ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ООО «ХэлсМед»
1. Общие положения
1.1. Настоящая Политика конфиденциальности (далее — «Политика») регулирует порядок обработки и защиты персональных данных субъектов персональных данных (далее — «СПД», «Вы») при использовании веб‑сайта https://hels‑med.ru (далее — «Сайт»), а также при оказании медицинских и сопутствующих услуг ООО «ХэлсМед» (ИНН 5032022260, ОГРН 1155032005220, 143002, Московская обл., г. Одинцово, ул. Молодёжная, д. 18, корп. А; далее — «Оператор», «мы»). 1.2. Политика разработана в соответствии с ФЗ № 152‑ФЗ «О персональных данных», ФЗ № 323‑ФЗ «Об основах охраны здоровья граждан», Постановлением Правительства № 1119, Приказом Роскомнадзора № 119 и иными актами. 1.3. Обработка специальных категорий персональных данных, относящихся к состоянию здоровья, осуществляется только при наличии отдельного письменного согласия СПД по форме, приведённой в Приложении 1. 1.4. Основные термины используются в значениях, предусмотренных ст. 3 ФЗ № 152‑ФЗ и разделе 2 настоящей Политики.
2. Термины и определения
Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определённому лицу.
Специальные (биометрические) ПД — сведения о здоровье, результаты анализов, снимки и иные меддокументы.
Обработка ПД — любое действие (сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, уничтожение).
Файлы cookie — фрагменты данных, сохраняемые браузером для идентификации устройства.
DPO (Data Protection Officer) — ответственное лицо за организацию обработки ПД.
3. Правовые основания и цели обработки
3.1. Мы обрабатываем ПД на основании ст. 6, 10, 22 ФЗ № 152‑ФЗ, ст. 13 ФЗ № 323‑ФЗ, а также:
- исполнение договора на оказание медуслуг;
- выполнение обязанностей Оператора по закону (учёт меддокументации, отчётность);
- получение Вашего согласия (маркетинговые рассылки, аналитические cookie);
- законные интересы Оператора (обеспечение безопасности, предотвра‑щение мошенничества).
3.2. Цели обработки:
- дистанционная запись на приём, ведение личного кабинета;
- оказание консультаций, хранение медкарт;
- обратная связь и поддержка;
- улучшение работы Сайта (аналитика, UX‑исследования);
- таргетированная реклама при наличии отдельного согласия;
- соблюдение требований законодательства.
4. Состав обрабатываемых данных
Категория | Перечень | Правовое основание | Срок хранения* |
---|---|---|---|
Идентификационные | ФИО, дата рождения, паспортные данные | ст. 6 № 152‑ФЗ | 10 лет после оказания услуги |
Контактные | телефон, e‑mail, адрес | договор / согласие | 5 лет или до отзыва |
Медицинские | диагноз, результаты обследований, история болезней | ст. 10 № 152‑ФЗ, ст. 13 № 323‑ФЗ, письменное согласие | 10 лет (Приказ Минздрава № 804н) |
Маркетинговые | cookie‑ID, история посещений, рекламные метки | согласие (баннер cookie) | 2 года или до отзыва |
*Сроки могут быть продлены, если это требуется по закону (например, до 25 лет для рентген‑снимков) или для защиты прав Оператора.
5. Файлы cookie и аналогичные технологии
5.1. На Сайте используется баннер, позволяющий дать granular‑opt‑in на следующие категории cookie: (1) технические (обязательные), (2) аналитические, (3) рекламные.
5.2. Технические cookie загружаются по умолчанию; для остальных требуется явное согласие.
5.3. Управлять cookie можно в настройках браузера или по ссылке «Настройки cookie» в подвале Сайта.
6. Условия обработки и хранения
6.1. Персональные данные хранятся на территории Российской Федерации в двух независимых площадках:
- Облачная МИС «Ренновация» (https://app.rnova.org) — дата‑центр «Реновацио Софт», г. Санкт‑Петербург, ул. Цветочная, 19; провайдер обеспечивает резервирование, шифрование AES‑256, доступ по TLS 1.3 и 2FA, имеет сертификат ISO/IEC 27001.
- Веб‑сервер https://hels‑med.ru (IP 5.23.51.23) — дата‑центр «Петербург‑Телеком», 196084, г. Санкт‑Петербург, ул. Коли Томчака, 28, лит. К.
6.2. Трансграничная передача персональных данных не осуществляется. При возникновении такой необходимости Оператор предварительно получает письменное согласие СПД и направляет уведомление в Роскомнадзор в порядке, установленном ст. 12 ФЗ № 152‑ФЗ.
6.3. Мы не применяем полностью автоматизированные решения, порождающие юридические последствия для СПД. Мы не применяем полностью автоматизированные решения, порождающие юридические последствия для СПД.
7. Права СПД
- получать информацию об обработке ПД (ст. 14 № 152‑ФЗ);
- требовать уточнения, блокирования или уничтожения недостоверных ПД;
- получать копию своих ПД и требовать их портирования в машиночитаемом формате CSV;
- отозвать согласие в любой момент без объяснения причин;
- обжаловать действия Оператора в Роскомнадзор или суд.
Запросы направляются на healthmed@mail.ru или почтовый адрес Оператора с пометкой «для DPO».
