Политика обработки персональных данных

Редакция от 1 марта 2026 г.

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — Политика) определяет порядок обработки и защиты персональных данных пользователей сервиса «Звёздочка» (далее — Сервис), доступного по адресу zzzai.ru.

1.2. Оператором персональных данных является индивидуальный предприниматель / юридическое лицо, осуществляющее деятельность под наименованием «Звёздочка» (далее — Оператор).

1.3. Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152), Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Постановлением Правительства РФ от 01.11.2012 № 1119, иными нормативными правовыми актами РФ в области персональных данных.

1.4. Политика действует в отношении всех персональных данных, которые Оператор получает от субъектов персональных данных через Сервис, веб-сайт zzzai.ru, а также в рамках исполнения договоров с медицинскими организациями.

1.5. Использование Сервиса, заполнение форм на сайте и нажатие кнопок отправки означает безоговорочное согласие пользователя с настоящей Политикой. В случае несогласия с условиями Политики пользователь должен прекратить использование Сервиса.

2. Основные понятия

В настоящей Политике используются следующие понятия:

  • Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
  • Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без них, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
  • Оператор — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, определяющее цели обработки, состав данных и совершаемые с ними действия.
  • Специальные категории персональных данных — данные, касающиеся состояния здоровья, в том числе аудиозаписи медицинских приёмов, транскрибированные тексты и структурированные медицинские записи.
  • Медицинская организация (Клиника) — юридическое лицо или индивидуальный предприниматель, заключивший договор с Оператором на использование Сервиса.

3. Цели обработки персональных данных

Оператор обрабатывает персональные данные в следующих целях:

  • Предоставление доступа к Сервису и его функциональным возможностям.
  • Исполнение обязательств по договорам с Медицинскими организациями.
  • Запись, транскрибация и структуризация аудио медицинских приёмов с использованием технологий искусственного интеллекта для формирования медицинских протоколов.
  • Обработка обращений, поступающих через формы обратной связи на сайте (имя, телефон, электронная почта).
  • Идентификация и аутентификация пользователей Сервиса.
  • Направление информационных уведомлений, связанных с использованием Сервиса.
  • Улучшение качества Сервиса и его пользовательского интерфейса.
  • Выполнение требований законодательства Российской Федерации.

4. Правовые основания обработки

Обработка персональных данных осуществляется на следующих правовых основаниях:

  • Согласие субъекта персональных данных на обработку (ст. 6, ч. 1, п. 1; ст. 10, ч. 2, п. 1 ФЗ-152).
  • Исполнение договора, стороной которого является субъект персональных данных, либо договора с Медицинской организацией (ст. 6, ч. 1, п. 5 ФЗ-152).
  • Обработка специальных категорий данных (данных о здоровье) — на основании письменного согласия субъекта либо в целях оказания медицинской помощи при условии, что обработка осуществляется лицом, обязанным сохранять врачебную тайну (ст. 10, ч. 2, п. 4 ФЗ-152).
  • Осуществление прав и законных интересов Оператора (ст. 6, ч. 1, п. 7 ФЗ-152).

5. Категории субъектов и обрабатываемых данных

5.1. Посетители сайта

При заполнении форм на сайте zzzai.ru обрабатываются:

  • Фамилия, имя, отчество.
  • Должность.
  • Номер телефона.
  • Адрес электронной почты.

5.2. Пользователи Сервиса (врачи, медицинский персонал)

  • Фамилия, имя, отчество.
  • Должность, специализация.
  • Контактные данные (телефон, электронная почта).
  • Учётные данные (логин, хеш пароля).
  • Данные об использовании Сервиса (журнал действий).

5.3. Специальные категории: данные о здоровье пациентов

В рамках оказания услуг Медицинским организациям Сервис обрабатывает:

  • Аудиозаписи медицинских приёмов.
  • Транскрибированный текст медицинских приёмов.
  • Структурированные медицинские данные: жалобы, данные осмотра, диагноз, план лечения, рекомендации.
  • Персональные данные пациентов, содержащиеся в аудиозаписях (имя, возраст, анамнез).

Обработка данных пациентов осуществляется на основании договора поручения обработки с Медицинской организацией (ч. 3 ст. 6 ФЗ-152). Медицинская организация как оператор данных пациентов обязана самостоятельно получить согласие пациента на передачу данных Оператору.

6. Способы обработки персональных данных

6.1. Обработка персональных данных осуществляется автоматизированным способом с использованием информационной системы персональных данных (ИСПДн).

6.2. Сервис использует технологии искусственного интеллекта для транскрибации аудиозаписей и структуризации медицинских данных. Обработка данных с использованием ИИ осуществляется на собственной инфраструктуре Оператора (self-hosted) без передачи данных сторонним сервисам.

6.3. Результаты обработки с использованием ИИ не являются окончательными и подлежат проверке и подтверждению врачом.

6.4. Персональные данные не используются для обучения моделей искусственного интеллекта.

7. Передача персональных данных третьим лицам

7.1. Оператор вправе передавать персональные данные третьим лицам в следующих случаях:

  • Для целей обработки по поручению Оператора на основании договора (ч. 3 ст. 6 ФЗ-152).
  • По требованию уполномоченных государственных органов в случаях, предусмотренных законодательством РФ.

7.2. Лица, которым может осуществляться передача данных:

  • Хостинг-провайдер — хранение данных на серверах, расположенных на территории Российской Федерации.

