Мед-Риск
МедикКлиника

Политика обработки персональных данных

Кратко (если коротко)

  1. 1.Храним ваши ответы 3 года, шифруем AES-256.
  2. 2.Серверы только в России (Selectel, Москва).
  3. 3.Никому не передаём, кроме CloudPayments (для оплаты) и CloudKassir/ОФД-партнёра (чек 54-ФЗ).
  4. 4.Удалим по запросу privacy@med-risk.ru в течение 30 дней.
  5. 5.Чек обязаны хранить 5 лет (ФНС, НК РФ).

Полная политика — ниже. Также см. «Ваши права» →

Политика обработки персональных данных сервиса «Мед-Риск»

Редакция от 28 апреля 2026. Место публикации: https://med-risk.ru/privacy (далее — «Сайт»).

Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»), Федеральным законом от 21.07.2014 № 242-ФЗ (далее — «242-ФЗ» — о локализации), приказами Роскомнадзора № 996 от 27.10.2022 и № 274 от 28.10.2022, Постановлением Правительства РФ от 01.11.2012 № 1119, иными нормативными правовыми актами РФ в области защиты персональных данных.

Политика распространяется на все персональные данные, которые Оператор получает от субъектов ПДн при использовании сервиса «Мед-Риск».

1. Термины и определения

В настоящей Политике используются следующие термины в значениях, установленных статьёй 3 152-ФЗ:

  • Оператор — лицо, организующее и (или) осуществляющее обработку персональных данных (реквизиты — см. п. 2);
  • Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн);
  • Субъект ПДн — физическое лицо, персональные данные которого обрабатывает Оператор;
  • Обработка ПДн — любое действие или совокупность действий, совершаемых с ПДн (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение);
  • Автоматизированная обработка — обработка с использованием средств вычислительной техники;
  • Сайт — информационный ресурс Оператора, размещённый по адресу https://med-risk.ru;
  • Услуга — информационно-консультационная услуга по оценке готовности медицинского/фармацевтического работника к периодической аккредитации либо услуга аудита сайта клиники.

2. Оператор персональных данных

Оператор: Индивидуальный предприниматель Самойлов Константин Олегович (бренд «Мед-Риск»)

  • ИНН: 501604988692
  • ОГРНИП: 325508100096890
  • ОКВЭД: 63.99.1
  • Система налогообложения: УСН-доходы (6%); НДС не облагается
  • Адрес (для переписки): 141280, Московская область, г. Пушкино, мкр. Ивантеевка, ул. Заводская, д. 2, кв. 13
  • Адрес электронной почты: privacy@med-risk.ru
  • Ответственный за организацию обработки ПДн: ИП Самойлов Константин Олегович, privacy@med-risk.ru
  • Реестровая запись Роскомнадзора: 77-25-486850 от 19.02.2025.

3. Принципы и условия обработки

3.1. Оператор осуществляет обработку ПДн в соответствии со следующими принципами (ст. 5 152-ФЗ):

  • законность и справедливость;
  • ограничение обработки конкретными, заранее определёнными и законными целями;
  • недопустимость обработки ПДн, несовместимой с целями сбора;
  • недопустимость объединения баз данных, цели обработки которых несовместимы;
  • обработка только тех ПДн, которые необходимы для достижения целей;
  • соответствие содержания и объёма обрабатываемых ПДн заявленным целям;
  • точность, достаточность, актуальность ПДн; при необходимости — обновление;
  • хранение в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки.

3.2. Обработка ПДн осуществляется с соблюдением следующих условий (ст. 6 152-ФЗ):

  • с согласия субъекта ПДн;
  • для исполнения договора, стороной которого является субъект ПДн (публичная оферта);
  • для осуществления прав и законных интересов Оператора, не нарушающих права субъекта;
  • для исполнения обязанностей, возложенных на Оператора законодательством РФ (в том числе 54-ФЗ — выдача чеков).

