УТВЕРЖДАЮ

Генеральный Директор

ООО "БИОДАТА ГРУП"

С. Г. Скакун

1 мая 2022 г.

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ

В ООО "БИОДАТА ГРУП"

APPROVED

CEO

BIODATA GROUP LLC

S. G. Skakun

1 May 2022

PERSONAL DATA PROCESSING POLICY

BIODATA GROUP LLC

1. Общие положения

 1.1. Политика в отношении обработки персональных данных (далее — Политика) направлена на защиту прав и свобод физических лиц, персональные данные которых обрабатывает ООО "БИОДАТА ГРУП" (далее —«Пользователи»).

1. General Provisions

1.1. Personal data processing policy (hereinafter referred to as  the  “Policy”)  is  aimed  at  protecting  the  rights  of individuals whose personal data is processed by BIODATA GROUP LLC (hereinafter referred to as “Users”).

1.2. Политика разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).

1.2. The policy  was developed in accordance with paragraph 2 of part 1 of Art. 18.1 of the Federal Law of July 27, 2006 No. 152-FZ "On Personal Data" (hereinafter - "Personal Data Law").

1.3. Политика содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных», и является общедоступным документом.

1.3. The policy contains information to be disclosed in accordance with Part 1 of Art. 14 Personal Data Law, and is a public document.

2. Сведения об операторе

2. Operator

2.1. ООО "БИОДАТА ГРУП" (далее «Оператор») осуществляет обработку персональных данных Пользователей в соответствии с настоящей Политикой.

2.1. BIODATA GROUP LLC (hereinafter “Operator”) processes Users personal data in accordance with this Policy.

2.2. Оператор ведет свою деятельность по адресу Россия, г.Москва, ул.Гризодубовой, д.1 к.3, пом. 18. 

2.2. The Operator address is Russia, Moscow, Gryzodubovoy st., bld.1/3, room 18.

2.3. Генеральный Директор Скакун Станислав Геннадьевич (телефон +7 (909) 902-8749) назначен ответственным за организацию обработки персональных данных.

2.3. General Director Skakun Stanislav Gennadievich (phone +7 (909) 902-8749) is appointed as officer responsible for organizing the processing of personal data.

2.4. База данных информации, содержащая персональные данные граждан Российской Федерации, находится по адресу: Россия, Московская область, Королёв, ул. Пионерская, д. 4.

2.4. Database containing personal data of citizens of the Russian Federation, is located at the address: Russia, Moscow area, Korolev, Pionerskaya st., bld. 4.

2.5. База данных информации, содержащая персональные данные граждан иных стран, кроме Российской Федерации, находится по адресу: 60326 Германия, Франкфурт на Майне, Клаейр штрассе, 79-89.

2.5. Database containing personal data of citizens of countries other than Russian Federation, is located at the address: 60326. Germany, Frankfurt on Main, Kleyerstrasse,79-89.

2.6. Место хранение данных Пользователя определяется Оператором при регистрации Пользователя на основании местоположения в стране, из которой осуществляется регистрации, которое определяется по IP-адресу пользователя. При несоответствии гражданства Пользователя стране регистрации, в случае если Пользователь регистрируется в Российской Федерации, Пользователь обязан сообщить о данном факте через чат Приложения и/или на адрес hello@biodata.group.

2.6. The place where the User's data is stored is determined by The Operator when registering the User based on the location in the country from which the registration is carried out, which is determined by the User's IP address. In cases when the User registers in the Russian Federation, but citizenship of the User does not match the country of registration, the User is obliged to report this fact through the Application chat and/or to hello@biodata.group.

2.7. В случае несоблюдения пользователем пункта 2.6 Политики Оператор не может нести ответственность за нарушение действующего законодательства о персональных данных страны проживания Пользователя.

2.7. In cases where the user fails to comply with clause 2.6 of the Policy The Operator may not be held responsible for the violation of applicable Personal Data Laws of Users’ country of residence.

3. Сведения об обработке персональных данных

3. Information about the processing of personal data

3.1. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и, где применимо, третьих лиц.

