1. Общие положения

1.1. Настоящее Положение устанавливает порядок хранения и защиты персональных данных, обрабатываемых ИП Мальцев А.К. (далее — Оператор) при функционировании сайта tinnitusneuro.ru (далее — Сайт).
1.2. Положение разработано в целях обеспечения конфиденциальности и безопасности персональных данных и исполнения требований законодательства РФ о персональных данных.
1.3. Контакт для обращений по вопросам персональных данных: info@tinnitusneuro.ru.

2. Термины и определения

2.1. Персональные данные (ПДн) — информация, относящаяся к прямо или косвенно определяемому физическому лицу.
2.2. Обработка ПДн — действия с ПДн (сбор, запись, хранение, использование, передача, удаление и т.д.).
2.3. Материальные носители — документы/распечатки/записи, содержащие ПДн (если используются).
2.4. Информационная система персональных данных (ИСПДн) — совокупность баз данных, программных и технических средств, в которых обрабатываются ПДн.

3. Состав персональных данных и источники поступления

3.1. В рамках работы Сайта Оператор обрабатывает в основном:

  • имя (при указании пользователем);

  • номер телефона;

  • адрес электронной почты (если указан пользователем);

  • сведения, собираемые посредством метрических программ и cookie (IP-адрес, идентификаторы cookie, технические параметры устройства и браузера, события посещения).
    3.2. Источники поступления ПДн:

  • формы обратной связи/заявок на Сайте;

  • сообщения, направляемые пользователями на электронную почту info@tinnitusneuro.ru;

  • данные, автоматически фиксируемые при посещении Сайта (логи/метрики/cookie).

4. Принципы хранения персональных данных

4.1. Хранение ПДн осуществляется в объеме и в сроки, необходимые для достижения целей обработки.
4.2. Доступ к ПДн предоставляется только лицам, которым он необходим для выполнения функций по администрированию Сайта и обработке обращений (в том числе самому Оператору).
4.3. ПДн хранятся на территории Российской Федерации с использованием инфраструктуры:

  • хостинг/VDS (провайдер: Timeweb, РФ);

  • электронная почта (сервис: Яндекс 360, РФ).
    4.4. ПДн, полученные через формы и электронную почту, могут храниться в переписке/заявках до закрытия обращения, а затем подлежат удалению или обезличиванию, если дальнейшее хранение не требуется.

5. Сроки хранения и порядок уничтожения

5.1. Срок хранения ПДн определяется:

  • достижением цели обработки; и/или

  • отзывом согласия субъектом; и/или

  • завершением обработки обращения (закрытием заявки), если иное не требуется.
    5.2. Уничтожение ПДн осуществляется путем:

  • удаления сообщений/заявок из почтового ящика и “корзины/удаленных” (если применимо);

  • удаления данных из административной части Сайта/логов/хранилищ, где они были сохранены (в пределах доступных средств);

  • удаления резервных копий — по мере перезаписи/регламенту хранения бэкапов (если ПДн попали в резервные копии).
    5.3. В случае необходимости хранения ПДн для защиты прав и законных интересов Оператора (например, спор/претензия) срок хранения может быть продлен до урегулирования ситуации.

6. Порядок доступа к персональным данным

6.1. Доступ к ПДн предоставляется Оператору и (при наличии) лицам, привлеченным Оператором по договорам для администрирования Сайта/технического сопровождения, строго в пределах необходимого.
6.2. Доступ реализуется с применением:

  • индивидуальных учетных записей/паролей;

  • ограничений по ролям (если поддерживается системами);

  • журналирования действий/входов (если поддерживается платформой/сервисом).
    6.3. Передача ПДн в медицинскую организацию (исполнителя медицинских услуг), указанную на Сайте, осуществляется исключительно для связи с пользователем и обработки обращения.

7. Меры защиты персональных данных

7.1. Оператор реализует организационные и технические меры защиты ПДн, направленные на предотвращение несанкционированного доступа, утечки, изменения или уничтожения данных.
7.2. Организационные меры включают:

  • определение целей обработки и состава ПДн;

  • ограничение круга лиц, имеющих доступ к ПДн;

  • установление порядка реагирования на запросы субъектов ПДн и инциденты;

  • контроль актуальности документов (политика ПДн, cookie-политика, согласия).
    7.3. Технические меры включают:

  • использование защищенного протокола передачи данных HTTPS/TLS на Сайте;

  • регулярное обновление CMS/плагинов/серверного ПО;

  • антивирусная защита и защита рабочих устройств;

  • резервное копирование (в рамках возможностей хостинга/сервисов);

  • защита доступа (сложные пароли; при наличии — 2FA).
    7.4. Сертифицированные шифровальные (криптографические) средства (СКЗИ) классов КС1/КС2/КС3/КВ/КА Оператором не применяются.

8. Обработка инцидентов и ответственность

8.1. При выявлении фактов несанкционированного доступа к ПДн или иных инцидентов Оператор принимает меры по:

  • ограничению доступа и локализации инцидента;

  • восстановлению работоспособности и целостности данных;

  • анализу причин и предотвращению повторения.
    8.2. Оператор несет ответственность за соблюдение требований законодательства РФ при обработке и защите ПДн в пределах своей компетенции и фактического контроля над системами.

9. Права субъектов персональных данных

9.1. Субъект ПДн вправе направить запрос/обращение по адресу info@tinnitusneuro.ru о:

  • подтверждении факта обработки;

  • предоставлении информации об обрабатываемых данных;

  • уточнении, блокировании или уничтожении данных (при наличии оснований);

  • отзыве согласия на обработку.
    9.2. Оператор рассматривает обращения в сроки и порядке, установленные законодательством РФ.

10. Заключительные положения

10.1. Настоящее Положение действует бессрочно до замены новой редакцией.
10.2. Оператор вправе вносить изменения в Положение. Актуальная версия публикуется на Сайте.
10.3. По вопросам, связанным с обработкой и защитой ПДн: info@tinnitusneuro.ru.