8. Меры защиты информации
- Веб‑сервер защищён сертификатом Let’s Encrypt; соединение шифруется по протоколу TLS 1.3.
- Хостинг‑провайдер Timeweb (дата‑центр «Технологии Плюс», Санкт‑Петербург) использует базовый сетевой firewall, антивирусную фильтрацию и круглосуточный мониторинг
- Медицинские данные, размещённые в облачной системе «Ренновация», шифруются алгоритмом AES‑256; доступ производится через TLS 1.3 и защищён 2FA; провайдер сертифицирован по ISO/IEC 27001.
- Резервные копии базы данных и файлов сайта выполняются ежедневно и хранятся в зашифрованном виде 30 дней.
- Доступ к админ‑панели сайта ограничен по IP‑фильтру и защищён паролем; для сотрудников включена двухфакторная аутентификация (2FA).
- CMS и плагины обновляются не реже 1 раза в месяц; критические патчи ставятся в день выхода.
- Журналы веб‑сервера и доступа к базе данных хранятся 90 дней и доступны только DPO.
- Перечень мер пересматривается DPO ежегодно и расширяется по мере роста инфраструктуры.
9. Реагирование на инциденты Реагирование на инциденты
9.1. При утечке ПД мы уведомляем Роскомнадзор в течение 24 часов и СПД — не позднее 72 часов с момента обнаружения.
9.2. Создана комиссия по расследованию инцидентов, отчёт хранится 5 лет.
10. Уничтожение ПД
10.1. Электронные носители очищаются посредством ГОСТ P 53339‑2009.
10.2. Бумажные копии уничтожаются методом шредирования (класс П‑5).
11. Ответственный за обработку ПД
DPO: Шабанов Мустафа Багадинович
тел.: +7 495 593‑14‑84
email: 916278786@mail.ru
12. Порядок изменения Политики Порядок изменения Политики
12.1. Мы вправе обновлять Политику. О существенных изменениях уведомляем за 30 календарных дней посредством push‑уведомления в личном кабинете и/или письма на e‑mail.
12.2. Архив предыдущих редакций доступен по запросу.
Приложение 1. Форма договора на обработку персональных данных
Договор на обработку персональных данных
г. Одинцово «____» __________ _____ г.
На основании Договора на оказание платных медицинских услуг ООО «ХэлсМед», далее Исполнитель в лице генерального директора Шабанова Мустафы Багадиновича и <ФИО>, <дата рождения>, далее Пациент, соблюдая требования Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», а также другими нормативными правовыми актами Российской Федерации в области защиты персональных данных и безопасности информации, заключили настоящий договор о нижеследующем:
- Термины и определения, используемые в настоящем Договоре, применяются в том значении, в котором они установлены в законодательстве Российской Федерации о персональных данных.
- Исполнитель обязуется обрабатывать персональные данные Пациента, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение в соответствии с перечнем, приведенным в п.7 настоящего Договора.
- Целью обработки персональных данных является оказание медицинских услуг должного качества, исполнение договора, связь, в том числе направление уведомлений, запросов и информации, касающихся оказания медицинских услуг.
- Исполнитель обязуется принять меры к обеспечению конфиденциальности и безопасности персональных данных предоставляемых Пациентом для обработки, и выполнять иные обязательства в соответствии с настоящим Договором.
- В случае своей ликвидации, Исполнитель обязуется незамедлительно уничтожить все полученные персональные данные.
- Если Исполнитель обязан в силу закона раскрыть персональные данные третьей стороне, он раскрывает эту информацию только этой стороне и только в той степени, насколько этого требует закон.
- Перечень персональных данных Пациента, обрабатываемых Исполнителем, включает в себя:
Фамилия, имя, отчество;
Дата, место рождения;
Возраст, пол;
Адрес, телефон, адрес электронной почты;
Сведения о месте работы и должности;
Сведения о документе удостоверяющем личность;
Номер: полиса ОМС, ДМС, СНИЛС;
Сведения о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью.
Медицинскую карту, результаты анализов.
- Исполнитель несет ответственность в соответствие с действующим законодательством РФ:
- за ненадлежащее проведение операций с персональными данными переданными ему Пациентом;
- за разглашение персональных данных;
- за действия, которые осуществляют сотрудники с персональными данными Пациента, повлекшие нарушения законодательства в области обработки и защиты персональных данных и (или) права субъектов персональных данных.
- Все споры и разногласия, возникшие в связи с исполнением настоящего Договора, его изменение, расторжение или признание недействительным, Стороны будут решать путем переговоров, а в остальных случаях стороны руководствуются действующим законодательством Российской Федерации.
- Стороны освобождаются от ответственности за частичное или полное неисполнение обязательств по настоящему Договору в случае, если оно явилось следствием действия обстоятельств непреодолимой силы (форс-мажорных), подтвержденных в установленном законодательством порядке.
- Договор вступает в силу со дня его подписания Сторонами и действует бессрочно.
- Договор составлен в 2 (двух) экземплярах, по одному для каждой из Сторон, имеющих одинаковую юридическую силу.
- Во всем, что не предусмотрено настоящим Договором, Стороны руководствуются действующим законодательством Российской Федерации.
Генеральный директор ООО «ХэлсМед»
______________________ /Шабанов М.Б./ | ПАЦИЕНТ
______________/________<ФИО>________/ |
© 2025 ООО «ХэлсМед». Все права защищены.