1. Общие положения

1. Настоящая Политика определяет порядок и условия обработки персональных данных, а также меры по обеспечению безопасности персональных данных в ООО «МЕДКОНСУЛЬТАНТ ГРУПП» (далее — «Оператор») при использовании сайта в сети «Интернет» по адресу: https://mdconsultant.ru/ (далее — «Сайт»), включая личный кабинет, оформление заказов, доставку и возвраты.
2. Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными применимыми нормативными правовыми актами Российской Федерации.
3. Настоящая Политика является общедоступным документом и размещается в свободном доступе на Сайте.
4. Используя Сайт, пользователь подтверждает ознакомление с настоящей Политикой. В случаях, когда для конкретной обработки требуется согласие, оно предоставляется отдельно (например, посредством проставления отметки в чекбоксе в форме на Сайте) и фиксируется Оператором.
5. Политика применяется только к Сайту. Оператор не контролирует и не несёт ответственность за сайты третьих лиц, на которые пользователь может перейти по ссылкам с Сайта.

2. Термины

1. «Персональные данные» — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
2. «Обработка персональных данных» — любое действие (операция) или совокупность действий (операций) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
3. «Субъект персональных данных» — физическое лицо, к которому относятся персональные данные (посетитель Сайта, покупатель, пользователь личного кабинета и др.).
4. «Файлы cookie» — небольшие фрагменты данных, сохраняемые на устройстве пользователя и используемые для работы Сайта и аналитики.

3. Сведения об Операторе

1. Оператор:

• ООО «МЕДКОНСУЛЬТАНТ ГРУПП»
• ИНН 9701166089
• КПП 770101001
• ОГРН 1207700452420

1. Адрес:

• 105082, г. Москва, вн.тер.г. муниципальный округ Басманный, Бакунинская ул., дом 69, строение 1, помещение 24/3

1. E-mail для обращений по вопросам персональных данных:

• info@mdconsultant.ru

1. Телефоны:

• 8 (800) 707-45-74
• +7 (905) 739-01-74

1. Запросы субъектов персональных данных направляются по контактам, указанным в п. 3.1.

4. Категории субъектов персональных данных

1. посетители Сайта;
2. зарегистрированные пользователи (личный кабинет);
3. покупатели, оформляющие заказы (в т.ч. доставка и возвраты);
4. представители и контактные лица юридических лиц и индивидуальных предпринимателей (например, при запросе счёта).

5. Принципы обработки персональных данных

1. Обработка осуществляется на законной и справедливой основе.
2. Обработка ограничивается заранее определёнными, законными целями.
3. Обрабатываются только персональные данные, соответствующие целям обработки; избыточность не допускается.
4. Оператор принимает меры по обеспечению точности и актуальности персональных данных.

6. Цели обработки персональных данных

1. регистрации на Сайте и предоставления доступа к личному кабинету;
2. оформления, обработки и исполнения заказов;
3. организации доставки заказов (СДЭК, Boxberry);
4. приёма платежей и обработки статусов оплаты (Robokassa), а также возвратов денежных средств;
5. направления сервисных и транзакционных сообщений, связанных с исполнением заказа (статусы заказа, подтверждения, сведения о доставке, ответы на обращения);
6. исполнения требований законодательства РФ (в т.ч. бухгалтерский и налоговый учёт, кассовая дисциплина), рассмотрения претензий;
7. обеспечения работоспособности и безопасности Сайта, предотвращения злоупотреблений;
8. аналитики и улучшения Сайта (в т.ч. с использованием «Яндекс.Метрики»).

7. Правовые основания обработки

1. Оператор обрабатывает персональные данные на следующих основаниях:

• исполнение договора, стороной которого является субъект персональных данных, и/или заключение договора по инициативе субъекта;
• выполнение обязанностей, возложенных законодательством РФ на Оператора;
• согласие субъекта персональных данных — в случаях, когда оно требуется по закону или по характеру обработки.

1. Рекламные/маркетинговые рассылки Оператор осуществляет только при наличии предварительного согласия субъекта персональных данных в случаях, когда такое согласие требуется законодательством РФ. На дату публикации настоящей редакции Политики рассылки не осуществляются.

8. Состав обрабатываемых персональных данных

1. В зависимости от сценария использования Сайта Оператор может обрабатывать:

• «Контактные данные»: номер телефона, адрес электронной почты (для оформления заказа на Сайте обязательны телефон и e-mail).
• «Данные для доставки»: адрес доставки, индекс, город/регион, комментарии к доставке (при необходимости).
• «Данные аккаунта»: идентификатор пользователя, сведения о входах/действиях в личном кабинете, история заказов и обращений.
• «Данные заказа»: состав, стоимость, статус, способ доставки, способ оплаты, сведения о возвратах.
• «Технические данные»: IP-адрес, сведения о браузере и устройстве, язык, время доступа, referrer, cookie/идентификаторы, данные веб-аналитики.

