Настоящая Политика разработана во исполнение п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет цели, состав, принципы, условия и меры защиты при обработке персональных данных пользователей сервиса Biomedis-AI (далее — «Сервисы»).


1. Общие положения

1.1. Политика распространяется на все персональные данные, обрабатываемые Оператором при использовании Пользователями Сервисов (включая сайт, чат-боты/веб-формы).
1.2. Правовые основания обработки: Конституция РФ; 152-ФЗ «О персональных данных»; 149-ФЗ, 38-ФЗ, 126-ФЗ; иные НПА РФ; договоры с Пользователями; согласия субъектов ПДн; настоящая Политика.
1.3. Политика опубликована в свободном доступе на https://biomedis-ai.ru/.
1.4. Регистрируясь/оставляя данные на Сервисах или иным образом используя Сервисы, Пользователь выражает согласие на обработку персональных данных в целях и на условиях настоящей Политики.
1.5. Указание телефона и/или e-mail в формах Сервисов означает согласие на получение информационных (и, при отдельном согласии — рекламных) сообщений; отписка доступна по каждой рассылке.
1.6. Политика применяется к отношениям, возникшим до и после её утверждения, и только в рамках взаимодействия Пользователя с Оператором.
1.7. Оператор соблюдает принципы и условия обработки ПДн и обеспечивает их конфиденциальность.


2. Термины (извлечение)

Применяются термины 152-ФЗ: «персональные данные», «субъект персональных данных», «обработка», «оператор», «распространение», «предоставление», «блокирование», «уничтожение», «обезличивание», «информационная система персональных данных», «трансграничная передача персональных данных» и др. Под Сервисами понимаются онлайн-ресурсы Biomedis-AI (сайт, формы, чат-боты в мессенджерах), предоставляющие Пользователю функционал сервиса расшифровки и структурирования результатов медицинских анализов и смежных данных справочного характера.


3. Состав и категории персональных данных

3.1. Оператор обрабатывает минимально необходимый объём данных, соответствующий заявленным целям:

• идентификационные и контактные данные: ФИО, e-mail, телефон;
• учётные данные: логин (если есть), пароли/токены (хранятся в защищённой форме);
• демографические данные: пол, дата рождения/возраст, город/регион;
• данные о здоровье (специальная категория по ст. 10 152-ФЗ): результаты лабораторных анализов и иных исследований, данные из загруженных файлов (PDF/изображения), показатели норм/референсов, сопроводительный текст Пользователя;
• технические данные: cookies, IP-адрес, user-agent, дата/время действий, параметры сессии;
• переписка и запросы в поддержку;
• платёжные метаданные (при оплате услуг через платёжного партнёра) — в объёме, который необходим для подтверждения факта оплаты/возврата (Оператор не хранит полные реквизиты платёжных карт).

3.2. Иной объём данных, сообщённый Пользователем добровольно, также подлежит обработке в соответствии с настоящей Политикой.


4. Цели и правовые основания обработки
4.1. Цели:

• предоставление функционала Сервисов (загрузка и обработка анализов, формирование справочной информации и отчётов);
• регистрация/аутентификация, ведение личного кабинета (если предусмотрено);
• коммуникация по запросам Пользователя, техподдержка, уведомления о важных изменениях;
• улучшение качества Сервисов, аналитика использования, разработка новых функций (на обезличенных данных);
• исполнение договоров и расчётов с Пользователем;
• соблюдение требований закона (бухучёт, ответы на запросы госорганов).

4.2. Правовые основания: согласие субъекта ПДн (в т.ч. на спецкатегории); заключение и исполнение договора с Пользователем; исполнение обязанностей Оператора, установленных законом; реализация прав и законных интересов Оператора при условии не нарушения прав и свобод субъекта ПДн.
4.3. Обработка специальных категорий ПДн (данные о состоянии здоровья) осуществляется только при наличии отдельного письменного/электронного согласия Пользователя (см. отдельный документ «Согласие на обработку специальных категорий персональных данных»).


5. Условия и способы обработки

5.1. Обработка осуществляется с использованием и без использования средств автоматизации; смешанным способом.
5.2. Действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, обезличивание, предоставление (доступ), блокирование, удаление, уничтожение.
5.3. Источники получения: непосредственно от Пользователя через формы/ботов/загрузку файлов; при оплате — от платёжных партнёров в части статусов операций.
5.4. Локализация баз данных: хранение ПДн осуществляется на серверах/в облачной инфраструктуре, расположенных на территории РФ (за исключением законодательно допускаемых случаев трансграничной передачи — см. разд. 9).
5.5. Рассылки: отправляются на основании согласия; отписка доступна по ссылке в письме/сообщении или по запросу на morsenello@gmail.com.


