Политика конфиденциальности и обработки персональных данных посетителей сайта и потребителей услуг

ПНД (PDF версия)

(редакция 31.05.2026 г., вступает в законную силу 10.06.2026 г.)

1. Общие положения

Настоящая Политика конфиденциальности и обработки персональных данных посетителей сайта и потребителей услуг (далее – Политика обработки ПДн, Политика) утверждена и введена в действие Обществом с ограниченной ответственностью «ЗОЛОТОЙ МАНДАРИН» (ОГРН 1157746624639, ИНН 7729467082, КПП 772901001, расположенным по адресу: 119454, г. Москва, ул. Удальцова, д. 85А, адрес электронной почты: info@goldenmandarin.ru (далее – Оператор), являющимся лицом, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.

Оператор осуществляет обработку персональных данных на законной и справедливой основе, руководствуясь Конституцией Российской Федерации, Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами, указанными в разделе 1.1 Политики.

Настоящая Политика действует в отношении всех персональных данных, которые Оператор может получить о субъектах персональных данных при использовании сайта Оператора https://goldenmandarin.ru (далее – Сайт) его сервисов, а также в процессе оказания услуг.

Оператор также осуществляет сбор персональных данных на следующих лендингах (поддоменах), являющихся частями Сайта и подпадающих под действие настоящей Политики:

https://smas-goldenmandarin.ru/,
https://omolozhenie.goldenmandarin.ru/,
https://neo.goldenmandarin.ru/.

1.1. Настоящая Политика обработки ПДн разработана во исполнение требований:

• Конституции РФ;
• Гражданского кодекса РФ;
• Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – 152-ФЗ);
• Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федерального закона от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в РФ»;
• Федерального закона от 24.06.2025 г. № 156-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»;
• Постановления Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказа Роскомнадзора от 28.10.2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»;

1.2. Правовые основания обработки ПДн:

• Устав ООО «ЗОЛОТОЙ МАНДАРИН»;
• договоры с потребителями услуг;
• согласия субъектов ПДн, включая отдельные согласия на распространение (ст. 10.1 152-ФЗ);
• лицензия на медицинскую деятельность (даёт право обработки специальных категорий ПДн без отдельного согласия в объёме, необходимом для оказания медицинской помощи, п. 4 ч. 2 ст. 10 152-ФЗ).

1.3. Политика действует в отношении всей информации, которую Оператор может получить о субъектах ПДн при использовании Сайта, его сервисов, а также в процессе получения услуг.

1.4. Предоставление персональных данных через формы на Сайте и отметка соответствующих чек-боксов означает согласие с Политикой. Использование Сайта само по себе согласием не является.

1.5. Оператор не обязан систематически проверять достоверность ПДн, но вправе это делать при необходимости. Основную ответственность за достоверность несёт субъект ПДн.

1.6. Новая редакция Политики утверждается Генеральным директором и вводится приказом. Сотрудники, имеющие доступ к ПДн, знакомятся с ней под подпись.

1.7. Перечень[1] ПДн, собираемых Оператором:

1.7.1. Персональные данные посетителей сайта (включая лендинги)

1.7.2. Персональные данные потребителей услуг (клиентов) – взрослые пациенты

 

 

 

1.7.3. Персональные данные несовершеннолетних пациентов (обрабатываются с согласия законных представителей)

 

 

 

1.7.4. Биометрические персональные данные (обрабатываются только при наличии отдельного письменного согласия субъекта или его законного представителя – ст. 11 152-ФЗ)

1.7.5. Данные, получаемые автоматически при использовании сайта, не являющиеся персональными (обезличенная статистика)

Данные этой категории не позволяют идентифицировать субъекта и не регулируются 152-ФЗ, однако Оператор собирает их для внутренней аналитики.

1.7.6. Данные, обрабатываемые в целях безопасности (видеонаблюдение)

1.7.7. Аудиозаписи телефонных разговоров

1.7.8. Персональные данные законных представителей (когда они не являются пациентами, но выступают в качестве третьих лиц)

2. Определение терминов

3. Цели сбора персональных данных

4. Категории субъектов и состав обрабатываемых ПДн

4.1. Посетители сайта (в т.ч. потенциальные потребители):

• имя;
• контактный телефон;
• адрес электронной почты;
• название процедуры (услуги);
• автоматически передаваемые данные (IP, User-Agent, cookie, метрики);
• платёжные данные (идентификатор транзакции, сумма, дата/время, статус, маскированный номер карты) – при оплате услуг через сайт.

