Политика конфиденциальности

Настоящая Политика конфиденциальности, действует в отношении всех персональных данных, которые ООО «Культура Зрения» обрабатывает в процессе осуществления всех видов своей деятельности, включая медицинскую деятельность, розничную торговлю, кадровое делопроизводство, интернет-торговлю на сайте https://culturavision.com и иные виды деятельности.

1. ОСНОВНЫЕ ПОНЯТИЯ

1. Основные понятия, используемые в Политике конфиденциальности:
   1. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
   2. Блокирование персональных данных - временное прекращение обработки персональных данных, за исключением случаев, если обработка необходима для уточнения персональных данных.
   3. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
   4. Конфиденциальность персональных данных – обязательное для соблюдения Оператором или иным лицом, получившим доступ к Персональным данным, требование не допускать их распространения без согласия субъекта Персональных данных или наличия иного законного основания.
   5. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
   6. Обработка персональных данных – любое действие/операция или совокупность действий/операций, совершаемых Оператором с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передачу, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение Персональных данных.
   7. Оператор обработки персональных данных (Оператор) – Организация, которая самостоятельно или совместно с другими лицами организует и/или осуществляет обработку Персональных данных, а также определяет цели обработки Персональных данных, состав Персональных данных, подлежащих обработке, действия/операции, совершаемые с Персональными данными.
   8. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу - субъекту Персональных данных.
   9. Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен Пользователем -субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном действующим законодательством Российской Федерации.
   10. Политика конфиденциальности – настоящий документ со всеми изменениями и дополнениями, расположенный в сети Интернет по адресу https://culturavision.com.
   11. Пользователь – субъект Персональных данных, дееспособное физическое лицо, использующее Сайт в собственных интересах. По тексту данной Политики конфиденциальности Пользователь также указан как субъект Персональных данных.
   12. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
   13. Сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://culturavision.com
   14. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
   15. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
   16. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.
   17. Файлы cookies – небольшой фрагмент данных, отправленный веб-сервером и хранимый на устройстве Пользователя, используемом для доступа к Сайту, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTPS-запросе при попытке открыть страницу соответствующего сайта.
   18. Субъект Персональных данных – дееспособное физическое лицо, использующее Сайт в собственных интересах.
   19. IP-адрес – уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
   20. Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (физиологические и биологические особенности человека, включая дактилоскопические данные, радужную оболочку глаз, анализы ДНК, рост, вес и другие).
   21. Врачебная тайна - информация о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении.
   22. Журнал учета операций с персональными данными - документ, содержащий сведения о каждой операции с персональными данными, включая сведения о времени совершения операции, виде операции, объекте операции и лице, совершившем операцию.
   23. Инцидент безопасности персональных данных - факт несанкционированного, в том числе случайного, доступа к персональным данным и (или) передачи персональных данных лиц доступа к такой информации, и (или) иного нарушения режима защиты персональных данных, повлекший или способный повлечь нанесение ущерба правам и законным интересам субъекта персональных данных.
   24. Клиент розничной точки - физическое лицо, обратившееся в розничную точку продаж Оператора для приобретения товаров или получения услуг.
   25. Локализация персональных данных - обеспечение записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
   26. Медицинские данные - персональные данные, касающиеся физического или психического здоровья человека, в том числе о прохождении им медицинского осмотра, состоянии здоровья, диагнозе, прогнозе заболевания, лечении, медицинском вмешательстве.
   27. Обезличенные персональные данные - персональные данные субъекта персональных данных, обработанные таким образом, что без использования дополнительной информации невозможно определить их принадлежность конкретному субъекту персональных данных.
   28. Обработчик персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, которые по поручению оператора осуществляют обработку персональных данных.
   29. Пациент - физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния.
   30. Персональные данные работников - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, включая фамилию, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы.
   31. Покупатель интернет-магазина - физическое лицо, осуществляющее заказ товаров или услуг через интернет-магазин Оператора.
   32. Согласие субъекта персональных данных - любое свободно данное, конкретное, информированное и недвусмысленное волеизъявление субъекта персональных данных, которым он посредством письменного заявления, включая заявление, поданное посредством информационно-телекоммуникационной сети "Интернет", или иным способом выражает согласие на обработку своих персональных данных.
   33. Соискатель - физическое лицо, претендующее на замещение вакантной должности в организации.
   34. Сотрудник (работник) - физическое лицо, вступившее в трудовые отношения с Оператором.
   35. Специальные категории персональных данных - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, персональные данные о состоянии здоровья, биометрические персональные данные.
   36. Третье лицо - любое физическое или юридическое лицо, государственный орган, муниципальный орган, за исключением субъекта персональных данных, оператора и лиц, которые осуществляют обработку персональных данных по поручению оператора или в силу федерального закона.
   37. Уполномоченный орган по защите прав субъектов персональных данных - федеральный орган исполнительной власти, уполномоченный в области связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

