Политика в отношении обработки персональных данных

ОБЩИЕ ПОЛОЖЕНИЯ

Настоящая Политика определяет порядок обработки персональных данных и сведения о реализуемых требованиях к их защите в сервисе МедАссист (сайт medassistai.ru, далее — «Сервис»). Политика опубликована в свободном доступе во исполнение части 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон № 152-ФЗ»).

Оператором персональных данных является индивидуальный предприниматель Пастухов А.В. (ОГРНИП 317213000027388, ИНН 213006705614, Российская Федерация; далее — «Оператор»). Используя Сервис, регистрируя учётную запись и предоставляя данные, вы подтверждаете, что ознакомлены с настоящей Политикой.

Обработка персональных данных осуществляется на основе принципов законности, ограничения обработки достижением конкретных целей, минимизации данных и недопустимости их избыточности по отношению к заявленным целям. Применимое право — право Российской Федерации.

ТЕРМИНЫ

Персональные данные

Любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Обработка

Любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Специальная категория

Персональные данные, касающиеся состояния здоровья. К ним относятся сведения из загружаемых пользователем медицинских документов.

Обезличивание

Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность данных конкретному субъекту.

Псевдонимизация

Удаление из данных прямых идентификаторов Пользователя (фамилии, имени, дат, номеров документов и т. п.), при котором повторная идентификация остаётся технически возможной с использованием дополнительной информации. Псевдонимизированные данные могут оставаться персональными данными.

Пользователь

Физическое лицо, использующее Сервис.

Лицо, действующее по поручению Оператора

Привлекаемый Оператором поставщик услуг (например, хостинг, обработка платежей), которому обработка поручена на основании договора в соответствии с частью 3 статьи 6 Закона № 152-ФЗ; ответственность перед субъектом при этом несёт Оператор.

СТАТУС ОПЕРАТОРА И ХАРАКТЕР СЕРВИСА

Сервис является информационным продуктом: он помогает пользователю понять содержание собственных медицинских документов и подготовиться к разговору со специалистом. Сервис не оказывает медицинскую помощь, не устанавливает диагноз, не назначает лечение и не является медицинской услугой или медицинским изделием. Подробнее — в Пользовательском соглашении.

Независимо от информационного характера услуги, Оператор собирает и хранит данные пользователей (в частности, адрес электронной почты) и в силу этого является оператором персональных данных в смысле Закона № 152-ФЗ. Статус оператора персональных данных не означает осуществление медицинской деятельности и не требует медицинской лицензии.

Оператор обрабатывает персональные данные с использованием средств автоматизации. Сведения об обработке персональных данных предоставляются в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном статьёй 22 Закона № 152-ФЗ.

КАТЕГОРИИ ДАННЫХ И СУБЪЕКТОВ

Субъекты данных — пользователи Сервиса (физические лица). Оператор обрабатывает только те данные, которые необходимы для предоставления Сервиса:

• Учётные и контактные данные: адрес электронной почты; при наличии — имя или псевдоним, номер телефона
• Данные учётной записи: идентификатор пользователя, защищённый хеш пароля, сведения о входах
• Специальная категория (данные о состоянии здоровья): сведения из добровольно загруженных пользователем медицинских документов — результаты исследований, заключения, выписки, назначения. Обрабатываются на основании отдельного согласия (см. раздел «Данные о состоянии здоровья»)
• Платёжные сведения: статус оплаты, тариф, идентификатор операции. Полные реквизиты банковских карт Оператор не получает и не хранит — их обрабатывает банк-эквайер
• Технические данные: IP-адрес, сведения об устройстве, операционной системе и браузере, идентификаторы сессии, журналы событий
• Данные об использовании: разделы и действия в интерфейсе, настройки и предпочтения
• Данные обращений: имя, адрес электронной почты, тема и текст сообщения, направленные через форму обратной связи или в поддержку, а также иные сведения, которые Пользователь решит указать в обращении

Пользователь отвечает за достоверность и актуальность предоставляемых им данных.

