Политика в отношении обработки персональных данных

Настоящая Политика в отношении обработки персональных данных (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей Платформы Мила.Практис.

1.      Общие положения

1.1.   Оператором персональных данных является:
ИП Семенченко Егор Дмитриевич, ОГРНИП 326774600020788, ИНН 770201176079, г. Москва, e-mail: privacy@milapractice.ru (далее — «Оператор / Администратор»).

1.2.  Настоящая Политика разработана в соответствии с законодательством Российской Федерации о персональных данных и иными применимыми нормативными актами.

1.3.  Оператор обеспечивает неограниченный доступ к настоящей Политике.

1.4.  Используя платформу Mila Practice, вы подтверждаете, что ознакомлены с настоящей Политикой.

1.5.  В зависимости от категории данных и целей обработки Mila Practice может выступать:

1.5.1.  как самостоятельный оператор персональных данных;

1.5.2. как лицо, обрабатывающее персональные данные по поручению Специалиста.

2.     Категории субъектов персональных данных

Оператор может обрабатывать персональные данные следующих категорий субъектов:

• Посетители Платформы;

• Клиенты, самостоятельно зарегистрировавшиеся на Платформе;

• Специалисты;

• представители пользователей;

• лица, обращающиеся в поддержку;

• иные лица, чьи данные обрабатываются в рамках функциональности Платформы.

3.     Обработка персональных данных в статусе самостоятельного оператора

3.1.  Какие данные мы обрабатываем как оператор

3.1.1.       Данные, предоставляемые пользователем:

• фамилия, имя, отчество;

• номер телефона;

• адрес электронной почты;

• данные, передаваемые при авторизации через Telegram, Яндекс и иные доступные сервисы, в объеме, разрешенном пользователем и предоставляемом соответствующим сервисом;

• данные профиля Специалиста, включая фото, специализацию, биографию и иные сведения, которые Специалист размещает в публичной части Платформы;

• расписание Специалиста;

• данные о подписке, тарифе, платежах в пользу Платформы;

• данные обращений в поддержку;

• иные сведения, добровольно предоставленные пользователем при использовании Платформы.

3.1.2.      Данные, собираемые автоматически:

• IP-адрес;

• user-agent, сведения о браузере (тип и версия), устройстве, операционной системе;

• дата, время и технические сведения о действиях на Платформе;

• технические логи, сведения о сеансах, информация о безопасности, диагностике и использовании Платформы;

• данные аналитики, собираемые с использованием применяемых на Платформе инструментов аналитики (обезличенные, собираются через Umami — self-hosted решение, без использования cookies третьих сторон).

3.1.3.      Данные, связанные с использованием сервиса:

• сведения о регистрациях, авторизациях и аккаунте;

• сведения о самостоятельной записи пользователя к Специалисту;

• сведения о сервисных уведомлениях и настройках каналов связи;

• сведения, необходимые для публикации и администрирования профиля Специалиста и иных публичных разделов Платформы.

3.2. Цели обработки в статусе оператора

Оператор обрабатывает персональные данные для следующих целей:

• регистрация и авторизация пользователей;

• предоставление доступа к функциональности Платформы;

• исполнение договоров и соглашений с пользователями;

• направление сервисных уведомлений, связанных с использованием Платформы, безопасностью аккаунта, статусом записей, встреч, материалов, Подписки и иных существенных событий;

• направление рекламных и маркетинговых сообщений при наличии отдельного согласия;

• размещение и администрирование публичных профилей Специалистов;

• публикация, отображение и модерация материалов, размещаемых на Платформе;

• обеспечение работы поддержки;

• обеспечение информационной безопасности, предотвращение злоупотреблений и расследование инцидентов;

• ведение расчетов по Подписке Специалиста;

• исполнение требований законодательства;

• улучшение Платформы, в том числе на основе аналитики и статистики.

4.     Обработка персональных данных по поручению Специалиста

4.1.  В рамках оказания услуг Специалисту Оператор может обрабатывать отдельные категории данных его клиентов по поручению Специалиста.

4.2. К таким данным могут относиться:

• офлайн-карточки клиентов и данные клиентской базы Специалиста;

• контактные данные, внесенные Специалистом;

• заметки, задания, файлы и материалы, размещенные Специалистом в отношении клиента;

• аудиозаписи, создаваемые по решению Специалиста для транскрибирования;

• транскрипты, AI-заметки, саммари и иные результаты AI-обработки, относящиеся к взаимодействию Специалиста с его клиентом.

4.3. В этой части цели обработки, состав данных и правовые основания обработки определяются Специалистом как оператором персональных данных.

4.4. Администратор в этой части не определяет цели обработки данных клиента Специалиста и обрабатывает такие данные в объеме, необходимом для предоставления функциональности Платформы, в соответствии с поручением Специалиста.

4.5. Специалист самостоятельно несет ответственность за наличие законных оснований обработки таких данных, включая получение необходимых согласий, если они требуются по закону.

5.     Специальные категории персональных данных

5.1.  Платформа не предназначена для массовой и свободной загрузки специальных категорий персональных данных без надлежащего правового основания.

5.2. Если Специалист в силу характера своей деятельности использует Платформу для обработки специальных категорий персональных данных своих клиентов, он самостоятельно обеспечивает наличие предусмотренных законом оснований для такой обработки и несет ответственность за соблюдение соответствующих требований законодательства.