2. ОБЩИЕ ПОЛОЖЕНИЯ 

   1. Политика конфиденциальности определяет цели, содержание и порядок обработки персональных данных ООО «Культура Зрения» (далее — Оператор) во всех видах деятельности, включая медицинскую деятельность, розничную торговлю через стационарные точки продаж, интернет-торговлю, кадровое делопроизводство и иные виды деятельности. Настоящая Политика конфиденциальности устанавливает меры, направленные на защиту персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также обязанности Оператора по обработке персональных данных и их охране, в том числе обеспечению режима защиты конфиденциальности персональных данных.
   2. Настоящая Политика конфиденциальности определяет единую политику Оператора в отношении обработки и защиты персональных данных всех категорий субъектов: сотрудников и соискателей, пациентов, покупателей розничных точек продаж, пользователей интернет-магазина, представителей контрагентов и иных лиществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой конфиденциальности и законодательством Российской Федерации в области персональных данных. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
   3. Настоящая Политика конфиденциальности применяется ко всей деятельности Оператора по обработке персональных данных, включая:
      • медицинскую деятельность и обработку данных о состоянии здоровья пациентов;
      • кадровое делопроизводство и обработку персональных данных работников и соискателей;
      • розничную торговлю через стационарные точки продаж;
      • интернет-торговлю и деятельность через сайт https://culturavision.com;
      • взаимодействие с контрагентами, поставщиками и партнерами;
      • использование внешних сервисов и систем обработки данных.
   4. Оператор обеспечивает строгое соблюдение всех требований актуального законодательства.
   5. Использование сайта или обращение за услугами к Оператору не может рассматриваться как согласие на обработку персональных данных без отдельно оформленного письменного согласия.
   6. Оператор назначает ответственного за организацию обработки персональных данных в соответствии с требованиями статьи 22.1 Федерального закона № 152-ФЗ «О персональных данных». Ответственное лицо обеспечивает соблюдение требований законодательства при обработке персональных данных, организует обучение сотрудников и осуществляет контроль за выполнением мер по защите персональных данных.
   7. Особенности обработки специальных категорий персональных данных:
      • медицинские данные и сведения о состоянии здоровья обрабатываются в соответствии с требованиями Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» и требованиями врачебной тайны;
      • биометрические персональные данные обрабатываются только с письменного согласия субъекта;
      • персональные данные работников обрабатываются в соответствии с требованиями Трудового кодекса Российской Федерации.
   8. Обработка персональных данных через внешние системы:
      • программное обеспечение «Оптима» компании ООО «ИТигрис» — на основании договора поручения на обработку персональных данных;
      • системы веб-аналитики (Яндекс.Метрика) — с уведомлением пользователей и получением согласия;
      • сервисы email-рассылки — с отдельным согласием на получение рекламных материалов;
      • платежные системы и службы доставки — в рамках исполнения договорных обязательств.
   9. Локализация персональных данных: все персональные данные граждан Российской Федерации обрабатываются и хранятся исключительно на территории Российской Федерации в соответствии с требованиями статьи 18.1 Федерального закона № 152-ФЗ. Базы данных, содержащие персональные данные, физически размещены на серверах, расположенных на территории Российской Федерации.
   10. С 1 сентября 2025 года Оператор вправе обрабатывать обезличенные персональные данные без согласия субъекта персональных данных для целей, не связанных с установлением личности субъекта. Обезличивание персональных данных осуществляется способами, исключающими возможность определения принадлежности персональных данных конкретному субъекту без использования дополнительной информации.
   11. Уведомление об инцидентах безопасности: в случае нарушения безопасности персональных данных Оператор обязуется уведомить Роскомнадзор в течение 24 часов с момента обнаружения инцидента о произошедшем нарушении и предоставить результаты внутреннего расследования в течение 72 часов в соответствии с требованиями действующего законодательства.
   12. Субъект персональных данных имеет право отказаться от предоставления персональных данных, при этом понимая, что такой отказ может ограничить возможность получения услуг Оператора или сделать их предоставление невозможным. Субъект персональных данных, предоставивший неполные или недостоверные персональные данные, не сможет воспользоваться всеми услугами Оператора в полном объеме.
   13. Оператор не проверяет достоверность персональных данных, предоставляемых субъектами, если иное не предусмотрено федеральным законом, и не контролирует их дееспособность, если иное не предусмотрено федеральным законом. Однако Оператор исходит из того, что субъект предоставляет достоверные персональные данные и поддерживает такие персональные данные в актуальном состоянии.
   14. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов субъектов персональных данных и третьих лиц. Передача, распространение, предоставление и использование персональных данных осуществляется только в случаях и в порядке, предусмотренных федеральными законами, либо с согласия субъекта персональных данных.
   15. Оператор получает персональные данные непосредственно у субъектов персональных данных, за исключением случаев, когда:
       • персональные данные переданы субъектом персональных данных третьему лицу с согласием на их передачу Оператору;
       • персональные данные получены Оператором в рамках исполнения договора, стороной которого является субъект персональных данных;
       • персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.
   16. Права Оператора:
       • Собирать через формы на Сайте, в процессе медицинской деятельности, розничной торговли и кадрового делопроизводства персональные данные всех категорий субъектов персональных данных в соответствии с целями, указанными в настоящей Политике конфиденциальности и действующим законодательством Российской Федерации.
       • Предоставлять субъектам персональных данных доступ к Сайту и услугам Оператора при условии получения надлежащего согласия на обработку персональных данных и соблюдения требований настоящей Политики конфиденциальности.
       • Осуществлять полный цикл обработки персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
       • Передавать персональные данные третьим лицам на основании договоров, заключаемых для достижения целей, указанных в настоящей Политике конфиденциальности, договоров поручения на обработку персональных данных, а также в следующих случаях:
       • при наличии письменного согласия субъекта персональных данных;
       • для исполнения договорных обязательств между Оператором и субъектом персональных данных;
       • в рамках взаимодействия с государственными органами в соответствии с требованиями законодательства;
       • для обеспечения функционирования внешних систем (программное обеспечение «Оптима» ООО «ИТигрис», платежные системы, службы доставки).
       • В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в Федеральном законе № 152-ФЗ и иных федеральных законах.
       • Отказать субъекту персональных данных в выполнении повторного запроса о предоставлении сведений относительно его персональных данных, которые обрабатываются Оператором, в соответствии с условиями действующего законодательства при предоставлении мотивированного ответа.
       • Осуществлять распространение персональных данных исключительно при наличии отдельного письменного согласия субъекта персональных данных на распространение персональных данных в соответствии с требованиями статьи 10.1 Федерального закона № 152-ФЗ.
       • Обрабатывать обезличенные персональные данные без согласия субъекта персональных данных в соответствии с изменениями, вступившими в силу с 1 сентября 2025 года, для целей, не связанных с установлением личности субъекта.
       • Использовать автоматизированные средства обработки персональных данных с соблюдением требований к разъяснению субъектам персональных данных порядка принятия решений на основании исключительно автоматизированной обработки и обеспечению их права на возражение против таких решений.
       • Поручать обработку персональных данных другим лицам (обработчикам) на основании договоров поручения при условии обеспечения соблюдения требований законодательства Российской Федерации о персональных данных.
   17. Обязанности Оператора:
       • Использовать полученные персональные данные исключительно для целей, указанных в настоящей Политике конфиденциальности, и в соответствии с принципами обработки персональных данных, установленными Федеральным законом № 152-ФЗ.
       • Назначить ответственного за организацию обработки персональных данных в соответствии с требованиями статьи 22.1 Федерального закона № 152-ФЗ и обеспечить его надлежащими полномочиями для осуществления контроля за соблюдением требований законодательства.
       • Подать уведомление в Роскомнадзор о начале обработки персональных данных до фактического начала их обработки.
       • Обеспечить локализацию персональных данных граждан Российской Федерации на территории Российской Федерации
       • Предоставить субъекту персональных данных информацию, касающуюся обработки его персональных данных, при получении соответствующего запроса или обращения в течение 30 дней с момента получения запроса.
       • Уведомлять Роскомнадзор об инцидентах безопасности персональных данных в установленные сроки:
       • в течение 24 часов — о произошедшем инциденте (первичное уведомление);
       • в течение 72 часов — о результатах внутреннего расследования инцидента (дополнительное уведомление).
       • Не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
       • При получении запроса или обращения от субъекта персональных данных предоставить ему сведения и информацию, указанные в запросе/обращении, в доступной форме и без указания персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
       • Разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения. Оператор обязан рассмотреть возражение в течение десяти рабочих дней со дня его получения.
       • Разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и/или дать согласие на их обработку, если в соответствии с федеральным законом предоставление персональных данных и/или получение согласия на их обработку являются обязательными.
       • При обработке специальных категорий персональных данных (медицинские данные, биометрические данные) обеспечить усиленные меры защиты и соблюдение требований врачебной тайны в соответствии с Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации».
       • Обеспечивать ведение журнала учета операций с персональными данными с фиксацией всех действий, совершаемых с персональными данными, включая сведения о времени, виде операции и лице, совершившем операцию.
       • Проводить внутренний контроль и/или аудит соответствия обработки персональных данных требованиям законодательства Российской Федерации и настоящей Политике конфиденциальности.
       • Организовать обучение сотрудников, непосредственно осуществляющих обработку персональных данных, требованиям законодательства Российской Федерации о персональных данных и внутренним регламентам организации.
