Политика обработки персональных данных
1. Термины
1.1. Оператор — Индивидуальный предприниматель Бочаров Матвей Михайлович, владелец сервиса «Хроника» (далее — «Сервис»).
1.2. Пользователь — физическое лицо, использующее Сервис: владелец клиники, специалист, SMM-сотрудник.
1.3. Субъект ПДн — клиент клиники, чьи персональные данные обрабатываются с помощью Сервиса.
1.4. ПДн — персональные данные в значении Федерального закона № 152-ФЗ «О персональных данных».
2. Правовые основания
2.1. Обработка ПДн ведётся в соответствии с:
- Конституцией РФ;
- Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных»;
- Федеральным законом № 242-ФЗ от 21.07.2014 (требование хранения ПДн граждан РФ на территории РФ);
- настоящей Политикой и публичной офертой Сервиса.
3. Какие данные обрабатываются
3.1. ПДн Пользователей Сервиса:
- фамилия, имя, отчество;
- e-mail или номер телефона (для входа в Сервис);
- роль в клинике (владелец, специалист, SMM);
- служебная информация: дата и время последнего входа, IP-адрес сессии, токен авторизации.
3.2. ПДн клиентов клиники (Субъектов ПДн):
- фамилия, имя клиента (в объёме, в котором они переданы из YCLIENTS или внесены вручную);
- номер телефона (при наличии);
- фотоизображения клиента в контексте процедур, выполняемых клиникой;
- комментарии специалиста к процедуре.
Фотоизображения процедур могут относиться к специальной категории персональных данных (информация о состоянии здоровья) в соответствии со статьёй 10 152-ФЗ. Обработка таких данных допускается только при наличии письменного согласия Субъекта ПДн.
4. Цели обработки
- предоставление функциональности Сервиса Пользователю;
- хранение архива процедур клиники;
- синхронизация с CRM-системой YCLIENTS по поручению Пользователя;
- оказание технической поддержки и улучшение качества Сервиса;
- выполнение требований 54-ФЗ при оформлении платежей.
5. Способы и сроки обработки
5.1. Обработка ведётся с использованием средств автоматизации. Все данные хранятся на серверах, физически расположенных на территории Российской Федерации (Яндекс.Облако, Yandex Object Storage).
5.2. Срок хранения данных:
- пока действует подписка Заказчика — бессрочно;
- после прекращения подписки — 90 (девяносто) календарных дней, далее данные удаляются;
- при поступлении запроса от Субъекта ПДн на удаление — в течение 30 дней.
6. Обязанности Пользователя
6.1. Пользователь (клиника) обязан:
- получать письменное согласие клиентов на обработку их фотоизображений и иных ПДн в Сервисе;
- информировать клиентов о факте и целях обработки;
- не использовать данные для целей, не связанных с оказанием услуг клиентам.
6.2. Оператор предоставляет Пользователю шаблон согласия клиента, доступный в кабинете владельца клиники.
7. Передача данных третьим лицам
7.1. Данные Субъектов ПДн передаются:
- в YCLIENTS (по запросу Пользователя, для синхронизации визитов);
- в ЮKassa (только данные Пользователя — для проведения платежей);
- хостинг-провайдеру (Яндекс.Облако, на условиях договора-поручения).
7.2. Иным третьим лицам данные не передаются, не продаются и не используются для рекламы.
8. Защита данных
- пароли пользователей хранятся в виде криптографических хешей (bcrypt);
- API-токены YCLIENTS шифруются на сервере (Fernet);
- доступ к файлам производится по подписанным ссылкам с ограниченным временем жизни;
- передача данных между приложением и сервером — только по защищённому HTTPS-соединению.
9. Права Субъекта ПДн
9.1. Субъект ПДн имеет право:
- получить сведения о составе его персональных данных, хранящихся в Сервисе;
- требовать уточнения, блокировки или удаления своих ПДн;
- отозвать согласие на обработку.
9.2. Обращения направляются на e-mail hi@hronika.app с указанием ФИО, контактных данных и сути обращения. Срок ответа — не более 30 дней.
10. Контактные данные оператора
Индивидуальный предприниматель Бочаров Матвей Михайлович
ОГРНИП: [указать]
ИНН: [указать]
E-mail: hi@hronika.app
Сайт: hronika.app