1. Общие положения1.1. Настоящая Политика определяет порядок и условия обработки персональных данных (далее — «ПДн») физических лиц, взаимодействующих с препаратом «Бифилиз» (потребители, посетители сайтов/страниц, участники акций, медицинские работники, участники мероприятий, заявители по вопросам качества и безопасности), а также меры по обеспечению безопасности ПДн.

1.2. Оператор обрабатывает ПДн в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», № 242-ФЗ (локализация), № 149-ФЗ, № 38-ФЗ (реклама), № 61-ФЗ (обращение лекарственных средств) и иными применимыми актами.

1.3. Политика распространяется на все процессы и каналы сбора: сайты и лендинги [домен(ы)], формы обратной связи, горячую линию/колл-центр, e-mail/мессенджеры, мероприятия, медицинские и маркетинговые исследования, социальные сети, а также на обработку сообщений о нежелательных реакциях (фармаконадзор).

2. Термины и роли2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому физлицу.

2.2. Специальные категории ПДн — сведения о здоровье (в т.ч. нежелательные реакции), которые обрабатываются при фармаконадзоре и обращениях по качеству.

2.3. Субъект ПДн — физическое лицо (пациент, посетитель, медицинский работник).

2.4. Оператор — ООО ФИРМА «ФЕРМЕНТ».
2.5. Порученные обработчики — организации, обрабатывающие ПДн по поручению Оператора: провайдеры хостинга/CRM/маркет-платформ, колл-центры, курьерские службы, исследовательские агенты и др. Перечень категорий см. § 9.

3. Категории обрабатываемых ПДн3.1. Общие ПДн: ФИО, контактные данные (телефон, e-mail, адрес), год/дата рождения, город, пол, аккаунты в мессенджерах/соцсетях, сведения о взаимодействии с сайтами/рассылками (cookies, IP, device/UA, UTM-метки).

3.2. Данные профессиональных контактов (для медицинских работников): место работы, специальность, должность, ученая степень, номер свидетельства/сертификата (при необходимости в рамках верификации HCP), участие в мероприятиях/симпозиумах.

3.3. Маркетинговые данные: сведения об участии в программах лояльности/акциях, предпочтения и отклики, история коммуникаций.

3.4. Фармаконадзор и качество (спец. категория): сведения о состоянии здоровья, диагнозах/симптомах, сопутствующей терапии, нежелательных реакциях, условиях хранения/использования, фото/документы, а также контактные данные для обратной связи. Обработка ведётся строго в объёме, необходимом для выполнения регуляторных обязанностей.

3.5. Детские данные специально не собираются. При добровольной передаче данных несовершеннолетнего (§ 13) — требуется согласие законного представителя, кроме случаев, необходимых для защиты жизни и здоровья.

4. Цели обработки и правовые основания

4.1. Работа веб-ресурсов и аналитика: обеспечение функционала сайтов/форм; статистика и безопасность. Основание: ст. 6 ч. 1 п. 2 152-ФЗ (исполнение соглашения о пользовании сайтом), ст. 6 (законные интересы) при соблюдении прав субъектов.

4.2. Коммуникации по запросам: рассмотрение обращений, ответ на вопросы о продукте, передача в профильные подразделения/экспертов. Основание: исполнение запроса/договора; согласие — при требовании закона.

4.3. Маркетинговые коммуникации (e-mail/SMS/мессенджеры/звонки), таргетинг и персонализация, проведение акций/розыгрышей/мероприятий, опросов NPS: только при наличии добровольного согласия (опт-ин), с возможностью отзыва в любой момент.

4.4. Работа с медицинскими работниками: информирование о материалах для HCP, научно-образовательные мероприятия, спикерские соглашения, гранты/договоры ГЧП — на основании договора/согласия и требований отраслевого законодательства.

4.5. Фармаконадзор и обращения по качеству/безопасности: сбор и передача сведений регуляторным органам и уполномоченным структурам; обработка спецкатегорий ПДн в объёме, необходимом для целей охраны здоровья и общественного интереса в области здравоохранения. Основание: ст. 10 ч. 2 152-ФЗ (медицинские цели и выполнение законодательства), ст. 61-ФЗ.

4.6. Выполнение правовых обязанностей: хранение бухгалтерских/налоговых документов, соблюдение требований по локализации ПДн (242-ФЗ), ответы на законные запросы госорганов.

4.7. Защита прав и интересов: предотвращение мошенничества/злоупотреблений, обеспечение ИБ. Основание: законный интерес при соблюдении баланса прав.

5. Источники и способы обработки5.1. ПДн предоставляются субъектом через формы/обращения/коммуникации, а также собираются автоматически (cookies/лог-данные/пиксели, см. § 8).

5.2. Обработка осуществляется как с использованием средств автоматизации, так и без таковых; включают сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу (в т.ч. поручение), обезличивание, блокирование, удаление/уничтожение.

6. Сроки хранения6.1. Маркетинговые и коммуникационные данные — до достижения цели либо до отзыва согласия, но не более 5 лет с момента последней активности.

6.2. Данные фармаконадзора и качества — в сроки, установленные регуляторными требованиями (как правило, не менее срока обращения ЛС на рынке + установленный период архивного хранения).