       • Обеспечивать надежную защиту персональных данных, включая применение правовых, организационных и технических мер по обеспечению безопасности персональных данных при их обработке.
       • При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей прекратить обработку персональных данных и уничтожить их в срок, не превышающий 30 дней, если иное не предусмотрено федеральным законом или договором.
       • Отвечать на запросы Роскомнадзора и предоставлять необходимую информацию в течение 10 рабочих дней с даты получения запроса.
       • Опубликовать настоящую Политику конфиденциальности на Сайте для обеспечения неограниченного доступа к ней и поддерживать ее в актуальном состоянии в соответствии с изменениями в законодательстве
   18. Права субъекта персональных данных:
       • Имеет право на получение информации, касающейся обработки его персональных данных, в доступной форме и без указания персональных данных, относящихся к другим субъектам персональных данных, включая:
       • подтверждение факта обработки персональных данных Оператором;
       • правовые основания и цели обработки персональных данных;
       • цели и применяемые Оператором способы обработки персональных данных;
       • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
       • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представеральным законом;
       • сроки обработки персональных данных, в том числе сроки их хранения;
       • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
       • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
       • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
       • иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
       • Имеет право требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
       • Имеет право отозвать согласие на обработку персональных данных путем направления письменного уведомления Оператору. При отзыве согласия Оператор прекращает обработку персональных данных в срок не более 30 дней, если иное не предусмотрено федеральным законом или договором.
       • Имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
       • Имеет право на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
       • При обработке персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом персональных данных с помощью средств связи, а также в случае если обработка персональных данных осуществляется для целей политической агитации, субъект персональных данных вправе потребовать от Оператора прекращения обработки его персональных данных.
       • При принятии решений на основании исключительно автоматизированной обработки персональных данных субъект персональных данных имеет право:
       • получить от Оператора информацию о таких решениях, включая сведения о возможных последствиях принятия таких решений для субъекта персональных данных;
       • потребовать от Оператора пересмотра таких решений;
       • изложить свою точку зрения и возражения против таких решений.
       • Вправе направить Оператору повторный запрос в целях получения сведений относительно своих персональных данных в случае, если такие сведения не были предоставлены в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
       • Имеет право требовать от Оператора обеспечения обработки своих персональных данных исключительно на территории Российской Федерации в соответствии с требованиями локализации.
       • Имеет право на получение уведомления об инцидентах безопасности персональных данных в случае, если такой инцидент может повлечь нарушение прав и законных интересов субъекта.
   19. Обязанности субъекта персональных данных:
       • Предоставлять свои достоверные и актуальные персональные данные в объеме, необходимом для достижения целей их обработки, указанных в настоящей Политике конфиденциальности.
       • Своевременно уведомлять Оператора об изменении своих персональных данных в разумный срок, не превышающий 14 дней с момента таких изменений, за исключением случаев, когда обязанность предоставления таких данных требует соответствующее согласие субъекта.
       • Соблюдать требования настоящей Политики конфиденциальности при использовании сайта, сервисов и услуг Оператора.
       • Самостоятельно обеспечивать конфиденциальность предоставляемых персональных данных при их передаче через незащищенные каналы связи или открытые сети.
       • Нести ответственность за достоверность предоставляемых персональных данных и возможные последствия предоставления недостоверной информации в соответствии с действующим законодательством Российской Федерации.
       • При получении услуг медицинского характера предоставлять полную и достоверную информацию о состоянии здоровья, необходимую для оказания качественной медицинской помощи, с учетом требований врачебной тайны.
       • При отзыве согласия на обработку персональных данных понимать, что это может ограничить возможность получения услуг Оператора или сделать их предоставление невозможным.
   20. Принципы обработки персональных данных Оператор обрабатывает персональные данные в соответствии с принципами, установленными статьей 5 Федерального закона № 152-ФЗ «О персональных данных»:
       • Обработка персональных данных осуществляется на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов субъектов персональных данных, клиентов, сотрудников и третьих лиц.
       • Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, указанных в настоящей Политике конфиденциальности. Цели обработки данных различны для разных категорий субъектов: медицинская деятельность для пациентов, кадровое делопроизводство для сотрудников, коммерческая деятельность для клиентов розничных точек и интернет-магазина.
       • Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Медицинские данные пациентов, кадровые данные сотрудников и коммерческие данные клиентов обрабатываются в раздельных информационных системах с соответствующими уровнями защиты.
       • Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к этим целям.
       • При обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях — актуальность по отношению к целям обработки. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных, особенно критично это при обработке медицинских данных пациентов.
       • Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом или договором. Медицинская документация хранится в соответствии с требованиями Федерального закона «Об основах охраны здоровья граждан в Российской Федерации», кадровые документы — в соответствии с трудовым законодательством.
       • Все операции по записи, систематизации, накоплению, хранению, уточнению, извлечению персональных данных осуществляются исключительно с использованием баз данных, физически размещенных на территории Российской Федераци
       • Передача, распространение, предоставление и использование персональных данных осуществляется только в случаях и в порядке, предусмотренных федеральными законами, либо с согласия субъекта персональных данных. При передаче медицинских данных соблюдаются требования врачебной тайны.
       • С 1 сентября 2025 года обработка обезличенных персональных данных может осуществляться без согласия субъекта для целей, не связанных с установлением его личности, в соответствии с требованиями Минцифры России. Обезличивание производится способами, исключающими возможность определения принадлежности данных конкретному субъекту без дополнительной информации.
   21. Получение персональных данных оператором
       1. Оператор получает персональные данные непосредственно у субъектов персональных данных во всех направлениях своей деятельности:
          • от пациентов — при предоставлении медицинских услуг и диагностике состояния зрения;
          • от сотрудников и соискателей — при трудоустройстве и в процессе трудовой деятельности;
          • от клиентов розничных точек продаж — при оформлении покупок и участии в программах лояльности;
          • от пользователей интернет-магазина — при регистрации, оформлении заказов и получении услуг через сайт.
       2. Получение персональных данных из источников, отличных от субъекта персональных данных, допускается в следующих случаях:
          • персональные данные переданы субъектом третьему лицу с согласием на их передачу Оператору (например, через программное обеспечение «Оптима» ООО «ИТигрис»);
          • персональные данные получены в рамках исполнения договора, стороной которого является субъект персональных данных;
          • персональные данные получены от платежных систем и служб доставки при исполнении договорных обязательств;
          • персональные данные получены от государственных органов в случаях, предусмотренных федеральным законом.
       3. При получении персональных данных не от субъекта Оператор обязан:
          • до начала обработки предоставить субъекту информацию о наименовании и адресе Оператора;
          • уведомить о целях обработки персональных данных и ее правовом основании;
          • сообщить о предполагаемых пользователях персональных данных;
          • разъяснить права субъекта персональных данных, установленные законодательством;
          • указать источник получения персональных данных.
       4. Оператор освобождается от обязанности предоставления указанной в пункте 2.21.3 информации, если:
          • субъект уведомлен об осуществлении обработки его персональных данных;
          • персональные данные получены на основании федерального закона или в связи с исполнением договора;
          • персональные данные сделаны общедоступными субъектом или получены из общедоступного источника;
          • предоставление сведений нарушает права и законные интересы третьих лиц.
       5. При получении персональных данных в рамках медицинской деятельности соблюдаются особые требования:
          • получение медицинского анамнеза и данных о состоянии здоровья осуществляется непосредственно от пациента или его законного представителя;
          • при невозможности получения согласия от пациента (например, при неотложном состоянии) данные могут быть получены от сопровождающих лиц или медицинских учреждений;
          • соблюдаются требования врачебной тайны при получении и последующей обработке медицинских данных.
       6. В рамках кадровой деятельности персональные данные сотрудников получаются:
          • при трудоустройстве — непосредственно от соискателя или сотрудника;
          • в процессе трудовой деятельности — от самого работника при изменении персональных данных;
          • от государственных органов — при исполнении требований трудового, налогового, пенсионного законодательства.
       7. При работе через интернет-магазин и использовании внешних сервисов:
          • данные пользователей сайта собираются через формы регистрации, заказа, обратной связи;
          • техническая информация собирается автоматически через Яндекс.Метрику с уведомлением пользователей;
          • данные от служб доставки и платежных систем получаются для исполнения договорных обязательств;
          • использование программного обеспечения «Оптима» осуществляется на основании договора поручения на обработку персональных данных.
       8. Во всех случаях получения персональных данных Оператор обеспечивает:
          • соответствие объема собираемых данных заявленным целям обработки;
          • получение необходимых согласий или наличие иных законных оснований для обработки;
          • применение принципа минимизации данных — сбор только необходимой информации;
          • соблюдение требований локализации данных граждан Российской Федерации на территории России.