4.2. Потребители услуг (клиенты):

• фамилия, имя, отчество;
• дата рождения;
• пол;
• номер телефона, e-mail;
• адрес места жительства (для экстренных случаев);
• марка, модель, госномер автомобиля (для пропуска);
• подпись;
• платёжные данные (идентификатор транзакции, сумма, дата/время, статус, маскированный номер карты) – при оплате услуг через сайт.

4.3. Специальные категории ПДн (состояние здоровья) – обрабатываются только при оказании медицинской помощи в соответствии с лицензией:

• вес, рост;
• температура тела;
• артериальное давление;
• аллергический анамнез;
• диагнозы, результаты осмотров;
• иная информация, фиксируемая в медицинской документации.

Обработка специальных категорий ПДн осуществляется без отдельного согласия субъекта в силу п. 4 ч. 2 ст. 10 152-ФЗ (медицинская деятельность), но с соблюдением врачебной тайны (ст. 13 323-ФЗ) и в соответствии с отдельным Информированным добровольным согласием/отказом на медицинское вмешательство.

4.4. Биометрические ПДн – обрабатываются только при наличии отдельного письменного согласия на их обработку (ст.11):

• фотографическое изображение лица;
• видеоизображение лица;
• фотографическое изображение без лица (части тела);
• видеоизображение без лица (части тела).

4.5. Распространение ПДн производится только при наличии отдельного письменного согласия на распространение (ст. 10.1).

4.6. Законные представители и близкие родственники – ПДн обрабатываются с их согласия или в интересах пациента (в т.ч. после смерти).

4.7. Особенности обработки персональных данных несовершеннолетних

4.7.1. При оказании медицинских услуг несовершеннолетним пациентам Оператор руководствуется ст. 54 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ»:

• до достижения возраста 15 лет согласие на медицинское вмешательство и на обработку персональных данных даётся одним из родителей или иным законным представителем;
• с 15 лет (за исключением случаев, предусмотренных ч. 2 ст. 54 323-ФЗ, например, наркологическая помощь – с 16 лет) несовершеннолетний вправе давать такое согласие самостоятельно.

4.7.2. При сборе персональных данных несовершеннолетнего через Сайт (запись на услугу, консультацию) Оператор запрашивает подтверждение возраста и, если требуется, согласие законного представителя. В форме онлайн-записи предусмотрено поле для указания, что запись производится законным представителем, с обязательством предоставить письменное согласие при личном визите.

4.7.3. Для обработки специальных категорий персональных данных (состояние здоровья) несовершеннолетнего Оператор получает письменное согласие законного представителя на бумажном носителе или в форме электронного документа, подписанного простой электронной подписью законного представителя (при условии идентификации личности). Типовая форма такого согласия предоставляется при личном обращении.

4.7.4. При отсутствии согласия законного представителя обработка персональных данных несовершеннолетнего допускается только в случаях, прямо предусмотренных законом (угроза жизни, экстренная помощь и др.). В таких случаях Оператор уведомляет законного представителя в кратчайшие сроки.

5. Привлечение третьих лиц (обработчиков)

5.1. Оператор заключает с каждым привлекаемым обработчиком договор, который в обязательном порядке содержит:

1) условие о конфиденциальности персональных данных;

2) требование о локализации баз данных персональных данных граждан Российской Федерации на территории РФ;

3) обязанность обработчика информировать Оператора о любых изменениях в местах хранения данных;

4) ответственность за нарушение требований законодательства о персональных данных.

Оператор осуществляет регулярный контроль соблюдения обработчиками указанных требований не реже одного раза в год.

5.2. Для достижения целей обработки Оператор привлекает следующих обработчиков:

Оператор заключает с каждым обработчиком договор, включающий условия конфиденциальности и локализации баз данных на территории РФ.

6. Cookie-файлы и метрические данные: порядок сбора, настройки и отказа

6.1. Общие положения

Сайт использует файлы cookie и метрические системы для обеспечения работоспособности, сбора статистики, анализа поведения пользователей, ретаргетинга.

Согласие на обработку персональных данных, осуществляемую с помощью нестрого необходимых cookie и метрических систем, является отдельным (не объединённым с иными согласиями или договором) и получается исключительно через cookie-баннер. Факт скроллинга, продолжения навигации по сайту или закрытия баннера без активного выбора не может рассматриваться как согласие.

Согласие на нестрого необходимые cookie и метрики запрашивается через cookie-баннер, который:

• появляется при первом посещении (если нет ранее сохранённого согласия);
• блокирует загрузку всех трекеров до получения согласия;
• позволяет принять все, отказаться от всех необязательных или настроить выборочно по категориям.