3.1. The Operator processes personal data on a lawful and fair basis for purposes and duties assigned by law, exercising the rights and legitimate interests of the Operator, employees of The Operator and third parties, where applicable.

3.2. Оператор получает персональные данные непосредственно у субъектов персональных данных через собственное приложение Оператора (далее – «Приложение»).

3.2. The Operator receives personal data directly from the subjects of personal data through a proprietary application of Operator (hereinafter “Application”).

3.3. Оператор обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.

3.3. The Operator processes personal data using automated and non-automated methods, using devices and without the use of devices.

3.4. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

3.4. Personal data processing activities include collection, recording, systematization, accumulation, storage,  refinement (update, change), extraction, use, transfer (distribution, provision, access), depersonalization, blocking, removal and destruction.

4. Обработка персональных данных пользователей

4. Processing of personal data of users

4.1. Оператор обрабатывает персональные данные Пользователей в рамках их правоотношений с Оператором, урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ.

4.1. The Operator processes Users personal data subject to their implicit contract with Operator regulated by part 2 of the Civil Code of the Russian Federation dated January 26, 1996 No. 14-FZ.

4.2. Оператор обрабатывает персональные данные Пользователей в целях соблюдения норм законодательства РФ и, если применимо, иных стран, а также с целью:

— представлять Пользователя по доверенности;

— передавать данные о состоянии здоровья Пользователей лечащему врачу или иному профессиональному участнику процесса оказания услуг Пользователю.

В случаях, когда Пользователь не требует от Оператора действий, предусмотренных настоящим пунктом, Оператор разрешает Пользователю не предоставлять свои персональные данные Оператору, и такой Пользователь может использовать иные услуги Оператора без предоставления своих персональных данных. В таком случае Пользователь остается анонимным для Оператора, и действие настоящей политики на такого Пользователя не распространяется.

4.2. The Operator processes Users personal data in order to comply with the regulations legislation of the Russian Federation, and where applicable, other countries, as well as for the purpose of:

- representing the patient through Letter of Attorney;

- transferring Users health related data to the attending physician or other professional participant in the process of providing services to the User.

In cases where the User does not require The Operator to ac under this paragraph, The Operator allows the User not to provide his personal data to the Operator, and such User may use other services of The Operator without providing his personal data. In this case, the User remains anonymous to the Operator, and this Policy does not apply to such User.

4.3. Оператор обрабатывает персональные данные Пользователей с их согласия, предоставляемого либо в письменной форме, либо при совершении конклюдентных действий. 

4.3. The Operator processes User personal data with their consent, provided either in writing or upon making implicit actions.

4.4. Оператор обрабатывает персональные данные Пользователей не дольше, чем того требуют цели обработки персональных данных, если иное не предусмотрено требованиями применимого законодательства.

4.4. The Operator processes User personal data no longer than it is required by the purpose of processing personal data, unless otherwise provided by the requirements of applicable legislation.

4.5. Оператор обрабатывает специальные категории персональных данных несовершеннолетних Пользователей с письменного согласия их законных представителей.

4.5. The Operator processes special categories of personal data of Users younger than 18 years with the written consent of their parents or  legal representatives.

4.6. Оператор обрабатывает следующие персональные данные Пользователей:

— Фамилия, имя, отчество;

— Тип, серия и номер документа, удостоверяющего личность; 

— Дата выдачи документа, удостоверяющего личность, и информация о выдавшем его органе;

— Год рождения;

— Месяц рождения;

— Дата рождения;

— Место рождения;

— Адрес;

— Номер контактного телефона;

— Адрес электронной почты;

— Состояние здоровья;

— Сведения об оказанных услугах;

— Данные о зрении;

— Лекарственный препарат, изделие;

— Сведения о приёме лекарственного препарата, применении медицинского изделия.