3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

   
   
   1. Общие цели обработки персональных данных
      Оператор осуществляет сбор и обработку персональных данных в рамках всех видов своей деятельности для достижения следующих общих целей:
      1. Исполнение договорных обязательств между Оператором и субъектами персональных данных в соответствии с пунктом 5 части 1 статьи 6 Федерального закона № 152-ФЗ.
      2. Соблюдение требований федерального законодательства Российской Федерации в области трудовых отношений, налогового, пенсионного и социального законодательства.
      3. Защита жизни, здоровья или иных жизненно важных интересов субъектов персональных данных в соответствии с пунктом 6 части 1 статьи 6 Федерального закона № 152-ФЗ.
      4. Осуществление прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъектов персональных данных.
   2. Медицинская деятельность
      1. Категория субъектов персональных данных: Пациенты
         Цели обработки:
         • Проведение медицинского обследования и диагностики состояния зрения
         • Подбор и изготовление очков, контактных линз и медицинских изделий
         • Оказание медицинских услуг в области офтальмологии
         • Ведение медицинской документации в соответствии с требованиями врачебной тайны
         • Направление к специалистам и медицинским организациям
         • Информирование о результатах обследований и рекомендациях
         Категории и перечень обрабатываемых персональных данных:
         Общие персональные данные:
         • фамилия, имя, отчество (при наличии)
         • дата рождения
         • пол
         • адрес места жительства или пребывания
         • номер телефона, адрес электронной почты
         • данные документа, удостоверяющего личность
         • СНИЛС (при наличии)
         Медицинские данные (специальные категории персональных данных):
         • информация о состоянии здоровья глаз и зрения
         • результаты офтальмологических обследований и диагностики
         • данные рефракции, остроты зрения, внутриглазного давления
         • анамнез заболеваний органов зрения
         • информация о противопоказаниях и аллергических реакциях
         • рецепты на очки и контактные линзы
         • рекомендации врачей-офтальмологов
         • фотографии глаз, снимки глазного дна (биометрические данные)
         Правовые основания обработки:
         • согласие субъекта персональных данных (статья 9 ФЗ № 152-ФЗ)
         • необходимость защиты жизни, здоровья или иных жизненно важных интересов (пункт 6 части 1 статьи 6 ФЗ № 152-ФЗ)
         • исполнение договора оказания медицинских услуг (пункт 5 части 1 статьи 6 159-ФЗ)
         Сроки обработки и хранения: В соответствии с требованиями Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» - 25 лет с момента последнего обращения пациента.
   3. Кадровая деятельность
      1. Категория субъектов персональных данных: Сотрудники (работники)
         Цели обработки:
         • Заключение, изменение и прекращение трудовых договоров
         • Ведение кадрового учета и кадрового делопроизводства
         • Начисление и выплата заработной платы, социальных выплат и компенсаций
         • Исполнение требований трудового, налогового, пенсионного законодательства
         • Обеспечение безопасности труда и производственной дисциплины
         • Предоставление социальных гарантий и льгот
         Категории и перечень обрабатываемых персональных данных:
         • фамилия, имя, отчество (при наличии), в том числе прежние
         • дата и место рождения
         • пол, гражданство
         • данные документа, удостоверяющего личность
         • адрес места жительства и фактического проживания
         • номер телефона, адрес электронной почты
         • семейное положение, сведения о составе семьи
         • ИНН, СНИЛС
         • сведения об образовании, квалификации, профессии
         • данные трудовой книжки, сведения о трудовой деятельности
         • банковские реквизиты для перечисления заработной платы
         • сведения о воинском учете (для военнообязанных)
         • медицинские справки при приеме на работу
         • фотография (для оформления пропусков и документов)
      2. Категория субъектов персональных данных: Соискатели
         Цели обработки:
         • Рассмотрение кандидатур на замещение вакантных должностей
         • Проведение собеседований и оценки профессиональных качеств
         • Принятие решений о заключении трудовых договоров
         Категории и перечень обрабатываемых персональных данных:
         • фамилия, имя, отчество (при наличии)
         • дата рождения, возраст
         • номер телефона, адрес электронной почты
         • сведения об образовании и квалификации
         • информация о трудовом опыте и профессиональных навыках
         • рекомендации с предыдущих мест работы
         • результаты тестирований и собеседований
         Правовые основания обработки: Согласие субъекта персональных данных с отдельным оформлением в соответствии с требованиями от 1 сентября 2025 года.
         Сроки обработки и хранения: Для соискателей - 6 месяцев с момента подачи документов, для работников - в течение срока действия трудового договора и 75 лет после его прекращения в соответствии с требованиями архивного законодательства.
   4. Розничная торговля через стационарные точки продаж
      1. Категория субъектов персональных данных: Клиенты розничных точек продаж
         Цели обработки:
         • Оформление и исполнение договоров купли-продажи товаров
         • Ведение программ лояльности и дисконтных систем
         • Консультирование по подбору товаров и услуг
         • Обработка обращений, жалоб и претензий клиентов
         • Информирование о новых товарах и специальных предложениях
         Категории и перечень обрабатываемых персональных данных:
         • фамилия, имя, отчество (при наличии)
         • номер телефона
         • адрес электронной почты (при желании клиента)
         • данные дисконтных и бонусных карт
         • история покупок и предпочтения
         • информация о рекламациях и обращениях
         Правовые основания обработки:
         • согласие субъекта персональных данных на участие в программах лояльности
         • исполнение договора купли-продажи (пункт 5 части 1 статьи 6 ФЗ № 152-ФЗ)
         Сроки обработки и хранения: 3 года с момента последней покупки для целей программы лояльности, 5 лет для исполнения гарантийных обязательств.
   5. Интернет-торговля и деятельность через сайт
      1. Категория субъектов персональных данных: Пользователи интернет-магазина
         Цели обработки:
         • Создание и ведение личных кабинетов пользователей
         • Оформление и исполнение заказов через интернет-магазин
         • Обеспечение доставки товаров покупателям
         • Проведение расчетов за товары и услуги
         • Техническая поддержка и консультирование пользователей
         • Информирование о статусе заказов и новых поступлениях
         Категории и перечень обрабатываемых персональных данных:
         Данные для регистрации и авторизации:
         • фамилия, имя, отчество (при наличии)
         • адрес электронной почты
         • номер телефона
         • пароль (в зашифрованном виде)
         Данные для оформления заказов:
         • адрес доставки
         • информация о способе оплаты
         • данные банковской карты (обрабатываются платежными системами)
         Техническая информация, собираемая автоматически:
         • IP-адрес устройства
         • информация о браузере и операционной системе
         • данные файлов cookies
         • информация о посещенных страницах сайта
         • время и продолжительность сеансов
         • источники перехода на сайт
      2. Обработка данных через внешние системы:
         Яндекс.Метрика:
         • цель: анализ посещаемости сайта и поведения пользователей
         • данные: IP-адрес, информация о браузере, операционной системе, посещенных страницах
         • правовое основание: уведомление пользователей и техническая необходимость
         Системы email-рассылки:
         • цель: направление информационных и рекламных материалов
         • данные: адрес электронной почты, имя
         • правовое основание: отдельное согласие на получение рассылки
         Правовые основания обработки:
         • согласие субъекта персональных данных (с отдельным оформлением с 1 сентября 2025 года)
         • исполнение договора купли-продажи через интернет-магазин
         • законные интересы Оператора в части технической информации
         Сроки обработки и хранения: 3 года с момента последней активности пользователя или до отзыва согласия.
   6. Обработка данных через программное обеспечение «Оптима»
      Цель обработки: Ведение единой базы данных клиентов, автоматизация процессов продаж и учета товаров.
      Обработчик персональных данных: ООО «ИТигрис» на основании договора поручения на обработку персональных данных.
      Категории обрабатываемых данных:
      • персональные данные клиентов розничных точек и интернет-магазина
      • информация о покупках и предпочтениях
      • данные программ лояльности
      Меры защиты: Обеспечение соответствия обработки персональных данных требованиям российского законодательства, соблюдение локализации данных на территории РФ.
   7. Взаимодействие со службами доставки и платежными системами
      1. Службы доставки (СДЭК, Яндекс.Доставка):
         Цель передачи данных: Доставка товаров покупателям интернет-магазина.
         Передаваемые данные:
         
         • фамилия, имя, отчество получателя
         • номер телефона для связи
         • адрес доставки
         • информация о заказе (без персональных предпочтений)
         Правовое основание: Исполнение договора купли-продажи (пункт 5 части 1 статьи 6 ФЗ № 152-ФЗ).
      2. Платежные системы:
         Цель передачи данных: Проведение расчетов за товары и услуги.
         Передаваемые данные:
         
         • сумма платежа и информация о заказе
         • идентификатор транзакции
         Особенности: Данные банковских карт обрабатываются непосредственно платежными системами, Оператор не имеет доступа к номерам карт и CVV-кодам.
   8. Особенности обработки специальных категорий персональных данных
      1. Медицинские данные пациентов:
         • обрабатываются в соответствии с требованиями врачебной тайны
         • доступ ограничен только медицинским персоналом
         • применяются усиленные меры технической и организационной защиты
         • запрещается передача третьим лицам без письменного согласия пациента или требований закона
   9. Принципы минимизации и соответствия данных
      1. Обработке подлежат только персональные данные, которые отвечают целям их обработки и не являются избыточными по отношению к заявленным целям.
      2. Содержание и объем обрабатываемых персональных данных строго соответствуют заявленным целям обработки для каждой категории субъектов.
      3. При достижении целей обработки персональных данных или утрате необходимости в их обработке данные подлежат уничтожению в течение 30 дней, если иное не предусмотрено федеральным законом.
   10. Обезличивание персональных данных
       С 1 сентября 2025 года Оператор вправе осуществлять обезличивание персональных данных для следующих целей:
       1. Проведение статистических исследований и аналитики без возможности идентификации конкретных субъектов персональных данных.
       2. Улучшение качества предоставляемых услуг на основе анализа обезличенных данных о потребительских предпочтениях.
       3. Передача обезличенных данных в государственную информационную систему в соответствии с требованиями Минцифры России.
       Методы обезличивания: Применяются способы, исключающие возможность определения принадлежности персональных данных конкретному субъекту без использования дополнительной информации.

