4.5 Трансграничная передача ПДн Компания также осуществляет трансграничную передачу ПДн. При этом Компания выполняет все требования к трансграничной передаче ПДн, предусмотренные Законом «О персональных данных». В том числе Компания обязуется получить от лиц, которым планируется передача ПДн, сведения о мерах по защите ПДн и условиях прекращения их обработки, информацию о правовом регулировании и случаях передачи ПДн иным лицам, после чего уведомить уполномоченный орган по защите прав субъектов ПДн о намерении осуществлять трансграничную передачу ПДн (об осуществлении трансграничной передачи) в порядке, установленном ст. 12 Закона «О персональных данных» (соответствующие положения вступают в силу с 1 марта 2023 года).
4.6 Сроки обработки ПДн
Компания осуществляет обработку, включая хранение, ПДн, в срок до (в зависимости того, что наступит ранее):
или
в иных случаях, предусмотренных Законом о персональных данных.
4.7 Конфиденциальность ПДн Компания и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
4.8 Использование cookie-файлов и иных средств веб-аналитики Cookie — это небольшие файлы, которые создаются и сохраняются браузером при посещении Сайтов Компании. Cookie-файлы хранятся на устройстве не более 6 месяцев и позволяют отслеживать качество работы веб-сайта и характеристики его использования, а также оптимизировать маркетинговые активности в Интернете. Посещение и использование Сайтов по умолчанию предусматривает генерацию и сохранение cookie-файлов. Однако субъект ПДн в любой момент может удалить cookie-файлы с устройства через настройки используемого браузера. Субъект ПДн также может отказаться от принятия cookie-файлов, однако при этом не гарантирована работа всех функций веб-сайтов (например, запоминание города Пользователя, аутентификация в личных кабинетах). На Сайтах Компании используются следующие виды средств веб-аналитики:
Технические и функциональные cookie-файлы | Эти файлы, генерируемые движками сайтов, используются для обеспечения бесперебойной работы сайтов, а также для запоминания выбранных пользователем настроек (в частности, контроля языка и всплывающих баннеров). |
Маркетинговые и аналитические cookie-файлы и пиксели | Для сбора и статистического анализа данных, связанных с использованием веб-сайтов, используются сервисы Google Analytics. Кроме этого, могут также использоваться различные пиксели дополнительных сервисов. Сведения, получаемые с помощью сервисов, не позволяют идентифицировать пользователей. |
5.1 Согласие субъекта ПДн на обработку его ПДн
Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом, в том числе в электронной форме на Сайтах в сети «Интернет»: invisalign-professional.ru, invisalign.ru, global.itero.com/ru в случае предоставления субъектом своих ПДн посредством данных Сайтов.
5.2 Право субъекта ПДн на доступ к его ПДн
Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, предусмотренной Законом «О персональных данных» и иными федеральными законами
Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если:
5.3 Права субъекта ПДн при обработке его ПДн в целях продвижения товаров, работ, услуг на рынке
Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом ПДн (потенциальным потребителем) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта ПДн.
5.4 Права субъекта ПДн при принятии решений на основании исключительно автоматизированной обработки его ПДн
Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.
5.5 Право на обжалование действий или бездействия Компании
Если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований Закона «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6.1 Обязанности Компании при сборе ПДн
При сборе ПДн Компания обязана предоставить субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн, предусмотренную Законом «О персональных данных».
При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети "Интернет", Компания обязана обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Законом «О персональных данных».
6.2 Обязанности Компании при обращении к ней субъекта ПДн
Компания обязана сообщить субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение 10 (десяти) рабочих дней с даты получения запроса субъекта ПДн или его представителя, либо в тот же срок дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн. Срок может быть продлен Компанией не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес субъекта ПДн мотивированного уведомления с указанием причин.
Компания обязана предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий 7 (семь) рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Компания обязана внести в них необходимые изменения. В срок, не превышающий 7 (семь) рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания обязана уничтожить такие ПДн . Компания обязана уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
6.3 Обязанности Компании по уточнению, блокированию и уничтожению ПДн
В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Компания обязана осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
В случае подтверждения факта неточности ПДн Компания на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязана уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПДн.
В случае выявления неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим по поручению Компании, Компания в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Компании. В случае, если обеспечить правомерность обработки ПДн невозможно, Компания в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн, обязана уничтожить такие ПДн или обеспечить их уничтожение.
В случае достижения цели обработки ПДн Компания обязана прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн либо если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом «О персональных данных» или другими федеральными законами.
В случае отзыва субъектом ПДн согласия на обработку его ПДн Компания обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн либо если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом «О персональных данных» или другими федеральными законами.
В случае отсутствия возможности уничтожения ПДн в течение срока, указанного выше, Компания осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компания) и обеспечивает уничтожение ПДн в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
Также Компания обязана соблюдать требования об информировании уполномоченного органа по защите прав субъектов ПДн об инцидентах с ПДн в порядке, установленном ч. 3.1. ст. 21 Закона «О персональных данных».
Безопасность ПДн, обрабатываемых Компанией, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты ПДн.
Для предотвращения несанкционированного доступа к ПДн Компанией применяются следующие организационно-технические меры:
Иные права и обязанности Компании в связи с обработкой ПДн определяются законодательством Российской Федерации в области ПДн.
Работники Компании, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.