4.6. The Operator processes the following personal data of buyers:

- Full Name; 

- Type, series and number of the identity document;

- Date of issue of the identity document and information about the issuing authority;

- Year of birth;

- Month of birth;

- Date of Birth;

- Place of Birth;

- The address; 

- Contact phone number; 

- E-mail address;

- Health status;

- Information about the services rendered;

- Vision data;

- Medical product or tool;

- Information about taking a drug, using a medical tool.

4.8. Приложение загружает информацию об изображениях пользователей на https://api.mobile.biodata.group, когда это необходимо для:

- распознавания и анонимизации фотографий медицинских документов по запросу пользователя;

- распознавания фотографий еды по запросу пользователя;

- загрузки изображения профиля пользователя ('аватара') по запросу пользователя.

4.8. App is uploading users' Images information to https://api.mobile.biodata.group, when it is required for

- photo of medical documents recognition and anonymization, per user's request;

- food photos recognition, per user's request;

- user profile picture ('avatar') upload, when prompted by user.

4.9. Для достижения целей обработки персональных данных и с согласия Пользователей Оператор предоставляет персональные данные или поручает их обработку следующим лицам:

— Медицинская лаборатория (для оформления заказа);

— Медицинские учреждения (для оформления заказа на медицинские услуги).

4.9. To achieve the purposes of processing personal data and with the consent of the buyers The Operator may provide personal data or entrust its processing to the following third parties:

- Medical laboratory (for placing an order);

- Medical institutions (for placing an order for medical services).

5. Сведения об обеспечении безопасности персональных данных

5. Ensuring security of personal data

5.1. Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

5.1. Operator appoints a responsible officer for organizing the processing of personal data to fulfill Operator’s obligations under the Personal Data Law and other legal acts adopted in accordance with it.

5.2. Оператор применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:

— обеспечивает неограниченный доступ к Политике, копия которой размещена по адресу нахождения Оператора, а также размещена на сайте Оператора;

— во исполнение Политики утверждает и приводит в действие документ «Положение об обработке персональных данных» (далее — Положение) и иные локальные акты;

— производит ознакомление работников с положениями законодательства о персональных данных, а также с Политикой и Положением;

— осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;

— устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учет всех действий с ними;

— производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;

— производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;

— применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;

— осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;

— осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе Оператора.

5.2. Operator applies a set of legal, organizational and technical measures to ensure personal data security and confidentiality and its protection against illegal actions:

- provides unlimited access to the Policy, a copy of which is located at location of the Operator, and is also available on the Operator's website;

– in pursuance of the Policy, approves and puts into effect the document “Regulations on processing of personal data”

(hereinafter referred to as the Regulation) and other local

acts;

— makes employees familiar with the provisions of the

legislation on personal data, as well as the Policy and Regulations;

— provides employees with access to User personal data in

Application, as well as to their material carriers only for

performance of employees’ labor duties;

— establishes the rules for access to personal data processed in Application, as well as ensures registration and logging of all actions with them;

— makes an assessment of the harm that may be caused to

the subjects of personal data in case of violation of the

Personal Data Law;

— identifies threats to User personal data security during its

processing in Application;

– applies organizational and technical measures and uses

means of protection information necessary to achieve the

established level of security personal data;

— detects facts of unauthorized access to personal data and

takes response measures, including the restoration of personal

data modified or destroyed due to unauthorized access to

them;

— evaluates the effectiveness of the measures taken to ensure

User personal data safety prior to the deployment of the

Operator's information system;

— exercises internal control of compliance of User personal

data processing with the Personal Data Law, other legal acts

adopted in accordance with it, requirements for the protection

of personal data, Policy, Regulations and other local acts,

including control over the measures taken to ensure User personal data security and its level of protection during processing in the Application.

6. Права субъектов персональных данных

6. Personal data subjects rights

6.1. Субъект персональных данных (то есть Пользователь) имеет право:

— на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;

— на уточнение, блокирование или уничтожение его/её персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

— на отзыв данного им согласия на обработку персональных данных;

— на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;

— на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6.1. The subject of personal data (i.e. User) has the following right:

- to receive personal data relating to this subject, and information about its processing;

- to clarify, block or destroy his/her personal data in cases when such data is incomplete, outdated, inaccurate, illegally obtained or is not necessary for the stated purpose of the processing;

- to cancel consent to the processing of personal data;

- to protect his/her rights and legitimate interests, including compensation for losses and compensation for non-pecuniary damage in court;

- to appeal against the actions or inaction of The Operator to the authorized body for protection of the rights of personal data subjects or in court.