4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

   1. Общие принципы обработки персональных данных
      1. Оператор осуществляет обработку персональных данных в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» и иных федеральных законов, определяющих случаи и особенности обработки персональных данных.
      2. Обработка персональных данных осуществляется с соблюдением принципов законности, справедливости, соразмерности, достоверности и минимизации в соответствии со статьей 5 Федерального закона № 152-ФЗ.
   2. Правовые основания обработки персональных данных
      Оператор обрабатывает персональные данные на следующих правовых основаниях:
      1. Согласие субъекта персональных данных (статья 9 ФЗ № 152) - для всех категорий субъектов при обработке персональных данных сверх минимально необходимых объемов.
      2. Исполнение договора (пункт 5 части 1 статьи 6 ФЗ № 152) - при:
         • оказании медицинских услуг пациентам;
         • исполнении трудовых договоров с сотрудниками;
         • выполнении договоров купли-продажи с клиентами розничных точек и интернет-магазина.
      3. Соблюдение правовой обязанности (пункт 4 части 1 статьи 6 ФЗ № 152) - при:
         • ведении кадрового делопроизводства в соответствии с Трудовым кодексом РФ;
         • исполнении требований налогового и пенсионного законодательства;
         • соблюдении требований медицинского законодательства.
      4. Защита жизни, здоровья или иных жизненно важных интересов (пункт 6 части 1 статьи 6 ФЗ № 152) - при:
         • оказании неотложной медицинской помощи;
         • обработке медицинских данных в экстренных ситуациях.
      5. Законные интересы оператора (пункт 7 части 1 статьи 6 ФЗ № 152) - при:
         • обеспечении безопасности и функционирования сайта;
         • проведении внутреннего анализа и улучшения качества услуг;
         • обработке технической информации для обеспечения работы интернет-магазина.
   3. Особенности обработки специальных категорий персональных данных
      1. Медицинские данные пациентов:
         • обрабатываются только с письменного согласия пациента или его законного представителя;
         • соблюдаются требования врачебной тайны в соответствии с Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации»;
         • доступ к медицинским данным ограничен исключительно медицинским персоналом;
         • применяются усиленные меры технической и организационной защиты.
      2. Биометрические персональные данные:
         • фотографии глаз, снимки глазного дна для медицинских целей;
         • обрабатываются только с отдельного письменного согласия субъекта;
         • хранятся в защищенных медицинских информационных системах с криптографической защитой.
   4. Способы и методы обработки персональных данных
      1. Автоматизированная обработка - с использованием:
         • программного обеспечения «Оптима» для ведения базы данных клиентов;
         • информационных систем для ведения медицинской документации;
         • систем кадрового учета;
         • интернет-магазина и системы управления заказами.
      2. Неавтоматизированная обработка - при работе с:
         • бумажными медицинскими картами и документами;
         • кадровыми документами в бумажном виде;
         • рукописными формами согласий и заявлений.
      3. Смешанная обработка - сочетание автоматизированных и неавтоматизированных способов в зависимости от специфики деятельности и требований законодательства.
   5. Обработка персональных данных через внешние системы и сервисы
      1. Программное обеспечение «Оптима» (ООО «ИТигрис»):
         • обработка данных клиентов розничных точек и интернет-магазина;
         • правовое основание: договор поручения на обработку персональных данных;
         • обеспечение соответствия требованиям российского законодательства;
         • соблюдение локализации данных на территории РФ.
      2. Яндекс.Метрика:
         • сбор технической информации о посетителях сайта: IP-адреса, данные о браузере, операционной системе, посещенных страницах;
         • цель: анализ посещаемости сайта и улучшение пользовательского опыта;
         • правовое основание: уведомление пользователей и законные интересы оператора;
         • пользователи уведомляются о сборе данных через cookies.
      3. Системы email-рассылки:
         • обработка адресов электронной почты и имен для информационных рассылок;
         • правовое основание: отдельное согласие на получение рекламных материалов;
         • обеспечение возможности отписки от рассылки в каждом письме.
      4. Платежные системы:
         • передача минимально необходимых данных для обработки платежей;
         • данные банковских карт обрабатываются непосредственно платежными системами;
         • Оператор не имеет доступа к номерам карт и CVV-кодам.
      5. Службы доставки (СДЭК, Яндекс.Доставка):
         • передача контактных данных получателя и адреса доставки;
         • правовое основание: исполнение договора купли-продажи;
         • данные передаются исключительно для целей доставки товаров.
   6. Технические аспекты обработки персональных данных
      1. Локализация данных:
         • все персональные данные граждан РФ обрабатываются и хранятся исключительно на серверах, физически расположенных на территории Российской Федерации;
         • запрещается использование баз данных, находящихся за пределами РФ, в соответствии с требованиями от 1 июля 2025 года.
      2. Сбор технической информации:
         • IP-адреса пользователей сайта;
         • информация из файлов cookies и аналогичных технологий;
         • данные о браузере, операционной системе, типе устройства;
         • время доступа к сайту и продолжительность сеансов;
         • информация о посещенных страницах и переходах;
         • источники трафика и поисковые запросы.
      3. Использование файлов cookies:
         • файлы cookies используются для обеспечения функционирования сайта, анализа посещаемости и улучшения пользовательского опыта;
         • пользователи уведомляются о использовании cookies при первом посещении сайта;
         • предоставляется возможность настройки параметров cookies в браузере;
         • персональные данные в файлах cookies не сохраняются.
   7. Процедуры получения согласия на обработку персональных данных
      1. Требования к согласию с 1 сентября 2025 года:
         • согласие оформляется отдельным документом, не включается в договоры или пользовательские соглашения;
         • согласие должно быть конкретным, информированным, сознательным и однозначным;
         • указываются конкретные цели обработки и категории персональных данных;
         • разъясняются права субъекта персональных данных.
      2. Способы получения согласия:
         Для пациентов медицинских услуг:
         • письменное согласие при первичном обращении;
         • отдельное согласие на обработку медицинских данных и биометрических данных;
         • согласие законного представителя для несовершеннолетних.
         Для сотрудников и соискателей:
         • письменное согласие при трудоустройстве;
         • согласие на обработку кадровых данных в соответствии с трудовым законодательством.
         Для клиентов розничных точек:
         • согласие на участие в программах лояльности;
         • согласие на обработку данных для исполнения договоров купли-продажи.
         Для пользователей интернет-магазина:
         • согласие при регистрации на сайте через отдельную форму;
         • согласие на использование cookies и систем аналитики;
         • согласие на получение информационных рассылок.
   8. Передача персональных данных третьим лицам
      1. Случаи передачи персональных данных:
         • на основании отдельного согласия субъекта персональных данных;
         • для исполнения договорных обязательств (службы доставки, платежные системы);
         • по требованию уполномоченных государственных органов в соответствии с законодательством;
         • обработчикам персональных данных на основании договоров поручения.
      2. Ограничения при передаче:
         • передаются только данные, необходимые для достижения конкретной цели;
         • получатели обязуются соблюдать конфиденциальность персональных данных;
         • обеспечивается соответствие мер защиты данных у получателей требованиям российского законодательства.
      3. Запрет трансграничной передачи:
         • персональные данные граждан РФ не передаются в иностранные государства;
         • исключение составляют случаи, прямо предусмотренные федеральным законодательством.
   9. Обезличивание персональных данных
      1. С 1 сентября 2025 года Оператор вправе осуществлять обезличивание персональных данных без согласия субъекта для целей, не связанных с установлением его личности.
      2. Методы обезличивания:
         • удаление прямых идентификаторов (ФИО, паспортные данные, контактная информация);
         • псевдонимизация данных с использованием криптографических методов;
         • агрегирование данных до уровня, исключающего идентификацию конкретных лиц;
         • применение статистических методов генерализации данных.
      3. Использование обезличенных данных:
         • проведение статистических исследований и аналитики;
         • улучшение качества медицинских и коммерческих услуг;
         • передача обезличенных данных в государственную информационную систему по требованию Минцифры России.
   10. Автоматизированное принятие решений
       1. При использовании автоматизированных систем принятия решений Оператор обязан:
          • уведомить субъекта персональных данных о факте автоматизированной обработки;
          • разъяснить логику принятия решений и возможные последствия;
          • предоставить возможность заявить возражение против автоматизированного решения;
          • обеспечить возможность пересмотра решения с участием человека.
       2. Автоматизированные решения могут приниматься в следующих случаях:
          • обработка заказов в интернет-магазине;
          • предварительная обработка заявок на трудоустройство;
          • формирование рекомендаций по товарам и услугам;
          • техническая модерация обращений пользователей.
   11. Журналирование операций с персональными данными
       1. Оператор ведет журналы учета всех операций с персональными данными, включающие:
          • дату и время совершения операции;
          • вид операции (сбор, запись, систематизация, хранение, уточнение, использование, передача, блокирование, удаление, уничтожение);
          • объект операции (категория персональных данных);
          • субъект операции (лицо, совершившее операцию);
          • правовое основание операции.
       2. Журналы операций хранятся в течение срока обработки персональных данных и дополнительно 3 года после прекращения обработки для целей обеспечения соблюдения требований законодательства.
   12. Уведомление об инцидентах безопасности
       1. В случае нарушения безопасности персональных данных Оператор обязан:
          • в течение 24 часов уведомить Роскомнадзор о произошедшем инциденте с указанием предполагаемых причин и принятых мер;
          • в течение 72 часов предоставить результаты внутреннего расследования инцидента.
       2. При значительном риске нарушения прав субъектов персональных данных Оператор также уведомляет непосредственно пострадавших лиц о произошедшем инциденте и принимаемых мерах защиты.
   13. Внутренний контроль обработки персональных данных
       1. Оператор осуществляет регулярный внутренний контроль соблюдения требований законодательства о персональных данных, включающий:
          • проверку соответствия обработки заявленным целям;
          • аудит мер технической и организационной защиты;
          • контроль доступа сотрудников к персональным данным;
          • проверку выполнения процедур уведомления и получения согласий.
       2. По результатам внутреннего контроля составляются отчеты с указанием выявленных нарушений и мер по их устранению.