ЦЕЛИ ОБРАБОТКИ

Оператор обрабатывает персональные данные исключительно для следующих целей:

• Регистрация пользователя, предоставление доступа к учётной записи и её безопасность
• Предоставление информационной услуги — автоматизированного разбора загруженных документов и подготовка пояснений информационного характера
• Приём и учёт оплаты по выбранному тарифу
• Связь с пользователем по вопросам работы учётной записи и Сервиса, поддержка
• Обеспечение безопасности Сервиса и предотвращение мошенничества
• Исполнение обязанностей, возложенных на Оператора законодательством Российской Федерации

ПРАВОВЫЕ ОСНОВАНИЯ

Оператор обрабатывает персональные данные на следующих правовых основаниях:

• Согласие субъекта персональных данных на обработку (статья 6, для данных о состоянии здоровья — статья 9 и пункт 1 части 2 статьи 10 Закона № 152-ФЗ)
• Необходимость для исполнения договора (Пользовательского соглашения), стороной которого является пользователь
• Осуществление прав и законных интересов Оператора — в частности, оценка посещаемости и улучшение Сервиса средствами веб-аналитики — при условии, что не нарушаются права и свободы субъекта персональных данных (пункт 7 части 1 статьи 6 Закона № 152-ФЗ)
• Необходимость исполнения обязанностей, возложенных на Оператора законодательством Российской Федерации (в том числе налоговым и бухгалтерским)

ДАННЫЕ О СОСТОЯНИИ ЗДОРОВЬЯ

Сведения из загружаемых медицинских документов относятся к специальной категории персональных данных. Их обработка осуществляется только при наличии согласия пользователя в письменной форме (электронный документ, подтверждённый при использовании Сервиса, приравнивается к письменной форме). Согласие предоставляется отдельным действием — см. документ «Согласие на обработку персональных данных».

Оператор обрабатывает данные о состоянии здоровья исключительно в информационных целях, указанных в настоящей Политике, и не использует их для установления диагноза, назначения лечения или иных целей медицинской деятельности. Перед автоматизированным анализом данные псевдонимизируются (см. следующий раздел).

АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА, ИИ И ПСЕВДОНИМИЗАЦИЯ

Разбор загруженных документов выполняется автоматически, в том числе с использованием технологий искусственного интеллекта. Результат носит справочный, информационный характер, не порождает для пользователя юридических последствий и не заменяет консультацию врача.

Перед передачей в автоматизированную обработку из загруженного контента удаляются прямые идентификаторы (фамилия, имя, отчество, даты, номера документов, адреса и иные сведения, позволяющие определить лицо) — выполняется псевдонимизация. В системы автоматического анализа, в том числе предоставляемые сторонними поставщиками вычислительных услуг, передаются псевдонимизированные данные — наименования исследований, числовые значения и референсные диапазоны. Прямые идентификаторы Пользователя в такую обработку не передаются.

Пользователю рекомендуется по возможности удалять прямые идентификаторы из документов до загрузки; псевдонимизация на стороне Сервиса применяется в любом случае как самостоятельная мера.

ПРИВЛЕЧЕНИЕ ТРЕТЬИХ ЛИЦ И ПЕРЕДАЧА ДАННЫХ

Для работы Сервиса Оператор вправе привлекать к обработке третьих лиц на основании договора поручения в соответствии с частью 3 статьи 6 Закона № 152-ФЗ. Такие лица обязаны соблюдать конфиденциальность и обеспечивать безопасность данных. К категориям привлекаемых лиц относятся поставщики:

• услуг хостинга, облачного хранения и инфраструктуры
• услуг авторизации и технической поддержки
• услуг автоматизированного анализа (в обработку передаются псевдонимизированные данные, без прямых идентификаторов Пользователя)
• платёжных услуг и банковского эквайринга
• сервисных уведомлений и веб-аналитики
• средств защиты информации и предотвращения мошенничества

Оператор не продаёт персональные данные и не передаёт их третьим лицам в рекламных целях. Передача возможна также по требованию уполномоченных государственных органов в случаях, прямо предусмотренных законом, и при реорганизации — с уведомлением пользователей. Наименования конкретных поставщиков предоставляются по обоснованному запросу пользователя.

Оператор принимает меры для обработки персональных данных граждан Российской Федерации в соответствии с требованиями Закона № 152-ФЗ, включая требования к локализации обработки. Перед автоматизированным анализом из загруженного контента удаляются прямые идентификаторы Пользователя (псевдонимизация); такие псевдонимизированные данные могут оставаться персональными и обрабатываются привлекаемыми лицами на условиях поручения с обязательством конфиденциальности.