1. Оператор не осуществляет целенаправленную обработку биометрических персональных данных.
2. 8.3. Оператор не осуществляет целенаправленную обработку специальных категорий персональных данных (в частности, сведений о здоровье). Пользователю не рекомендуется указывать такие сведения в свободных полях. При поступлении подобных сведений Оператор вправе ограничить обработку объёмом, необходимым для рассмотрения обращения и исполнения обязательств, либо удалить такие сведения при отсутствии правовых оснований для хранения.

9. Cookie, веб-аналитика и управление настройками

1. Сайт использует файлы cookie и сходные технологии для:

• обеспечения работоспособности и безопасности Сайта;
• сохранения пользовательских настроек;
• аналитики посещаемости и улучшения качества Сайта.

1. Для аналитики посещаемости и поведения пользователей Оператор использует сервис «Яндекс.Метрика» (поставщик сервиса — ООО «Яндекс»).
2. Пользователь может управлять cookie:

• в настройках браузера (включая удаление ранее установленных cookie);
• с помощью инструментов блокировки/ограничения трекеров;
• с помощью официального механизма запрета передачи данных в «Яндекс.Метрику» (opt-out), опубликованного в справке сервиса.

1. Отключение cookie может привести к некорректной работе отдельных функций Сайта.

10. Локализация, условия обработки и хранение

1. Обработка персональных данных осуществляется с использованием средств автоматизации и/или без использования таких средств.
2. Локализация: при сборе персональных данных, в том числе посредством сети «Интернет», Оператор обеспечивает обработку (запись, систематизацию, накопление, хранение, уточнение, извлечение) персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, в порядке, предусмотренном законодательством РФ.
3. Сроки хранения персональных данных определяются целями обработки, сроками действия договорных отношений, а также требованиями законодательства РФ. По достижении целей обработки персональные данные подлежат удалению или обезличиванию, если иное не предусмотрено законодательством РФ.
4. Минимальные ориентиры сроков хранения по целям обработки приведены в «Приложении 1» к настоящей Политике.

11. Передача персональных данных третьим лицам и поручение обработки

1. Оператор вправе передавать персональные данные третьим лицам только в объёме, необходимом для достижения целей обработки, и при наличии правовых оснований.
2. Персональные данные могут передаваться следующим получателям (как самостоятельным операторам и/или обработчикам — в зависимости от правоотношений и характера услуги):

• хостинг-провайдер: ООО «Бегет»;
• веб-аналитика и доменная почта: ООО «Яндекс» («Яндекс.Метрика», «Яндекс.Почта»);
• платёжный агрегатор: ООО «Робокасса»;
• службы доставки: ООО «СДЭК-Глобал», ООО «Боксберри Софт»;
• оператор фискальных данных/кассовые сервисы — в объёме, необходимом для соблюдения законодательства РФ о применении ККТ (в т.ч. при расчётах в офисе).

1. Оператор поручает обработку персональных данных третьим лицам при наличии договорных условий, предусматривающих соблюдение конфиденциальности и требований к защите персональных данных.

12. Трансграничная передача

1. На дату утверждения настоящей редакции Политики Оператор не осуществляет трансграничную передачу персональных данных при функционировании Сайта и использовании указанных в Политике сервисов.
2. В случае планирования трансграничной передачи персональных данных Оператор обеспечивает выполнение требований законодательства РФ, включая требования ст. 12 Федерального закона № 152-ФЗ.

13. Меры по обеспечению безопасности персональных данных

1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
2. В частности, Оператор применяет (в соответствующем масштабе и применимости): разграничение доступа, учет действий пользователей/администраторов, антивирусную защиту, резервное копирование, обновление ПО, организационные меры контроля доступа и обучения.

14. Порядок уничтожения персональных данных и подтверждение уничтожения

1. Уничтожение персональных данных осуществляется при достижении целей обработки, при отзыве согласия (если сохранение данных более не требуется), а также в иных случаях, предусмотренных законодательством РФ.
2. Уничтожение персональных данных осуществляется Оператором путем:

• для данных в информационных системах — удаления/стирания данных из информационных систем с применением средств, исключающих восстановление (в пределах применимости конкретной системы), либо путем обезличивания;
• для данных на материальных носителях — механического уничтожения носителей (шредирование и/или иные способы), исключающего восстановление.