4. Цели обработки персональных данных

4.1. Оператор обрабатывает ПДн в следующих целях:

  • оказание Услуги: проведение опроса, формирование PDF-отчёта детерминированным правил-движком, доставка отчёта на email;
  • идентификация Заказчика как стороны договора по публичной оферте;
  • осуществление расчётов и выставление кассовых чеков (54-ФЗ);
  • информирование Заказчика о ходе оказания Услуги и результатах;
  • рассмотрение обращений и претензий;
  • обеспечение информационной безопасности сервиса, противодействие мошенничеству и злоупотреблениям;
  • ведение статистики, улучшение качества сервиса (по обезличенным данным);
  • исполнение иных обязанностей, возложенных на Оператора законодательством РФ.

5. Категории субъектов персональных данных

5.1. Оператор обрабатывает ПДн следующих категорий субъектов:

  • медицинских и фармацевтических работников Российской Федерации, использующих Сайт (в том числе лиц, проходящих или планирующих прохождение периодической аккредитации);
  • пользователей Сайта, заполняющих опросник;
  • лиц, направляющих Оператору обращения и претензии.

6. Состав обрабатываемых персональных данных

6.1. Идентификационные и контактные ПДн, предоставляемые субъектом ПДн добровольно:

  • фамилия, имя, отчество (при добровольном указании);
  • адрес электронной почты;
  • номер мобильного телефона (опционально).

6.2. Профессиональные данные:

  • специальность, квалификация, стаж;
  • ответы Пользователя на вопросы опросника о профессиональной деятельности и подготовке к периодической аккредитации.

6.3. Технические данные:

  • IP-адрес, тип и версия браузера, операционная система;
  • идентификаторы сессии и cookie (см. Политику использования файлов cookie);
  • логи действий на Сайте.

6.4. Платёжные данные:

  • токен и статус транзакции, получаемые от платёжного сервиса CloudPayments;
  • номер банковской карты Оператором не хранится.

6.5. Важно. Оператор не обрабатывает:

  • биометрические персональные данные (ст. 11 152-ФЗ);
  • специальные категории персональных данных (ст. 10 152-ФЗ);
  • сведения о состоянии здоровья.

Загрузка документов (сканов, фотографий, файлов) в сервисе не предусмотрена: всё взаимодействие с Сервисом ограничивается прохождением опросника и обработкой ответов.

7. Правовые основания обработки

7.1. Обработка ПДн осуществляется на следующих правовых основаниях:

  • согласие субъекта ПДн (ст. 6 ч. 1 п. 1 152-ФЗ) — базовое основание для всех категорий ПДн; выражается путём проставления отметки «Я даю согласие на обработку персональных данных» при прохождении опросника;
  • исполнение договора (ст. 6 ч. 1 п. 5 152-ФЗ) — публичная оферта, стороной которой становится субъект ПДн, производя оплату;
  • исполнение обязанностей, возложенных на Оператора (54-ФЗ, налоговое законодательство) — при выставлении кассовых чеков и ведении учёта.

8. Порядок и способы обработки

8.1. Обработка ПДн осуществляется смешанным способом — с использованием средств автоматизации (детерминированный правил-движок, веб-формы Сайта, базы данных) и без использования таковых (рассмотрение обращений и претензий).

8.2. Оператор не принимает решения, порождающие юридические последствия в отношении субъекта ПДн или иным образом затрагивающие его права и законные интересы, исключительно на основании автоматизированной обработки (ст. 16 152-ФЗ).

8.3. Формируемый Оператором отчёт носит рекомендательный информационный характер и не является юридически значимым решением.