6. Передача третьим лицам и обработка по поручению

6.1. Оператор может поручать обработку ПДн лицам-обработчикам по договору (хостинг-провайдеры, почтовые/смс-сервисы, службы мониторинга, аналитики и др.), обеспечивая требования конфиденциальности и безопасности.
6.2. Предоставление ПДн третьим лицам допускается:

• при наличии согласия субъекта ПДн;
• в целях исполнения договора с Пользователем;
• по законным требованиям госорганов и суда;
• в иных случаях, установленных законодательством РФ.

6.3. Если для реализации сервиса привлекаются медицинские организации/партнёры, передача данных о здоровье возможна только при наличии надлежащего согласия Пользователя и договора с таким партнёром.


7. Сроки хранения

7.1. ПДн хранятся в форме, позволяющей определить субъект ПДн, не дольше, чем этого требуют цели обработки, либо в течение сроков, установленных законом (бухучёт и др.).
7.2. По достижении целей либо при отзыве согласия (если иное не требуется законом) ПДн подлежат удалению/уничтожению в сроки, установленные локальными актами Оператора (обычно до 30 календарных дней), либо обезличиванию для статистических целей.


8. Безопасность ПДн

8.1. Оператор применяет необходимые правовые, организационные и технические меры (модели угроз, разграничение доступа, шифрование при передаче и хранении, резервирование, журналирование, обучение персонала, договорные обязательства конфиденциальности с подрядчиками и т.п.).
8.2. Оператор ведёт учёт инцидентов, проводит их расследование и, при необходимости, уведомляет Роскомнадзор и субъектов ПДн в сроки, предусмотренные законодательством.


9. Трансграничная передача

9.1. Трансграничная передача ПДн возможна при соблюдении требований 152-ФЗ (включая оценку уровня защиты в принимающем государстве и наличие согласия субъекта, где это необходимо).
9.2. До начала такой передачи Оператор обеспечивает проверку условий страны-получателя и наличие правовых оснований/гарантий; при отсутствии достаточной защиты — получает отдельное согласие Пользователя и/или применяет договорные гарантии.
9.3. По умолчанию Оператор стремится хранить и обрабатывать ПДн в РФ.


10. Права субъектов ПДн

Пользователь вправе:

• получать сведения об обработке своих ПДн;
• требовать уточнения, блокирования или уничтожения недостоверных/избыточных ПДн;
• отозвать согласие (в т.ч. на рассылки и на специальные категории ПДн);
• обжаловать действия/бездействие Оператора в Роскомнадзор или суд.

Запрос направляется на morsenello@gmail.com с темой «Запрос по персональным данным». Оператор ответит в течение 10 рабочих дней (с возможным продлением не более чем на 5 рабочих дней с направлением мотивированного уведомления).


11. Порядок реагирования на запросы и инциденты

11.1. При получении запроса субъекта Оператор подтверждает факт обработки, правовые основания и цели, категории ПДн, источники, сроки, перечень действий и др. сведения, предусмотренные ст. 14 152-ФЗ.
11.2. При выявлении неточностей Оператор блокирует соответствующие ПДн на срок проверки и в течение 7 рабочих дней уточняет их при наличии подтверждающих сведений.
11.3. При выявлении неправомерной обработки — блокирование и прекращение обработки; при инциденте — уведомление Роскомнадзора в установленные сроки.


12. Ответственность и отказ от гарантий

12.1. Контроль соблюдения Политики осуществляет уполномоченное лицо Оператора.
12.2. Лица, виновные в нарушении законодательства о ПДн, несут ответственность согласно законодательству РФ.
12.3. Пользователь несёт ответственность за достоверность предоставляемых данных.
12.4. Сервисы предоставляются «как есть»; Оператор не гарантирует бесперебойность и безошибочность работы, но предпринимает разумные меры для обеспечения доступности и безопасности.


13. Изменение Политики

13.1. Оператор вправе изменить Политику в одностороннем порядке. Актуальная редакция публикуется на https://biomedis-ai.ru/ и применяется к отношениям на будущее время.


14. Реквизиты Оператора (для идентификации)
ИП Гаянова Алина Альбертовна
ИНН: 165040223532 • ОГРНИП: 318169000102905
Адрес: 423800, РФ, Республика Татарстан, г. Набережные Челны, б-р Карима Тинчурина, д. 11, кв. 84
Банк: АО КБ «Модульбанк» • БИК: 044525092
Р/с: 40802810370010383777 • К/с: 30101810645250000092
E-mail: morsenello@gmail.com • Сайт: https://biomedis-ai.ru/