1. Подтверждение уничтожения персональных данных осуществляется в соответствии с требованиями уполномоченного органа по защите прав субъектов персональных данных. При необходимости оформляются:

• «Акт об уничтожении персональных данных»;
• «выгрузка из журнала регистрации событий» (если применимо к способу обработки). Указанные документы хранятся Оператором в течение срока, установленного соответствующими требованиями.

15. Реагирование на инциденты безопасности (утечки)

1. В случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор действует в порядке и сроки, установленные законодательством РФ, включая уведомление уполномоченного органа:

• в течение 24 часов — первичное уведомление об инциденте;
• в течение 72 часов — уведомление о результатах внутреннего расследования (при наличии сведений — о лицах, действия которых стали причиной инцидента).

16. Права субъекта персональных данных и сроки ответа

1. Субъект персональных данных вправе получать сведения об обработке его персональных данных, требовать уточнения, блокирования или уничтожения персональных данных в случаях, предусмотренных законодательством РФ, а также отзывать согласие на обработку персональных данных (когда обработка основана на согласии).
2. Оператор предоставляет сведения субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса. Указанный срок может быть продлён, но не более чем на 5 рабочих дней, при направлении мотивированного уведомления.
3. Оператор рассматривает требования об уточнении/уничтожении персональных данных и иные обращения в сроки, установленные законодательством РФ.

17. Порядок направления обращений

1. Обращения по вопросам персональных данных направляются:

• по e-mail: info@mdconsultant.ru
• почтовым отправлением: 105082, г. Москва, Бакунинская ул., дом 69, строение 1, помещение 24/3.

1. Запрос должен содержать сведения, позволяющие идентифицировать заявителя и подтвердить факт обработки персональных данных Оператором (например, ФИО, телефон, e-mail, номер заказа — при наличии).

18. Заключительные положения

1. Оператор вправе изменять настоящую Политику. Новая редакция вступает в силу с момента размещения на Сайте, если иное не предусмотрено новой редакцией.
2. Актуальная редакция Политики размещается на Сайте в свободном доступе.

Приложение 1. «Цель → данные → основание → срок хранения (минимум)»

1. Регистрация/личный кабинет

• Данные: телефон, e-mail, идентификатор аккаунта, история действий/заказов.
• Основание: договор (пользовательское обслуживание/исполнение функционала Сайта).
• Срок: на период действия аккаунта + до 3 лет после удаления/последней активности (для урегулирования претензий/споров и безопасности).

1. Оформление и исполнение заказа

• Данные: телефон, e-mail, ФИО (если указано), состав заказа, стоимость, статусы, способ оплаты/доставки.
• Основание: договор купли-продажи (оферта).
• Срок: не менее 5 лет после отчётного года в части данных, входящих в состав первичных/учётных документов и учётных регистров; в остальной части — до 3 лет после исполнения заказа.

1. Доставка (СДЭК/Boxberry)

• Данные: телефон, e-mail, адрес доставки, ФИО (если указано), параметры отправления.
• Основание: договор купли-продажи (исполнение обязательств по доставке).
• Срок: до 3 лет после доставки/завершения отправления (включая урегулирование претензий).

1. Онлайн-оплата (Robokassa), возвраты денежных средств

• Данные: телефон, e-mail, сведения о платеже (идентификаторы/статусы), сумма, дата/время.
• Основание: договор + исполнение обязанностей по учёту/расчётам.
• Срок: не менее 5 лет после отчётного года в части учётных данных; в остальной части — до 3 лет после завершения расчётов/возвратов.

1. Сервисные уведомления по заказу (не реклама)

• Данные: телефон, e-mail, статус заказа/доставки.
• Основание: договор (исполнение).
• Срок: на период исполнения заказа + до 3 лет после.

1. Аналитика и улучшение Сайта («Яндекс.Метрика»)

• Данные: технические данные, cookie/идентификаторы, сведения о браузере/устройстве, события на Сайте.
• Основание: законный интерес Оператора (обеспечение работоспособности и улучшение сервиса) / согласие — в зависимости от настроек баннера и применимой практики.
• Срок: как правило до 24 месяцев (в пределах настроек аналитики) либо до удаления пользователем cookie/отключения аналитики.

1. Обращения/претензии

• Данные: ФИО (если указано), телефон, e-mail, текст обращения, приложенные материалы.
• Основание: законный интерес/исполнение обязанностей по рассмотрению обращений.
• Срок: до 3 лет после закрытия обращения/претензии (если не требуется более длительное хранение по закону).