6.2. Категории cookie и порядок получения согласия

6.3. Используемые сервисы веб-аналитики и метрик

• Яндекс.Метрика (ООО «ЯНДЕКС»): сбор данных о посещениях, кликах, веб-визор.

Отключить сервис: https://yandex.ru/support/metrica/general/user-opt-out.html

• Top.Mail.ru (ООО «ВК»): счётчик посещаемости.

Отключить сервис: https://help.mail.ru/legal/terms/top/pp/

6.4. Управление cookie и отказ от метрик

Пользователь может:

• в cookie-баннере (при первом заходе) дать или не дать согласие на каждую категорию;
• в любое время изменить настройки, перейдя по ссылке «Настройки cookie» в футере сайта;
• очистить cookie и localStorage в браузере (это сбросит согласие, и баннер появится снова);
• отключить cookie в настройках браузера – но это может повлиять на работу сайта.

6.5. Блокировка загрузки трекеров до согласия

Все скрипты метрик, пикселей, виджетов карт, коллтрекинга загружаются только после того, как пользователь даст явное согласие через cookie-баннер. До этого момента они не инициализируются.

6.6. Срок хранения согласия

Выбор пользователя сохраняется в localStorage / cookie на срок 730 дней (2 года). По истечении этого срока согласие запрашивается повторно.

6.7. Хранение записи о согласии на cookie и метрики

Выбор пользователя, сделанный в cookie-баннере (включая отказ от всех необязательных категорий или выборочное согласие), фиксируется в виде записи о согласии, а также текста согласия (или ссылки на него) и способа получения (cookie-баннер, чек-бокс). Такая запись хранится в локальном хранилище (localStorage) и/или cookie устройства пользователя в течение 730 дней (2 года) с момента последнего выражения воли. По истечении этого срока согласие запрашивается повторно.

Оператор также ведёт внутренний журнал записей о согласиях (с указанием даты, времени, выбранных категорий, идентификатора сессии) на сервере в течение 3 лет для подтверждения законности обработки в случае проверок контролирующих органов.

7. Обработка и защита ПДн

7.1. Способы получения ПДн:

• через формы на Сайте («Обратный звонок», «Записаться в центр»);
• через сервисы онлайн-записи (Universe CRM, 2ГИС, Яндекс.Карты, ProDoctorov);
• при личном обращении (заполнение анкет, информированных согласий);
• по телефону (при записи телефонных разговоров Оператор уведомляет Субъекта ПДн о записи в начале разговора. Отказ от записи не препятствует получению услуги иными способами (личный визит, переписка)).

7.2. Сроки хранения:

• данные из форм на сайте (без записи) – не более 14 дней, затем уничтожаются:

 

в случае, если в течение 14 календарных дней с момента получения Оператором персональных данных от посетителя Сайта (через формы «Обратный звонок», «Записаться в центр», онлайн‑запись или иные аналогичные формы) намерения посетителя в отношении услуг Оператора остались неясными (отсутствие подтверждённой записи на процедуру, письменного отказа от услуги или иного определённого оператором действия, свидетельствующего о волеизъявлении), полученные персональные данные подлежат уничтожению. Уничтожение осуществляется в порядке, предусмотренном разделом 7.8 настоящей Политики, в срок не позднее 14 календарных дней с даты получения таких данных.

 

• договоры, согласия, медицинская документация – 25 лет (в электронном виде – 50 лет);
• видеозаписи с камер наблюдения – 5 суток;
• cookie и метрики – согласно срокам сервисов (до 2 лет);
• записи о согласии на обработку персональных данных (включая согласия на cookie, метрики, маркетинг, а также на распространение биометрии) – 3 года после даты получения согласия или после даты его отзыва (в зависимости от того, что наступит позже). Указанные записи хранятся в защищённой информационной системе Оператора и предоставляются по запросу Роскомнадзора.

7.3. Локализация: все базы данных ПДн граждан РФ находятся на территории РФ. Все базы данных ПДн граждан Российской Федерации (пользователей Сайта), включая резервные копии, журналы событий и записи о согласиях, физически находятся на территории Российской Федерации.

Трансграничная передача персональных данных не осуществляется. Оператор требует от обработчиков локализации данных в РФ, что подтверждено договорами.

7.4. Меры защиты: приказом генерального директора назначено ответственное лицо, издан приказ о перечне лиц, имеющих доступ, применяются средства криптозащиты, контроль доступа, шредеры для бумаг, антивирусная защита.