СРОКИ ХРАНЕНИЯ

Оператор хранит данные не дольше, чем требуется для целей обработки:

• Учётные и контактные данные — пока активна учётная запись и в течение 1 года после её удаления (для разрешения возможных споров)
• Загруженные документы и результаты их разбора — до удаления пользователем или отзыва согласия; затем не более 30 дней в резервных копиях
• Платёжные сведения — в течение сроков, установленных налоговым и бухгалтерским законодательством Российской Федерации
• Технические журналы — как правило, до 12 месяцев
• Согласие на обработку — в течение срока обработки и не менее 1 года после её прекращения

По истечении сроков либо при достижении целей обработки данные удаляются или обезличиваются.

МЕРЫ БЕЗОПАСНОСТИ

Оператор принимает правовые, организационные и технические меры, необходимые и достаточные для обеспечения безопасности персональных данных при их обработке, в том числе:

• шифрование данных при передаче и хранении
• разграничение доступа к данным
• журналирование значимых событий
• меры по реагированию на инциденты

Оператор принимает разумные меры защиты, однако ни одна система передачи или хранения данных не является полностью защищённой от любых рисков.

COOKIES

Сервис использует файлы cookie и сервис веб-аналитики Яндекс.Метрика (ООО «Яндекс»). Строго необходимые cookie (авторизация, безопасность, сохранение пользовательских настроек) устанавливаются всегда и нужны для работы Сервиса. Аналитические cookie Яндекс.Метрики используются для оценки посещаемости и улучшения Сервиса на основании законного интереса Оператора; собираемые с их помощью данные обрабатываются в обезличенном виде на серверах, расположенных в Российской Федерации.

При первом посещении Сервис информирует об использовании cookie. Вы можете в любой момент ограничить или отключить файлы cookie в настройках своего браузера. Отказ от строго необходимых cookie может ограничить работу авторизации и отдельных функций Сервиса.

ДАННЫЕ НЕСОВЕРШЕННОЛЕТНИХ

Сервис не предназначен для самостоятельного использования лицами младше 18 лет. Обработка персональных данных несовершеннолетнего осуществляется только с согласия его законного представителя. Законный представитель вправе запросить доступ к данным несовершеннолетнего и их удаление.

ДЕЙСТВИЯ ПРИ ИНЦИДЕНТАХ

При выявлении инцидента, затрагивающего персональные данные, Оператор:

• фиксирует факт, масштаб и категории затронутых данных, принимает меры по локализации
• уведомляет уполномоченный орган по защите прав субъектов персональных данных в случаях и сроки, установленные Законом № 152-ФЗ
• уведомляет затронутых пользователей, если инцидент создаёт риск нарушения их прав, и сообщает о рекомендуемых действиях
• проводит внутреннее разбирательство и применяет корректирующие меры

ПРАВА СУБЪЕКТА И ИХ РЕАЛИЗАЦИЯ

В отношении своих персональных данных пользователь вправе:

• получать сведения об обработке своих данных и доступ к ним
• требовать уточнения (исправления) неточных или неполных данных
• требовать удаления данных и прекращения обработки при отсутствии законных оснований для её продолжения
• требовать блокирования данных в случаях, предусмотренных законом
• отозвать согласие на обработку в любое время
• обжаловать действия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в суд

Запрос на реализацию прав, а также отзыв согласия направляются на адрес support@medassistai.ru. Оператор рассматривает обращение и отвечает в сроки, установленные Законом № 152-ФЗ. Отзыв согласия на обработку данных о состоянии здоровья влечёт прекращение их обработки и может сделать невозможным дальнейшее использование соответствующих функций Сервиса.

ИЗМЕНЕНИЯ ПОЛИТИКИ

Оператор вправе обновлять настоящую Политику. Актуальная редакция с датой публикуется на этой странице. При существенных изменениях, затрагивающих права пользователей, Оператор дополнительно информирует их по электронной почте или через Сервис. Существенное изменение целей или перечня обрабатываемых данных может потребовать нового согласия.

РЕКВИЗИТЫ И КОНТАКТЫ

• Оператор: индивидуальный предприниматель Пастухов А.В.
• ОГРНИП 317213000027388, ИНН 213006705614
• Адрес: 428000, г. Чебоксары, ул. И. Франко, д. 22, Российская Федерация
• Контакт по вопросам обработки данных и реализации прав: support@medassistai.ru
• Применимое право — право Российской Федерации