Политика обработки персональных данных

Редакция от [дата редакции]

Важно. Настоящий документ является рабочим проектом (черновиком-шаблоном) и подлежит обязательной проверке и утверждению юристом до публикации. Текст подготовлен с учётом практики законодательства РФ, но не заменяет юридическую экспертизу. Сервис обрабатывает данные о состоянии здоровья — это особая категория персональных данных. Соответствующие разделы настоящей Политики обязательно должны быть проверены и согласованы юристом до публикации.

Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки и защиты персональных данных пользователей сервиса Cortex.

1. Оператор персональных данных

Оператором является Общество с ограниченной ответственностью «ТЕХНОЛОГИИ КРАСОТЫ» (ИНН 7751264994, ОГРН 1237700571041), адрес: 108834, Россия, г. Москва, р-н Коммунарка, п. Коммунарка, ул. Потаповская Роща, дом 16, корпус 1, помещение 5П. Контакт по вопросам обработки персональных данных: info@cortexhealth.ru.

2. Цели обработки

  • Предоставление доступа к функциональности сервиса и исполнение договора
  • Хранение и систематизация загруженных пользователем результатов анализов
  • Формирование справочных интерпретаций, графиков и аналитики
  • Обработка платежей и оформление подписки
  • Связь с пользователем, поддержка и информирование

3. Перечень обрабатываемых данных

Оператор обрабатывает следующие категории данных:

  • Идентификационные и контактные данные: имя, адрес электронной почты, телефон
  • Учётные данные: логин, история действий в сервисе
  • Платёжная информация: факт и параметры платежа (реквизиты карты обрабатываются платёжным провайдером, Оператор их не хранит)
  • Технические данные: IP-адрес, тип устройства, cookie и аналогичные идентификаторы
Особая категория персональных данных (данные о состоянии здоровья). Сервис обрабатывает данные о состоянии здоровья пользователя: результаты лабораторных анализов и значения биомаркеров, а также — при подключении пользователем — показатели из приложения «Здоровье» (Apple Health): пульс покоя, вариабельность сердечного ритма, насыщение крови кислородом (SpO₂), кардиореспираторную выносливость (VO₂max), сон, активность, вес и иные метрики. Это специальная категория персональных данных, к которой закон предъявляет повышенные требования. Обработка таких данных осуществляется исключительно на основании отдельного информированного согласия субъекта персональных данных и прекращается при отзыве такого согласия. [Форму и порядок получения согласия на обработку данных о здоровье обязательно согласовать с юристом.]

4. Правовые основания обработки

  • Согласие субъекта персональных данных, в том числе отдельное согласие на обработку данных о состоянии здоровья
  • Исполнение договора, стороной которого является субъект персональных данных (публичная оферта)
  • Иные основания, предусмотренные ст. 6 и ст. 10 Федерального закона № 152-ФЗ

5. Передача данных третьим лицам

Для оказания услуг Оператор может привлекать третьих лиц на условиях конфиденциальности:

  • Платёжный провайдер (CloudPayments, РФ) — обработка платежей
  • Инфраструктура и хостинг: Vercel (фронтенд) и собственные серверы в Российской Федерации (Timeweb) для базы данных и файлов — размещение и работа сервиса
  • Anthropic, Inc. (сервис Claude, США) — автоматическая интерпретация результатов анализов и работа AI-ассистента; данные передаются исключительно для формирования ответа пользователю и не используются для обучения моделей
  • Яндекс.Метрика (РФ) — обезличенная веб-аналитика; запись действий пользователя (Вебвизор) отключена, данные о состоянии здоровья в аналитику не передаются
  • Сервис мгновенных уведомлений (мессенджер) — служебные уведомления команды о событиях в сервисе

Передача данных осуществляется в объёме, необходимом для выполнения соответствующих функций, на условиях конфиденциальности. Данные о состоянии здоровья не используются для рекламы, не продаются и не передаются третьим лицам в целях, не связанных с оказанием услуги Пользователю.

6. Трансграничная передача

Для автоматической интерпретации результатов анализов и работы AI-ассистента персональные данные, включая данные о состоянии здоровья, передаются компании Anthropic, Inc. (США) и обрабатываются на серверах за пределами Российской Федерации. США не включены в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. Такая трансграничная передача осуществляется при одновременном соблюдении условий:

  • наличие отдельного согласия Пользователя на трансграничную передачу с указанием страны-получателя (США) и получателя (Anthropic, Inc.)
  • предварительное уведомление Оператором уполномоченного органа (Роскомнадзора) о трансграничной передаче персональных данных (статья 12 Федерального закона № 152-ФЗ)
  • договорные меры защиты: конфиденциальность, ограничение хранения данных у получателя, шифрование канала передачи

Первичные сбор и хранение персональных данных граждан Российской Федерации обеспечиваются на серверах, расположенных на территории Российской Федерации, в соответствии с частью 5 статьи 18 Федерального закона № 152-ФЗ.

7. Сроки хранения

Персональные данные хранятся в течение срока действия согласия и/или договора, а также в течение сроков, установленных законодательством РФ. По достижении целей обработки или при отзыве согласия данные удаляются или обезличиваются. [Конкретные сроки хранения уточнить с юристом.]

8. Права субъекта персональных данных

Пользователь вправе:

  • получать сведения об обработке своих персональных данных
  • требовать уточнения, изменения или удаления данных
  • отозвать согласие на обработку, в том числе согласие на обработку данных о здоровье
  • обжаловать действия Оператора в уполномоченный орган (Роскомнадзор) или в суд

Для реализации прав направьте запрос на адрес info@cortexhealth.ru.

9. Меры защиты

Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, изменения, раскрытия или уничтожения, в том числе шифрование, разграничение доступа и регулярный контроль защищённости.