7.5. Видеосъёмка в общих помещениях ведётся открыто в целях безопасности. Срок хранения – 5 суток. Видеозаписи не используются для идентификации субъектов ПДн без законного основания.

7.6. При выявлении факта неправомерной или случайной передачи (утечки) ПДн Оператор уведомляет Роскомнадзор в порядке и сроки, установленные ст. 21 152-ФЗ (в течение 24 часов).

7.7. Уровень защищенности персональных данных

Информационная система персональных данных ООО «ЗОЛОТОЙ МАНДАРИН» (далее — ИСПДн) обрабатывает специальные категории персональных данных (состояние здоровья), в связи с чем относится к типу ИСПДн-С в соответствии с пунктом 5 Требований, утвержденных Постановлением Правительства РФ от 01.11.2012 № 1119.

По результатам оценки актуальных угроз безопасности персональных данных, проведенной в соответствии с методикой, утвержденной Приказом ФСТЭК России от 14.03.2014 г. № 21, для ИСПДн установлен 3-й уровень защищенности персональных данных. Указанный уровень обеспечивается выполнением организационных и технических мер, предусмотренных пунктами 13 и 14 Требований, утвержденных Постановлением Правительства РФ от 01.11.2012 № 1119.

7.8. Порядок уничтожения персональных данных

7.8.1. Уничтожение персональных данных производится в следующих случаях:

• достижение цели обработки, если иное не предусмотрено договором или законом;
• истечение установленного срока хранения;
• отзыв согласия субъектом, если обработка не может быть продолжена на ином законном основании;
• выявление неправомерной обработки.

7.8.2. Уничтожение осуществляется комиссионно с составлением акта об уничтожении. Для данных на бумажных носителях применяется шредирование или сжигание. Для данных в электронной форме – гарантированное безвозвратное удаление с использованием сертифицированных средств (перезапись, физическое уничтожение накопителя).

7.8.3. Срок уничтожения:

• по требованию субъекта – до 30 дней с момента получения требования (если иной срок не установлен законом);
• по истечении срока хранения – ежеквартально;
• при отзыве согласия на маркетинг / необязательные цели – в срок, не превышающий 30 дней.

7.8.4. Записи о согласиях, срок хранения которых истёк, также подлежат уничтожению. Уничтожение записей оформляется отдельным актом.

7.9. Обработка платежных данных. Оператор не хранит полные номера банковских карт, CVV/CVC-коды и сроки действия карт. Все операции с платёжными данными осуществляются через ПАО Сбербанк (эквайер) с использованием сертифицированного платёжного шлюза, соответствующего требованиям PCI DSS. Оператор получает от банка только минимально необходимый объём данных (идентификатор транзакции, маскированный номер карты, сумму, статус) для идентификации платежа и формирования отчётности.

8. Права субъекта ПДн

8.1. Субъект ПДн вправе:

• получить информацию об обработке его ПДн;
• требовать уточнения, блокирования или уничтожения недостоверных или незаконно полученных ПДн;
• отозвать согласие (кроме случаев, когда обработка необходима по закону, в т.ч. для исполнения договора или оказания медпомощи);
• обжаловать действия Оператора в Роскомнадзоре или суде;
• требовать от Оператора рассмотрение запросов и предоставления информации в срок, установленный ч. 3 ст. 20 152-ФЗ (10 рабочих дней).

8.2. Право на отзыв согласия и последствия отзыва

8.2.1. Субъект персональных данных вправе отозвать своё согласие на обработку полностью или в части (например, отозвать согласие на маркетинговую рассылку, но сохранить согласие на обработку для исполнения договора).

Отзыв оформляется письменным заявлением, направленным по почте: 119454,
г. Москва, ул. Удальцова, д. 85А, либо по e-mail: info@goldenmandarin.ru с пометкой «Запрос ПДн» или «Отзыв согласия».

8.2.2. При отзыве согласия Оператор обязан прекратить обработку и уничтожить персональные данные в срок не более 30 дней, за исключением случаев, когда:

8.2.2.1. Обработка необходима для исполнения договора, стороной которого является субъект (например, оказание медицинской услуги);

8.2.2.2. Обработка требуется для выполнения обязанностей, возложенных федеральным законом (например, хранение медицинской документации 25/50 лет);

8.2.2.3. Обработка осуществляется государственным или муниципальным органом в рамках его полномочий.

8.2.3. В случае отзыва согласия на обработку в целях маркетинга, ретаргетинга и аналитики сайта (cookie), Оператор принимает меры для прекращения обработки и удаления данных в срок, не превышающий 30 дней.