5.3. Оператор вправе ограничить, заблокировать или удалить материалы, если есть основания полагать, что через Платформу обрабатываются специальные категории персональных данных с нарушением закона.

6.     Перечень действий с персональными данными

Оператор может совершать с персональными данными следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение, а также иные действия, необходимые для достижения заявленных целей обработки.

7.     Хранение и локализация данных

7.1.  Все персональные данные хранятся на серверах, расположенных на территории Российской Федерации в соответствии с требованиями ст. 18 ФЗ-152 и ФЗ-23.

7.2.  Персональные данные не передаются и не хранятся на серверах за пределами Российской Федерации.

7.3.  По истечении сроков хранения данные уничтожаются автоматически.

7.4. Если пользователь использует внешние сервисы авторизации или каналы связи, включая Telegram и иные аналогичные сервисы, часть данных, необходимых для авторизации, доставки сервисных уведомлений, взаимодействия с ботом либо использования соответствующей функции, может обрабатываться в инфраструктуре такого внешнего сервиса по его собственным правилам и условиям.

7.5.  AI-обработка, используемая в рамках функциональности Платформы, осуществляется через сервисы, указанные в актуальном перечне третьих лиц и сервисов, привлекаемых при оказании сервиса и обработке данных.

8.     Сроки хранения персональных данных

8.1.  Персональные данные хранятся не дольше, чем этого требуют цели их обработки, если иной срок не установлен законом, договором либо технологически обоснованными процессами резервного копирования и обеспечения безопасности.

8.2. Сроки хранения данных:

9.     Передача персональных данных третьим лицам

9.1.  Оператор может передавать персональные данные третьим лицам в объеме, необходимом для достижения целей обработки, в том числе:

9.2. Оператор не продает персональные данные пользователей.

9.3. Порученные данные не используются для обучения собственных моделей искусственного интеллекта Оператора.

9.4. Если Пользователь выбирает Telegram, электронную почту, SMS или иной внешний канал связи, данные, необходимые для доставки уведомлений через такой канал, могут передаваться соответствующему провайдеру связи в объеме, необходимом для направления уведомления.

10.  Порядок удаления данных

10.1. Пользователь может запросить удаление аккаунта и всех связанных данных:

• через личный кабинет: «Настройки» → «Данные и конфиденциальность» → «Удалить аккаунт»;

• письменным запросом на адрес: privacy@milapractice.ru.

10.2.            После запроса на удаление предоставляется 30-дневный период для отмены решения. По истечении этого срока данные уничтожаются безвозвратно, за исключением данных, хранение которых предусмотрено законодательством (платёжные данные — 5 лет, логи аудита — 3 года).

11.   Файлы сookie и аналитика

11.1. Платформа использует минимально необходимые cookies для обеспечения работоспособности:

• Аутентификационные cookies (JWT-токены) для поддержания сессии пользователя;

• Аналитические.

11.2. Платформа не использует рекламные cookies и не передает данные рекламным сетям.

12.  Защита персональных данных

12.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

12.2. К таким мерам, в частности, относятся:

• шифрование данных при передаче (TLS 1.3);

• шифрование данных при хранении (AES-256);

• разграничение доступа на основе ролей;

• регулярное резервное копирование;

• журналирование всех операций с персональными данными (AuditLog);

• двухфакторная аутентификация для административного доступа;

• регулярный аудит безопасности.

13.  Права субъектов персональных данных

13.1. Субъект персональных данных вправе:

13.1.1. получать сведения об обработке его персональных данных;

13.1.2. требовать уточнения, блокирования или удаления его персональных данных при наличии оснований;

13.1.3. отозвать согласие на обработку персональных данных;

13.1.4. требовать прекращения обработки в предусмотренных законом случаях;

13.1.5. обжаловать действия Оператора в уполномоченный орган или в суд.

13.2. Запросы по вопросам обработки персональных данных направляются на адрес: privacy@milapractice.ru.

13.3. Если обращение касается данных, обрабатываемых Платформой по поручению Специалиста, Оператор вправе перенаправить такое обращение соответствующему Специалисту либо взаимодействовать с ним для надлежащего рассмотрения обращения.

14.  Несовершеннолетние

14.1. Если пользователь Платформы является несовершеннолетним, обработка его персональных данных осуществляется с учетом требований законодательства и, в необходимых случаях, при участии законного представителя.

14.2. Если несовершеннолетний является клиентом Специалиста, который использует Платформу для ведения своей практики, обязанность обеспечить наличие необходимых согласий законного представителя и иных правовых оснований возлагается на соответствующего Специалиста как оператора персональных данных своих клиентов.

15.  Уведомление об инцидентах

15.1. В случае инцидента, связанного с утечкой персональных данных, Оператор:

• уведомляет Роскомнадзор в течение 24 часов (первичное уведомление) и 72 часов (результаты расследования) в соответствии с требованиями законодательства;

• уведомляет затронутых пользователей через доступные каналы связи;

• принимает меры по устранению последствий инцидента.

16.  Изменение Политики

16.1. Оператор вправе изменять настоящую Политику.

16.2. Новая редакция Политики вступает в силу с момента ее размещения, если иной срок не указан в новой редакции.

16.3. Если изменения влекут необходимость получения нового согласия субъекта персональных данных, Оператор обеспечивает получение такого согласия в порядке, предусмотренном законом.

17.  Контакты

ИП Семенченко Егор Дмитриевич

ОГРНИП 326774600020788

ИНН 770201176079

E-mail по вопросам персональных данных: privacy@milapractice.ru