Политика конфиденциальности и обработки персональных данных

1. Общие положения

Настоящая Политика определяет порядок обработки персональных данных пользователей сервиса Med2099 (далее — Сервис) и меры по обеспечению безопасности персональных данных, принимаемые ООО «Технологии Репликации» (далее — Оператор).

Политика разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными нормативными правовыми актами Российской Федерации в области защиты персональных данных.

2. Оператор персональных данных

3. Цели обработки персональных данных

• регистрация и идентификация пользователя на Платформе, ведение учётной записи;
• оказание информационно-справочных услуг, включая работу AI-ассистента, интерпретацию биомаркеров, формирование персональных рекомендаций информационного характера;
• заключение и исполнение договорных обязательств, включая обработку платежей, оформление фискальных чеков, выполнение требований 54-ФЗ;
• информирование пользователя о статусе услуг, изменениях в Сервисе, новых продуктах и материалах (включая рекламные рассылки — при наличии согласия);
• обеспечение информационной безопасности, противодействие мошенничеству и злоупотреблениям;
• соблюдение требований законодательства Российской Федерации, в том числе ответы на запросы уполномоченных государственных органов.

4. Перечень обрабатываемых персональных данных

Оператор обрабатывает следующие категории персональных данных:

• Идентификационные: фамилия, имя, отчество (при указании пользователем), адрес электронной почты, номер мобильного телефона.
• Учётные: идентификатор пользователя, хешированный пароль, журналы входа, IP-адрес, информация об устройстве и браузере.
• Анкетные: пол, дата рождения, рост, вес, образ жизни, цели — при заполнении опросника долголетия.
• Медико-биологические (специальная категория): результаты лабораторных анализов и биомаркеров, добровольно загруженных пользователем; данные о приёме нутрицевтиков и пептидов, указанные пользователем. Обработка таких данных осуществляется на основании письменного (электронного) согласия пользователя в соответствии с ч. 1 ст. 10 152-ФЗ.
• Платёжные: сведения о факте и сумме платежа, идентификаторы транзакций. Полные реквизиты банковских карт Оператор не обрабатывает и не хранит — они обрабатываются провайдером ЮKassa (ООО «ЮMoney»).
• Коммуникационные: история диалогов с AI-ассистентом, сообщения, направленные в службу поддержки.

5. Правовые основания обработки

• согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 152-ФЗ);
• исполнение договора, стороной которого является субъект персональных данных (п. 5 ч. 1 ст. 6 152-ФЗ);
• исполнение обязанностей, предусмотренных законодательством Российской Федерации (п. 2 ч. 1 ст. 6 152-ФЗ), в том числе 54-ФЗ;
• для специальных категорий данных (медико-биологических) — письменное согласие пользователя (ч. 2 ст. 10 152-ФЗ).

6. Способы и сроки обработки

Обработка осуществляется с использованием средств автоматизации и без таковых, включает сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

Сроки хранения определяются целями обработки: учётные и анкетные данные — до момента удаления учётной записи и в течение 3 лет после; платёжные и фискальные сведения — в течение сроков, установленных законодательством (не менее 5 лет); согласия — 3 года с момента отзыва. Медико-биологические данные удаляются по запросу пользователя, либо при удалении учётной записи.

7. Передача третьим лицам

Оператор может передавать персональные данные следующим категориям третьих лиц на основании заключённых договоров поручения обработки (ст. 6 ч. 3 152-ФЗ):

• провайдеру платежей ЮKassa (ООО «ЮMoney») — для приёма платежей и выдачи фискальных чеков (54-ФЗ);
• провайдерам облачной инфраструктуры на территории Российской Федерации — для размещения сервиса;
• операторам связи и провайдерам e-mail/SMS — для отправки уведомлений;
• партнёрам по подключённым LLM-моделям — для работы AI-ассистента (передаются обезличенные тексты запросов);
• уполномоченным государственным органам — по основаниям, прямо предусмотренным законодательством Российской Федерации.

8. Трансграничная передача

По умолчанию обработка персональных данных российских граждан осуществляется на серверах, расположенных на территории Российской Федерации, в соответствии с ч. 5 ст. 18 152-ФЗ. Любая трансграничная передача допускается только при наличии надлежащего уведомления Роскомнадзора и при соблюдении ст. 12 152-ФЗ.

9. Меры защиты данных

• шифрование каналов связи (TLS 1.2+);
• хеширование паролей с использованием стойких алгоритмов;
• разграничение прав доступа сотрудников;
• журналирование действий администраторов;
• резервное копирование с шифрованием;
• организационные меры: внутренние регламенты, инструктаж сотрудников, оформление обязательств о неразглашении.

10. Права субъекта персональных данных

В соответствии со ст. 14 152-ФЗ субъект персональных данных вправе:

• получать сведения об обработке своих персональных данных;
• требовать уточнения, блокирования или уничтожения персональных данных в случае их неполноты, неактуальности, недостоверности или неправомерной обработки;
• отозвать согласие на обработку персональных данных;
• обжаловать действия (бездействие) Оператора в Роскомнадзоре (адрес: 109074, г. Москва, Китайгородский пр., д. 7, стр. 2) или в судебном порядке.

Запросы и обращения направляются на e-mail info@techrepl.ru либо по почтовому адресу Оператора. Срок рассмотрения — 30 дней.

11. Cookies и аналитика

Сервис использует файлы cookies и аналогичные технологии для обеспечения работы авторизации, запоминания пользовательских настроек, анализа посещаемости и качества работы Платформы. Пользователь может запретить использование cookies в настройках браузера, однако это может привести к ограничению функциональности Сервиса.

12. Изменение политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция размещается по постоянному адресу и вступает в силу с момента публикации, если иное прямо не указано в новой редакции.

13. Контакты Оператора