8.2.4. Информация о факте отзыва согласия (без содержания персональных данных) сохраняется в журнале учёта отзывов в течение 3 лет для подтверждения исполнения требования.

9. Особенности получения согласий при использовании сайта

9.1. Отдельное согласие на обработку персональных данных через Сайт (в целях записи на услугу, консультации, получения маркетинговых материалов) оформляется в виде электронного документа, который не объединён с текстом договора / оферты или иных условий. Пользователь выражает согласие путём:

• проставления отметок в отдельных чек-боксах (галочек) для цели «Онлайн запись» и проставления отметок в других отдельных чек-боксах для цели «Маркетинг, аналитика, ретаргетинг» – в окне согласия на обработку файлов cookies и метрических данных.

Оператор не объединяет указанные цели в одном чек-боксе или в одной галочке, а также не использует предустановленные отметки.

9.2. Согласие на обработку биометрических персональных данных (фото, видео) и на их распространение оформляется в письменной форме (на бумаге или в виде электронного документа, с использованием усиленной квалифицированной электронной подписи, либо простой электронной подписи при условии обеспеченности возможности достоверной идентификации субъекта). Для получения такого согласия на сайте может использоваться форма, где пользователь после заполнения получает на указанный им e-mail ссылку для подписания через систему простой электронной подписи (например, кодом из SMS) либо предоставляет согласие лично.

9.3. Запись о получении каждого отдельного согласия (включая дату, время, IP-адрес, текст согласия, выбранные категории) сохраняется в информационной системе Оператора не менее 3 лет и предоставляется субъекту либо надзорному органу по его запросу.

9.4. В случае, если пользователь отказался от всех необязательных категорий обработки через cookie-баннер, Оператор не вправе загружать скрипты Яндекс.Метрики, Calltouch, VK Ретаргетинга, Top.Mail.Ru, а также инициировать передачу данных в указанные системы.

10. Заключительные положения

10.1. Политика может быть изменена Оператором в одностороннем порядке. Новая редакция публикуется на Сайте.

10.2. Все изменения и дополнения в Политику вступают в силу не ранее чем через 10 дней после их опубликования на Сайте, за исключением случаев, когда изменения требуются для приведения документа в соответствие с вступившими в силу нормативными правовыми актами – в этом случае изменения действуют с момента, установленного законом.

10.3. Во всём, что не урегулировано Политикой, стороны руководствуются законодательством РФ.

 

Оператор уведомил Роскомнадзор об обработке персональных данных.

Реестровая запись № 77-22-101701 от 03.09.2022 г.

[1] Примечания к перечню

1. Правовые основания обработки для каждой категории указаны в соответствующих разделах настоящей Политики: для общих данных – ст. 6 152-ФЗ, для специальных – п. 4 ч. 2 ст. 10, для биометрии – ст. 11, для распространения – ст. 10.1.
2. Сроки хранения детально прописаны в разделе 7 Политики. Для медицинской документации – 25/50 лет, для видеозаписей – 5 суток, для аудиозаписей звонков – 6 месяцев, для cookie-согласий – 3 года.

Перечень может быть дополнен в случае внесения изменений в законодательство или появления новых видов обработки. Обо всех изменениях субъекты уведомляются путём публикации новой редакции Политики на сайте.

[2] Осуществление расчётов с клиентами с использованием платёжных терминалов (банковских карт) в салоне производится во исполнение договоров (п. 5 ч. 1 ст. 6 152-ФЗ), однако Оператор не обрабатывает ПДн клиента в указанной цели. Обработка осуществляется банком-эквайером.

[3] Перечень персональных данных, которые ЮKassa (ООО НКО «ЮMoney») получает в качестве обработчика, определяется Политикой конфиденциальности ЮKassa, доступной по ссылке https://yoomoney.ru/document/politika-konfidencialnosti-ooo-nko-yoomoney#app-3. Оператор не передаёт ЮKassa данные, превышающие минимально необходимые для проведения платежа, однако в силу особенностей работы платёжного агрегатора часть данных (в том числе идентификаторы, указанные в политике ЮKassa) может обрабатываться автоматически. Объём данных, запрашиваемый ЮKassa определяется самим ООО НКО ЮKassa в рамках собственных процедур идентификации плательщика в соответствии с Федеральным законом от 07.08.2001 № 115-ФЗ (ПОД/ФТ). Субъект ПДн вправе ознакомиться с политикой ЮKassa самостоятельно.