6.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 152-ФЗ «О персональных данных»

6.2. In order to exercise their rights and legitimate interests, personal data subjects have the right to contact the Operator or send a request personally or with the help of representative. The request must contain the information specified in Part 3 of Art. 14 152-FZ "On personal data".

6.3. Споры между Оператором и Пользователями, вытекающие из применения настоящей Политики и факта обработки персональных данных Пользователей, подлежат урегулированию путем переговоров в течение 60 (Шестидесяти) календарных дней. При недостижении согласия в отношении предмета спора, такой спор может быть передан пострадавшей стороной в арбитражный суд по месту нахождения ответчика.

6.3. Disputes between The Operator and Users arising from the application of this Policy and the fact of processing the personal data of Users shall be settled through negotiations within 60 (Sixty) calendar days. If no agreement is reached on the subject of the dispute, such a dispute may be referred by the injured party to the arbitration court at the location of the defendant.

7. Запрос Пользователя на удаление  своих персональных данных.

7. User request to delete personal data 

7.1. Пользователь имеет право в любой момент направить Оператору запрос на удаление своих Персональных данных из Приложения.

7.1. The User has the right at any time to send a request to the Operator to delete their Personal Data from the Application.

7.2. Такой запрос должен быть направлен Пользователем через чат Приложения и/или на адрес hello@biodata.group

7.2. Such a request must be sent by the User via the Application chat and/or to hello@biodata.group

7.3. Пользователь обязан предоставить по запросу Оператора другую информацию, необходимую Оператору для установления информации, подлежащей удалению (если такая информация будет запрошена Оператором).

7.3. The User is obliged to provide, at the request of the Operator, other information necessary for The Operator to determine the information to be deleted (if such information is requested by the Operator).

7.4. Оператор осуществляет удаление Персональных данных Пользователя в течение 5 (Пяти) рабочих дней и уведомляет Пользователя о успешном завершении процесса.

7.4. The Operator deletes the User's Personal Data within 5 (Five) business days and notifies the User of the successful completion of the process.

7.5. В случае, если Пользователь не отвечает на письмо Оператора, информирующее об удалении Персональных данных Пользователя, в течение 5(Пяти) рабочих дней после получения такого письма, процесс удаления считается успешно завершенным.

7.5. If the User does not respond to the Operator's letter informing about the deletion of the User's Personal Data within 5 (Five) business days upon receipt of such letter, the deletion process is considered to be successfully completed.

7.6. После удаления персональной информации Пользователя из Приложения Пользователь сохраняет право использовать такие услуги Оператора, предоставление которых возможно без обработки персональных данных.

7.6. After deleting the User's personal information from the Application, the User retains the right to use such services of the Operator, the provision of which is possible without the processing of personal data.

8. Прочие положения

8. Miscellaneous

8.1. Оригинал Политики расположен на сайте https://biodata.group, а также по ссылкам на экранах авторизации и регистрации в мобильных приложениях Оператора в Google Play и Apple Store.

8.1. The Policy is located on the website https://biodata.group, as well as on the authorization and registration screens of the Application in Google Play and Apple Store.

8.2. В случаях, когда возникает разночтение в понимании между текстом Политики на русском и английском языках требуется применять понимание, основанное на тексте на русском языке.

8.2. In cases where there is a discrepancy in understanding the text of the Policy in Russian and in English, it is required to apply an understanding based on the text in Russian.

8.3. Использование Приложения Оператора Пользователем является конклюдентным действием, подтверждающим согласие с положениями настоящей Политики.

8.3. The use of the Application by the User is an implicit action confirming acceptance of the provisions of this Policy.