5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

   1. Оператор обрабатывает персональные данные на основании следующих правовых оснований, установленных статьей 6 Федерального закона № 152-ФЗ «О персональных данных»:
      1. Согласие субъекта персональных данных (пункт 1 части 1 статьи 6 ФЗ № 152)
         • Письменное согласие на обработку персональных данных, оформленное отдельно от других документов
         • Согласие на участие в программах лояльности для клиентов розничных точек продаж
         • Согласие на получение информационных рассылок по электронной почте
         • Согласие на использование систем веб-аналитики (Яндекс.Метрика)
         • Отдельное согласие на обработку медицинских данных пациентов
         • Согласие на обработку биометрических персональных данных (фотографии глаз, снимки глазного дна)
      2. Необходимость для выполнения функций, возложенных законодательством (пункт 2 части 1 статьи 6 ФЗ № 152)
         • Ведение кадрового делопроизводства в соответствии с Трудовым кодексом РФ
         • Исполнение требований налогового законодательства при расчете и удержании налогов с доходов работников
         • Соблюдение требований пенсионного законодательства при ведении индивидуального учета
         • Выполнение требований медицинского законодательства при ведении медицинской документации
      3. Исполнение судебного акта (пункт 3 части 1 статьи 6 ФЗ № 152)
         • Предоставление персональных данных по требованию судов, органов предварительного следствия и дознания
         • Исполнение судебных решений в отношении работников и клиентов
      4. Соблюдение правовой обязанности оператора (пункт 4 части 1 статьи 6 ФЗ № 152)
         • Исполнение трудовых договоров с сотрудниками организации
         • Соблюдение требований охраны труда и обеспечения безопасности на рабочих местах
         • Выполнение обязательств по социальному страхованию работников
      5. Исполнение договора (пункт 5 части 1 статьи 6 ФЗ № 152)
         • Оказание медицинских услуг пациентам по договорам оказания медицинских услуг
         • Исполнение договоров купли-продажи с клиентами розничных точек и интернет-магазина
         • Предоставление услуг доставки через службы СДЭК и Яндекс.Доставка
         • Обработка платежей через платежные системы
      6. Защита жизни, здоровья или иных жизненно важных интересов (пункт 6 части 1 статьи 6 ФЗ № 152)
         • Оказание неотложной медицинской помощи при невозможности получения согласия пациента
         • Обработка медицинских данных в экстренных ситуациях для спасения жизни и здоровья
      7. Осуществление прав и законных интересов оператора (пункт 7 части 1 статьи 6 ФЗ № 152)
         • Обеспечение функционирования сайта и интернет-магазина
         • Проведение внутренней аналитики для улучшения качества услуг
         • Обеспечение безопасности информационных систем организации
         • Сбор технической информации для обеспечения работы сайта
   2. Специальные правовые основания для обработки медицинских данных:
      В соответствии с частью 2.1 статьи 10 Федерального закона № 152-ФЗ и статьей 13 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации»:
      • Письменное согласие субъекта персональных данных или его законного представителя
      • Медико-профилактические цели и установление медицинского диагноза
      • Оказание медицинских и медико-социальных услуг лицом, профессионально занимающимся медицинской деятельностью
      • Соблюдение требований врачебной тайны в соответствии с медицинским законодательством
   3. Нормативные правовые акты, регулирующие обработку персональных данных:
      • Конституция Российской Федерации (статьи 23, 24)
      • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции 2025 года)
      • Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»
      • Трудовой кодекс Российской Федерации (статья 86)
      • ФЗ от 30.11.2024 № 420-ФЗ об ужесточении ответственности за нарушения в области персональных данных
      • ФЗ от 24.06.2025 № 156-ФЗ о требованиях к оформлению согласий на обработку персональных данных
      • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
      • Приказ ФСТЭК России от 11.04.2025 № 117 (вступает в силу с 1 марта 2026 года)
   4. Внутренние документы оператора:
      • Настоящая Политика конфиденциальности персональных данных
      • Положение об обработке и защите персональных данных
      • Должностные инструкции ответственных за обработку персональных данных
      • Регламенты и процедуры обеспечения безопасности персональных данных
      • Договоры поручения на обработку персональных данных с внешними обработчиками

6. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

   1. Общие принципы обеспечения безопасности персональных данных В соответствии со статьей 19 Федерального закона № 152-ФЗ «О персональных данных» Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
   2. Правовые меры защиты персональных данных
      1. Разработка и утверждение локальных нормативных актов:
         • Политика конфиденциальности персональных данных (настоящий документ)
         • Положение об обработке и защите персональных данных в организации
         • Регламент доступа к персональным данным и их обработки
         • Процедуры уведомления об инцидентах безопасности персональных данных
         • Регламент уничтожения персональных данных при достижении целей обработки
      2. Назначение ответственных лиц:
         • Назначение ответственного за организацию обработки персональных данных в соответствии с статьей 22.1 ФЗ № 152
         • Определение полномочий и ответственности должностных лиц, имеющих доступ к персональным данным
         • Установление персональной ответственности за соблюдение требований законодательства
      3. Договорное регулирование:
         • Заключение договоров поручения на обработку персональных данных с ООО «ИТигрис» (программа «Оптима»)
         • Договоры с поставщиками услуг email-рассылки
         • Соглашения с платежными системами и службами доставки
         • Договоры с медицинскими учреждениями при направлении пациентов
   3. Организационные меры защиты персональных данных
      1. Управление доступом к персональным данным:
         • Разграничение доступа к персональным данным различных категорий субъектов
         • Установление индивидуальных учетных записей для каждого сотрудника
         • Периодический пересмотр прав доступа при изменении должностных обязанностей
         • Немедленное аннулирование доступа при увольнении сотрудников
      2. Обучение персонала:
         • Ознакомление всех сотрудников с требованиями законодательства о персональных данных
         • Обучение работников правилам обработки и защиты персональных данных
         • Подписание обязательств о неразглашении конфиденциальной информации
         • Регулярное повышение квалификации ответственных лиц
      3. Контрольные процедуры:
         • Ведение журналов учета операций с персональными данными
         • Регулярный внутренний аудит соблюдения требований безопасности
         • Мониторинг действий пользователей в информационных системах
         • Документирование всех процедур обработки персональных данных
      4. Специальные меры для медицинских данных:
         • Соблюдение требований врачебной тайны в соответствии с медицинским законодательством
         • Ограничение доступа к медицинским данным только медицинским персоналом
         • Обеспечение повышенной конфиденциальности медицинской информации
         • Специальные процедуры передачи медицинских данных третьим лицам
   4. Технические меры защиты персональных данных
      1. Защита информационных систем:
         • Установка и поддержание средств антивирусной защиты
         • Резервное копирование персональных данных с обеспечением их защиты
      2. Криптографическая защита:
         • Шифрование персональных данных при их передаче по открытым каналам связи
         • Использование защищенных протоколов для доступа к веб-ресурсам (HTTPS)
         • Обеспечение целостности данных с использованием электронной
      3. Физическая защита:
         • Контроль доступа в помещения, где обрабатываются персональные данные
         • Обеспечение сохранности бумажных носителей персональных данных
         • Уничтожение носителей персональных данных с использованием специального оборудования
      4. Локализация данных:
         • Размещение всех баз данных на серверах, физически расположенных на территории Российской Федерации
         • Запрет на трансграничную передачу персональных данных граждан РФ
         • Обеспечение соответствия внешних обработчиков требованиям локализации данных
   5. Уровни защищенности информационных систем персональных данных В соответствии с Постановлением Правительства РФ № 1119 Оператор обеспечивает соответствующие уровни защищенности для различных информационных систем:
      1. Для медицинских информационных систем (содержащих специальные категории персональных данных):
         • Уровень защищенности УЗ-2 или выше
         • Усиленные требования к идентификации и аутентификации
         • Обязательное ведение детального журнала событий безопасности
      2. Для кадровых информационных систем:
         • Уровень защищенности УЗ-2
         • Строгое разграничение доступа по должностным обязанностям
         • Контроль целостности персональных данных работников
      3. Для коммерческих информационных систем:
         • Уровень защищенности УЗ-3
         • Базовые требования к защите от типовых угроз
         • Регулярное обновление средств защиты информации
   6. Процедуры реагирования на инциденты безопасности
      1. Обнаружение и классификация инцидентов:
         • Непрерывный мониторинг информационных систем на предмет инцидентов
         • Классификация инцидентов по степени критичности
         • Немедленное реагирование на подозрительную активность
      2. Уведомление о нарушениях безопасности:
         • Уведомление Роскомнадзора в течение 24 часов о произошедшем инциденте
         • Предоставление результатов расследования в течение 72 часов
         • Уведомление пострадавших субъектов персональных данных при высоком риске
      3. Расследование и устранение последствий:
         • Проведение внутреннего расследования причин инцидента
         • Принятие мер по устранению последствий нарушения безопасности
         • Анализ эффективности принятых мер защиты и их совершенствование
   7. Контроль эффективности мер защиты
      1. Внутренний аудит:
         • Регулярная проверка соответствия обработки персональных данных требованиям законодательства
         • Оценка эффективности применяемых мер защиты
         • Документирование результатов проверок и принятых мер
      2. Внешний аудит:
         • Привлечение независимых экспертов для оценки системы защиты
         • Тестирование на проникновение для выявления уязвимостей
         • Получение заключений о соответствии требованиям безопасности
   8. Особенности защиты различных категорий персональных данных
      1. Биометрические персональные данные:
         • Раздельное хранение биометрических шаблонов и идентифицирующей информации
         • Использование необратимого преобразования биометрических данных
         • Ограниченный доступ только уполномоченного медицинского персонала
      2. Персональные данные несовершеннолетних:
         • Получение согласия от законных представителей на обработку данных
         • Усиленные меры защиты данных детей и подростков
         • Особые процедуры предоставления информации о несовершеннолетних
          

7. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

   1. Общие принципы определения сроков обработки персональных данных
      1. Сроки обработки персональных данных определяются исходя из целей их обработки, требований федерального законодательства, договорных обязательств и согласия субъектов персональных данных.
      2. Персональные данные обрабатываются не дольше, чем этого требуют цели их обработки, если срок не установлен федеральным законом или договором, стороной которого является субъект персональных данных.
      3. При достижении целей обработки или утрате необходимости в их достижении персональные данные подлежат уничтожению в срок, не превышающий 30 дней, если иное не предусмотрено федеральным законодательством.
   2. Сроки обработки персональных данных пациентов
      1. Медицинские данные и данные о состоянии здоровья:
         • Срок обработки: в течение всего периода оказания медицинских услуг и 25 лет после последнего обращения пациента
         • Правовое основание: Федеральный закон «Об основах охраны здоровья граждан в Российской Федерации»
         • Особенности: медицинская документация подлежит длительному хранению в соответствии с требованиями врачебной тайны
      2. Биометрические персональные данные пациентов:
         • Срок обработки: 25 лет с момента последнего медицинского обследования
         • Условия хранения: в защищенных медицинских информационных системах с криптографической защитой
         • Уничтожение: по истечении срока хранения или по письменному требованию пациента при отсутствии медицинских противопоказаний
      3. Согласия на обработку медицинских данных:
         • Срок действия: до отзыва согласия пациентом или его законным представителем
         • Минимальный срок хранения: 25 лет в соответствии с медицинским законодательством
   3. Сроки обработки персональных данных сотрудников и соискателей
      1. Персональные данные сотрудников:
         • В период трудовых отношений: в течение всего срока действия трудового договора
         • После увольнения: 75 лет в соответствии с требованиями архивного законодательства для документов по личному составу
         • Налоговые и социальные данные: в соответствии с требованиями налогового и пенсионного законодательства
      2. Персональные данные соискателей:
         • При трудоустройстве: данные передаются в кадровый учет
         • При отказе в трудоустройстве: 6 месяцев с момента подачи документов
         • Досрочное уничтожение: по письменному требованию соискателя через 30 дней после принятия окончательного решения о трудоустройстве
   4. Сроки обработки персональных данных клиентов розничных точек продаж
      1. Данные участников программ лояльности:
         • Срок обработки: 3 года с момента последней покупки или активности по программе лояльности
         • Продление срока: автоматически при каждой новой покупке
         • Досрочное прекращение: по заявлению клиента с уничтожением данных в течение 30 дней
      2. Данные для исполнения гарантийных обязательств:
         • Срок обработки: 5 лет с момента покупки товара для обеспечения гарантийного обслуживания
         • Правовое основание: исполнение договора купли-продажи и требований закона «О защите прав потребителей»
      3. История покупок и предпочтения:
         • Срок обработки: 3 года для маркетинговых целей и улучшения качества обслуживания
         • Условие продления: активное участие в программе лояльности
   5. Сроки обработки персональных данных пользователей интернет-магазина
      1. Регистрационные данные:
         • Активные пользователи: до удаления личного кабинета или отзыва согласия
         • Неактивные пользователи: 3 года с момента последней активности (входа в личный кабинет, оформления заказа)
         • Автоматическое уведомление: за 30 дней до планируемого удаления данных
      2. Данные заказов и покупок:
         • Срок обработки: 5 лет с момента исполнения заказа для обеспечения гарантийных обязательств
         • Финансовые данные: в соответствии с требованиями налогового законодательства
         • Данные доставки: 1 год после получения товара покупателем
      3. Техническая информация (IP-адреса, cookies, данные сеансов):
         • Срок обработки: 1 год с момента сбора для технических и аналитических целей
         • Логи безопасности: 3 года для обеспечения информационной безопасности
         • Обезличенные аналитические данные: без ограничения срока после обезличивания
   6. Специальные сроки для внешних интеграций
      1. Данные в программном обеспечении «Оптима» (ООО «ИТигрис»):
         • Синхронизация сроков: соответствуют срокам, установленным для соответствующих категорий клиентов
         • Контроль соблюдения: ежемесячная сверка сроков хранения с обработчиком
         • Уничтожение: одновременно в системах Оператора и обработчика
      2. Данные систем email-рассылки:
         • Активные подписчики: до отписки от рассылки
         • Отписавшиеся пользователи: 6 месяцев в списке исключений для предотвращения повторных рассылок
         • Статистика рассылок: 2 года в обезличенном виде
      3. Данные Яндекс.Метрики:
         • Срок хранения: определяется условиями использования сервиса Яндекс.Метрики
         • Контроль данных: регулярная проверка настроек конфиденциальности
         • Ограничение обработки: только для целей веб-аналитики
   7. Процедуры прекращения обработки персональных данных
      1. Автоматическое прекращение:
         • При достижении установленных сроков обработки система автоматически инициирует процедуру удаления
         • Уведомление ответственного за персональные данные за 30 дней до планируемого удаления
         • Проверка отсутствия правовых оснований для продления срока обработки
      2. Прекращение по требованию субъекта:
         • Срок рассмотрения требования: 30 дней с момента получения письменного обращения
         • Проверка правомерности: анализ наличия законных оснований для продления обработки
         • Уведомление о результатах: письменный ответ субъекту персональных данных о принятом решении
      3. Прекращение при отзыве согласия:
         • Немедленное прекращение: операций, основанных исключительно на согласии субъекта
         • Срок уведомления: 3 рабочих дня с момента получения отзыва согласия
         • Сохранение данных: только при наличии иных правовых оснований, предусмотренных законом
   8. Сроки уничтожения персональных данных
      1. Стандартные сроки уничтожения:
         • После достижения целей обработки: не более 30 дней
         • При отзыве согласия: не более 30 дней (при отсутствии иных правовых оснований)
         • По требованию субъекта: не более 30 дней (при отсутствии законных препятствий)
      2. Специальные случаи:
         • Медицинские данные: уничтожение возможно только по истечении 25 лет или при наличии письменного согласия пациента и отсутствии медицинских противопоказаний
         • Кадровые документы: в соответствии с архивным законодательством - 75 лет
         • Данные для исполнения гарантийных обязательств: после истечения гарантийного срока
      3. Процедура уничтожения:
         • Физическое уничтожение: бумажных носителей с использованием специального оборудования
         • Цифровое уничтожение: с применением программных средств гарантированного удаления
         • Документирование: составление актов об уничтожении персональных данных
         • Контроль: проверка полноты уничтожения данных во всех информационных системах
   9. Особенности обработки персональных данных с учетом изменений 2025 года
      1. Обезличенные персональные данные:
         • С 1 сентября 2025 года: обезличенные данные могут обрабатываться без ограничения срока
         • Условие: невозможность определения принадлежности данных конкретному субъекту без дополнительной информации
         • Контроль качества обезличивания: ежегодная проверка эффективности применяемых методов
      2. Уведомления об инцидентах:
         • Сроки уведомления Роскомнадзора: 24 часа о факте инцидента, 72 часа о результатах расследования
         • Хранение документов об инцидентах: 5 лет с момента устранения последствий
         • Уведомление субъектов: при высоком риске нарушения их прав - незамедлительно
   10. Контроль соблюдения сроков обработки
       1. Внутренний контроль:
          • Ежемесячная проверка: соблюдения установленных сроков обработки
          • Автоматизированные напоминания: за 30 дней до истечения сроков
          • Отчетность: ежеквартальные отчеты ответственного за персональные данные
       2. Ведение реестра:
          • Реестр обрабатываемых данных: с указанием сроков начала и окончания обработки
          • Основания для обработки: с указанием правовых оснований и их сроков действия
          • Журнал операций: с фиксацией всех действий по прекращению обработки и уничтожению данных
   11. Продление сроков обработки
       1. Основания для продления:
          • Продление договорных отношений с субъектом персональных данных
          • Изменение целей обработки с получением нового согласия
          • Возникновение правовых обязательств по сохранению данных
       2. Процедура продления:
          • Анализ правомерности: проверка наличия законных оснований
          • Уведомление субъекта: о планируемом продлении срока обработки (где требуется)
          • Документирование: решения о продлении с указанием оснований и нового срока