7.3. Обработка данных с использованием технологий искусственного интеллекта (распознавание речи, анализ и структуризация текста) осуществляется исключительно на собственной инфраструктуре Оператора. Персональные данные не передаются сторонним ИИ-сервисам и облачным платформам.

7.4. При передаче данных Оператор обеспечивает обязанность третьих лиц по соблюдению конфиденциальности и безопасности персональных данных.

8. Трансграничная передача персональных данных

8.1. Оператор не осуществляет трансграничную передачу персональных данных. Все серверы, на которых хранятся и обрабатываются данные, расположены на территории Российской Федерации.

8.2. В соответствии с ч. 5 ст. 18 ФЗ-152 при сборе персональных данных с использованием информационно-телекоммуникационных сетей Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации.

9. Сроки обработки и хранения

  • Данные посетителей сайта (формы обратной связи) — хранятся до достижения цели обработки, но не более 3 (трёх) лет с момента получения.
  • Данные пользователей Сервиса (учётные записи врачей) — на период действия договора с Медицинской организацией и в течение 3 (трёх) лет после его расторжения.
  • Медицинские данные (аудиозаписи, транскрипты, протоколы) — на период, определённый договором с Медицинской организацией. По умолчанию — не более 1 (одного) года с момента создания записи, если договором не предусмотрено иное. Медицинская организация может запросить удаление данных до истечения указанного срока.

По истечении сроков хранения персональные данные уничтожаются в течение 30 (тридцати) дней.

10. Права субъекта персональных данных

Субъект персональных данных имеет право:

  • Получать информацию, касающуюся обработки его персональных данных (ст. 14 ФЗ-152). Сведения предоставляются субъекту или его представителю при обращении либо при получении запроса. Ответ направляется в течение 10 рабочих дней с момента получения запроса.
  • Требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ст. 21 ФЗ-152).
  • Отозвать согласие на обработку персональных данных, направив письменное заявление Оператору (ст. 9, ч. 2 ФЗ-152).
  • Обжаловать действия или бездействие Оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке (ст. 17 ФЗ-152).
  • Защищать свои права и законные интересы, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

Для реализации указанных прав необходимо направить запрос на адрес электронной почты: privacy@zzzai.ru.

11. Меры по защите персональных данных

11.1. Организационные меры

  • Назначен ответственный за организацию обработки персональных данных.
  • Утверждены локальные акты по вопросам обработки и защиты персональных данных.
  • Сотрудники, имеющие доступ к персональным данным, ознакомлены с требованиями законодательства и подписали обязательства о неразглашении.
  • Осуществляется регулярный внутренний контроль соответствия обработки требованиям ФЗ-152.
  • Проведена оценка вреда, который может быть причинён субъектам персональных данных.

11.2. Технические меры

  • Шифрование данных при передаче по каналам связи (TLS/HTTPS).
  • Разграничение доступа к персональным данным на основе ролевой модели.
  • Многофакторная аутентификация пользователей.
  • Журналирование действий с персональными данными.
  • Межсетевое экранирование и системы обнаружения вторжений.
  • Регулярное резервное копирование.
  • Антивирусная защита серверной инфраструктуры.
  • Хранение паролей в хешированном виде.

12. Врачебная тайна

12.1. Сведения о факте обращения за медицинской помощью, состоянии здоровья, диагнозе и иные сведения, полученные при обследовании и лечении, составляют врачебную тайну (ст. 13 Федерального закона № 323-ФЗ).

12.2. Оператор обеспечивает режим врачебной тайны в отношении всех медицинских данных, обрабатываемых Сервисом. Разглашение таких данных третьим лицам не допускается, за исключением случаев, прямо предусмотренных законодательством РФ.

12.3. Все сотрудники и контрагенты Оператора, имеющие доступ к медицинским данным, обязаны соблюдать режим врачебной тайны.

13. Модель ответственности при работе с клиниками

13.1. При оказании услуг Медицинским организациям Оператор выступает в роли лица, осуществляющего обработку персональных данных по поручению оператора (Медицинской организации) в соответствии с ч. 3 ст. 6 ФЗ-152.

13.2. С каждой Медицинской организацией заключается договор, включающий условия поручения обработки персональных данных, определяющий: перечень обрабатываемых данных, цели обработки, перечень действий с данными, обязанности сторон по защите данных, порядок уничтожения данных при расторжении договора.

13.3. Медицинская организация самостоятельно обеспечивает получение согласия пациентов на обработку их персональных данных и на передачу данных Оператору для целей, предусмотренных договором.

14. Файлы cookie

14.1. Сайт zzzai.ru может использовать файлы cookie для обеспечения работоспособности сайта и сбора статистики посещений.

14.2. Пользователь может отключить обработку файлов cookie в настройках браузера. При этом некоторые функции сайта могут стать недоступными.

15. Уведомление об инцидентах

15.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов персональных данных, Оператор обязан:

  • В течение 24 часов уведомить Роскомнадзор о произошедшем инциденте.
  • В течение 72 часов уведомить Роскомнадзор о результатах внутреннего расследования.
  • Принять меры по устранению последствий инцидента и предотвращению аналогичных инцидентов в будущем.

16. Заключительные положения

16.1. Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция Политики размещается на сайте по адресу: zzzai.ru/privacy.

16.2. Новая редакция Политики вступает в силу с момента её размещения на сайте, если иное не предусмотрено новой редакцией Политики.

16.3. По всем вопросам, связанным с обработкой персональных данных, обращайтесь по адресу: privacy@zzzai.ru.

16.4. Действующая редакция хранится по адресу: zzzai.ru/privacy.html.