6.3. Финансовые/договорные документы — согласно срокам из законодательства о бухгалтерском учёте/налогообложении.

6.4. По истечении сроков ПДн удаляются/обезличиваются.

7. Передача третьим лицам, трансграничная передача7.1. ПДн могут передаваться порученным обработчикам по договорам поручения (ст. 6 152-ФЗ) при условии соблюдения требований к конфиденциальности и безопасности. Категории получателей:
— провайдеры хостинга/дата-центров/сервисов e-mail/SMS/мессенджеров;
— колл-центры и логистические/курьерские службы;
— маркетинговые/исследовательские/ивент-агентства;
— разработчики/поддержка IT-систем (CRM, CDP, BI, антифрод);
— партнёры по проведению медицинских и образовательных мероприятий;
— уполномоченные организации по фармаконадзору и госорганы (при наличии правового основания).

7.2. Трансграничная передача возможна при условии соблюдения требований 152-ФЗ (проверка уровня защиты в государстве получателя, заключение необходимых соглашений).

7.3. Локализация: первичный сбор, запись и хранение баз ПДн граждан РФ осуществляется на территории РФ (242-ФЗ). Для резервирования и техподдержки может применяться зеркалирование/копии при соблюдении требований к трансграничной передаче.

8. Cookie-файлы, идентификаторы и профилирование

8.1. На сайтах используется технически необходимые cookies (для работы сайта) и, при наличии согласия, аналитические/маркетинговые cookies, пиксели и SDK (в т.ч. для статистики, персонализации, ретаргетинга).

8.2. Перечень типовых инструментов: системные лог-файлы, веб-аналитика [напр., «Яндекс.Метрика», «VK Реклама», Google Analytics 4*], UTM-метки, рекламные кабинеты площадок. *Использование зарубежных инструментов — с учётом актуальных правовых ограничений.

8.3. Управление cookies: через баннер согласия и настройки браузера/устройства. Отзыв согласия на маркетинговые cookies не влияет на функциональность сайта, но может снизить персонализацию.

9. Безопасность ПДн9.1. Оператор реализует правовые, организационные и технические меры защиты ПДн: модели угроз, разграничение доступа, VPN/шифрование при передаче, резервное копирование, аудит событий ИБ, DLP/EDR-средства, двухфакторная аутентификация, обучение персонала, контроль подрядчиков.

9.2. Для спецкатегорий (здоровье) применяется повышенный режим доступа (need-to-know), хранение в сегментированных реестрах фармаконадзора.

9.3. При инцидентах Оператор предпринимает меры по минимизации последствий и уведомляет уполномоченные органы/субъектов в случаях, предусмотренных законом.

10. Права субъекта ПДн10.1. Субъект имеет право:
— получить сведения об обработке своих ПДн;
— требовать уточнения/блокирования/уничтожения ПДн при их ненадлежащей обработке;
— отозвать согласие (на маркетинг, cookies, участие в акциях);
— возражать против обработки для целей прямого маркетинга;
— обжаловать действия/бездействие Оператора.

10.2. Запрос направляется на info@firmaferment.ru или почтовый адрес Оператора с указанием ФИО и контактных данных. Срок ответа — до 30 дней (ст. 14 152-ФЗ). Для безопасной идентификации Оператор вправе запросить дополнительные сведения.

10.3. Для фармаконадзора уничтожение спецкатегорий ПДн может быть ограничено обязательными сроками хранения и регуляторными обязанностями.

11. Особые положения для медицинских работников (HCP)11.1. Верификация статуса HCP может требовать предоставления подтверждающих документов/реестровых сведений.

11.2. Рассылка профессиональных материалов/приглашений на мероприятия — при наличии договора/согласия и в соответствии с ограничениями 38-ФЗ (непубличная реклама ЛС для специалистов).

12. Маркетинговые рассылки и отписка

12.1. Рассылки осуществляются только при валидном согласии (опт-ин) с фиксацией источника, даты и канала.

12.2. Отписка доступна по ссылке в каждом сообщении, а также по e-mail/настройкам профиля. Срок деактивации — не более 3 рабочих дней.

13. Несовершеннолетние13.1. Контент и маркетинговые коммуникации Оператора адресованы совершеннолетним (18+).

13.2. Обработка ПДн несовершеннолетних осуществляется лишь при необходимости защиты жизни/здоровья либо при наличии согласия законного представителя.

14. Обращения по качеству и безопасности («фармаконадзор»)14.1. Для регистрации и расследования сообщений о нежелательных реакциях/жалоб на качество Оператор может запрашивать медицинские сведения, фотографии упаковки/серий, данные контактного лица.

14.2. Такие ПДн обрабатываются в целях охраны здоровья и выполнения обязательных процедур отчётности; могут передаваться уполномоченным органам и партнёрам по системе качества.

14.3. Фиксация и хранение — в специализированных системах фармаконадзора в сроках, установленных регуляторными требованиями.

15. Обновления Политики15.1. Политика может обновляться. Актуальная версия всегда доступна по адресу: https://bifiliz.ru/privacy. Изменения вступают в силу с даты публикации, если не указано иное.