8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

   1. Общие принципы обработки запросов субъектов персональных данных
      1. Оператор обеспечивает субъектам персональных данных возможность ознакомления с обрабатываемыми персональными данными, а также реализацию иных прав, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных».
      2. Запросы субъектов персональных данных рассматриваются в течение 30 дней с момента получения письменного обращения, если иной срок не установлен федеральным законом.
      3. Ответ на запрос предоставляется субъекту персональных данных или его представителю в доступной форме, и в нем не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
   2. Право на получение информации об обработке персональных данных
      1. Субъект персональных данных имеет право получить следующую информацию:
         • подтверждение факта обработки персональных данных Оператором
         • правовые основания и цели обработки персональных данных
         • применяемые способы обработки персональных данных
         • наименование и место нахождения Оператора
         • сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные
         • обрабатываемые персональные данные, относящиеся к соответствующему субъекту, источник их получения
         • сроки обработки персональных данных, в том числе сроки их хранения
         • порядок осуществления прав субъекта персональных данных
         • информацию об осуществляемой или планируемой передаче данных третьим лицам
         • наименование обработчиков персональных данных (при наличии)
      2. Порядок подачи запроса:
         • Для пациентов: письменный запрос в салоне оптики “Культура Зрения” или по адресу электронной почты administrator@culturavision.com
         • Для сотрудников: через отдел кадров или ответственного за персональные данные
         • Для клиентов розничных точек: в любой точке продаж или через сайт
         • Для пользователей интернет-магазина: через личный кабинет или по электронной почте
   3. Актуализация и исправление персональных данных
      1. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование персональных данных, относящихся к данному субъекту, с момента такого обращения или получения указанного запроса на период проверки.
      2. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо поручает их уточнение обработчику и снимает блокирование персональных данных.
      3. Специальные процедуры для различных категорий данных: Медицинские данные пациентов:
         • исправления вносятся только по заключению медицинского персонала
         • сохраняется история изменений для обеспечения преемственности лечения
         • соблюдаются требования ведения медицинской документации
         Кадровые данные сотрудников:
         • изменения оформляются в соответствии с требованиями трудового законодательства
         • внесение исправлений документируется приказами и дополнительными соглашениями
         Коммерческие данные клиентов:
         • изменения могут вноситься через личный кабинет на сайте или при обращении в розничную точку
         • подтверждение изменений осуществляется по телефону или электронной почте
   4. Удаление и блокирование персональных данных
      1. Субъект персональных данных имеет право потребовать от Оператора блокирования или уничтожения его персональных данных в случае, если:
         • персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
         • истек срок обработки персональных данных
         • персональные данные обрабатываются неправомерно
         • субъект персональных данных отозвал согласие на обработку
      2. Ограничения на удаление персональных данных: Медицинские данные:
         • не могут быть удалены в течение 25 лет в соответствии с медицинским законодательством
         • удаление возможно только при письменном согласии пациента и отсутствии медицинских противопоказаний
         Кадровые данные:
         • сохраняются в течение 75 лет в соответствии с архивным законодательством
         • досрочное удаление невозможно
         Данные для исполнения гарантийных обязательств:
         • сохраняются до истечения гарантийного срока и сроков исковой давности
      3. При невозможности удаления персональных данных в установленный срок Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение в срок, не превышающий 6 месяцев, если иной срок не установлен федеральными законами.
   5. Отзыв согласия на обработку персональных данных
      1. Порядок отзыва согласия:
         • Письменное уведомление направляется Оператору любым доступным способом
         • Через личный кабинет на сайте для пользователей интернет-магазина
         • При личном обращении в розничные точки или медицинское учреждение
         • По электронной почте с обязательным подтверждением получения
      2. При получении отзыва согласия Оператор прекращает обработку персональных данных в течение 30 дней, если:
         • отсутствуют иные правовые основания для обработки, предусмотренные Федеральным законом № 152-ФЗ
         • не действуют договорные обязательства, требующие сохранения данных
         • отсутствуют требования федерального законодательства о сохранении данных
      3. Последствия отзыва согласия:
         • прекращение предоставления услуг, основанных на обработке персональных данных
         • невозможность участия в программах лояльности
         • ограничение функциональности личного кабинета на сайте
         • прекращение информационных рассылок
   6. Автоматизированное принятие решений
      1. При обработке персональных данных в целях принятия решения на основании исключительно автоматизированной обработки Оператор предоставляет субъекту персональных данных информацию о:
         • логике, лежащей в основе процесса принятия решения
         • значении и предполагаемых последствиях такой обработки для субъекта
      2. Субъект персональных данных имеет право требовать от Оператора пересмотра решения, принятого на основании автоматизированной обработки, и изложить свою точку зрения.
      3. Оператор обязан рассмотреть возражение против автоматизированного решения в течение 10 рабочих дней и уведомить субъекта о результатах рассмотрения.
   7. Процедуры уничтожения персональных данных
      1. Основания для уничтожения:
         • достижение целей обработки персональных данных
         • истечение установленных сроков обработки
         • отзыв согласия при отсутствии иных правовых оснований
         • требование субъекта персональных данных при наличии законных оснований
         • выявление неправомерной обработки
      2. Способы уничтожения: Электронные носители:
         • использование программных средств гарантированного удаления
         • физическое уничтожение носителей информации при необходимости
         Бумажные носители:
         • измельчение с использованием шредеров соответствующего класса защиты
         • сжигание в присутствии ответственных лиц
      3. Уничтожение персональных данных оформляется актом об уничтожении с указанием:
         • категорий уничтожаемых персональных данных
         • количества уничтоженных носителей
         • способа уничтожения
         • лиц, ответственных за уничтожение
         • даты и времени уничтожения
   8. Реагирование на инциденты безопасности
      1. При выявлении фактов неправомерного или случайного доступа к персональным данным, их разглашения, изменения, блокирования, копирования, предоставления, распространения либо иных неправомерных действий Оператор: В течение 24 часов уведомляет Роскомнадзор о:
         • дате и времени выявления инцидента
         • обстоятельствах, ставших известными на момент направления уведомления
         • предполагаемых причинах инцидента
         • принятых мерах по устранению последствий
         • контактных данных лица, уполномоченного на взаимодействие с Роскомнадзором
         В течение 72 часов предоставляет:
         • результаты внутреннего расследования инцидента
         • сведения о лицах, действия которых стали причиной инцидента
         • оценку вреда, причиненного субъектам персональных данных
         • меры по предотвращению подобных инцидентов в будущем
      2. При высоком риске нарушения прав субъектов персональных данных Оператор также уведомляет пострадавших лиц о произошедшем инциденте и принимаемых мерах защиты.
   9. Контроль исполнения запросов
      1. Оператор ведет журнал учета запросов субъектов персональных данных с указанием:
         • даты получения запроса
         • содержания запроса
         • принятых мер
         • даты и способа предоставления ответа
         • результатов рассмотрения запроса
      2. Ответственный за обработку персональных данных осуществляет контроль за соблюдением сроков и порядка рассмотрения запросов субъектов персональных данных.

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

   1. Внесение изменений в политику конфиденциальности
      1. Оператор имеет право вносить изменения в настоящую Политику конфиденциальности в следующих случаях:
         • при изменении требований федерального законодательства о персональных данных
         • при изменении видов деятельности Оператора
         • при внедрении новых информационных технологий
         • при изменении целей обработки персональных данных
         • при выявлении необходимости уточнения или дополнения существующих положений
      2. Изменения в Политику конфиденциальности вносятся с учетом следующих требований:
         • соответствие актуальным требованиям российского законодательства
         • обеспечение прав и законных интересов субъектов персональных данных
         • соблюдение принципов обработки персональных данных
         • обеспечение адекватного уровня защиты персональных данных
   2. Порядок вступления изменений в силу
      1. Изменения и дополнения в Политику конфиденциальности вступают в силу с момента их размещения на официальном сайте Оператора по адресу https://culturavision.com, если иное не установлено в самих изменениях.
      2. О существенных изменениях в Политике конфиденциальности Оператор уведомляет заинтересованных субъектов персональных данных следующими способами:
         • Пациентов: при очередном обращении за медицинскими услугами или по электронной почте administrator@culturavision.com
         • Сотрудников: под роспись или через корпоративную электронную почту
         • Пользователей сайта: через уведомления на сайте или по электронной почте
         • Клиентов розничных точек: при совершении покупок или через программы лояльности
      3. Продолжение использования услуг Оператора после вступления изменений в силу означает согласие субъекта персональных данных с новой редакцией Политики конфиденциальности.
   3. Контактная информация
      1. Реквизиты Оператора:
         • Полное наименование: Общество с ограниченной ответственностью «КУЛЬТУРА ЗРЕНИЯ»
         • Сокращенное наименование: ООО «КУЛЬТУРА ЗРЕНИЯ»
         • Адрес места нахождения: г. Екатеринбург, ул.Черепанова, д.25
         • Почтовый адрес: г. Екатеринбург, ул.Черепанова, д.25
         • Официальный сайт: https://culturavision.com
         • Электронная почта для обращений по вопросам персональных данных: administrator@culturavision.com
         • Телефон: +7 (343) 382-31-14
      2. Ответственный за обработку персональных данных:
         • Должность: Исполнительный директор
         • Фамилия, имя, отчество: Крюкова А.И.
         • Электронная почта: administrator@culturavision.com
         • Телефон: +7 (343) 382-31-14
   4. Разрешение споров
      1. Споры, связанные с обработкой персональных данных, разрешаются путем переговоров между Оператором и субъектом персональных данных.
      2. В случае невозможности разрешения споров путем переговоров субъект персональных данных имеет право:
         • обратиться в Роскомнадзор с жалобой на действия или бездействие Оператора
         • обратиться в суд за защитой своих прав и законных интересов
         • требовать возмещения убытков и компенсации морального вреда
      3. При рассмотрении споров применяется законодательство Российской Федерации.
   5. Действие политики конфиденциальности
      1. Настоящая Политика конфиденциальности действует с момента ее утверждения до момента замены новой политикой конфиденциальности.
      2. При прекращении деятельности Оператора персональные данные подлежат уничтожению в соответствии с требованиями федерального законодательства, за исключением случаев, когда их сохранение требуется по закону.
      3. Электронная копия настоящей Политики конфиденциальности размещается на официальном сайте Оператора и доступна по адресу: https://culturavision.com
   6. Вопросы, не урегулированные настоящей Политикой конфиденциальности, решаются в соответствии с актуальными требованиями российского законодательства о персональных данных.

Дата вступления в силу: 28 июля 2025 г.
Версия: 2.0
Последнее обновление: 28 июля 2025 г.