9. Сроки обработки и хранения

9.1. Оператор хранит ПДн в течение следующих сроков:

| Категория ПДн | Срок хранения | Обоснование | |---|---|---| | Ответы опросника | 3 года | Защита прав Оператора, калибровка правил, разрешение претензий | | Email учётной записи | Срок жизни аккаунта + 30 дней | Поддержание доступа к личному кабинету | | Сгенерированные PDF-отчёты | 180 дней с момента формирования | Обеспечение доступа Заказчика к отчёту | | Фискальные данные (чеки, суммы, даты) | 5 лет | НК РФ ст. 23 | | Согласия на обработку ПДн | Срок действия + 5 лет | Доказательство правомерности обработки | | Логи доступа и безопасности | 12 месяцев | Информационная безопасность, расследование инцидентов | | Обезличенные статистические данные | Бессрочно | Аналитика использования сервиса |

9.2. По истечении установленных сроков ПДн подлежат уничтожению или обезличиванию в порядке, предусмотренном внутренними регламентами Оператора.

9.3. При отзыве субъектом ПДн согласия на обработку Оператор прекращает обработку в течение 10 рабочих дней и уничтожает ПДн в течение 30 дней с момента получения отзыва, если иное не предусмотрено законодательством РФ.

10. Локализация в РФ. Передача персональных данных

10.1. В соответствии с ч. 5 ст. 18 152-ФЗ запись, систематизация, накопление, хранение, уточнение, извлечение персональных данных граждан РФ осуществляется на серверах, находящихся на территории Российской Федерации:

  • хостинг-провайдер: ООО «Селектел» (Selectel), дата-центр в г. Москва, зона ru-6a.

10.2. Оператор может передавать ПДн следующим категориям третьих лиц на основании поручения обработки (ст. 6 ч. 3 152-ФЗ):

  • платёжный сервис — CloudPayments (ООО «КлаудПэйментс», ИНН 7708806062) — для проведения платежей;
  • сервис фискализации чеков — CloudKassir (партнёрский сервис CloudPayments) — для выдачи кассовых чеков по 54-ФЗ;
  • email-провайдер — Unisender Go (ООО «Юнисендер Рус», ИНН 7728827409) — для доставки отчётов и уведомлений;
  • органы государственной власти — в случаях и в объёме, предусмотренных законодательством РФ.

10.3. Со всеми третьими лицами, которым поручена обработка ПДн, Оператор заключает договоры, содержащие обязанности по обеспечению конфиденциальности и безопасности ПДн (ст. 6 ч. 3 152-ФЗ).

10.4. Трансграничная передача ПДн не осуществляется. Все серверы хранения ПДн размещены на территории Российской Федерации в соответствии с требованиями ст. 18 ч. 5 152-ФЗ (локализация, 242-ФЗ).

10.5. Оператор не передаёт ПДн в страны, не обеспечивающие адекватной защиты прав субъектов ПДн, и не использует облачные сервисы зарубежных провайдеров для хранения ПДн.

11. Права субъекта персональных данных

11.1. В соответствии со ст. 14, 18, 20, 21 152-ФЗ субъект ПДн имеет право:

  • получать информацию, касающуюся обработки его ПДн (факт обработки, правовые основания, цели, перечень обрабатываемых ПДн, сроки);
  • требовать уточнения, блокирования или уничтожения ПДн, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей;
  • отозвать согласие на обработку ПДн (ч. 2 ст. 9);
  • требовать прекращения обработки ПДн;
  • возражать против обработки в целях продвижения услуг (ст. 15);
  • обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке (ст. 17);
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

11.2. Для реализации своих прав субъект ПДн направляет Оператору обращение в письменной форме по адресу электронной почты privacy@med-risk.ru. Обращение должно содержать:

  • ФИО, адрес электронной почты, иные идентифицирующие данные;
  • сведения, подтверждающие участие субъекта в отношениях с Оператором (например, идентификатор проверки);
  • существо обращения и подпись (при направлении на бумаге).

11.3. Срок рассмотрения обращения — не более 10 рабочих дней с возможностью продления ещё на 5 рабочих дней с уведомлением субъекта (приказ РКН от 24.03.2023 № 28).

11.4. Подробное описание прав субъектов ПДн размещено на странице https://med-risk.ru/legal/data-rights.

12. Меры по обеспечению безопасности персональных данных

12.1. Оператор принимает следующие организационно-технические меры для защиты ПДн:

  • определение угроз безопасности ПДн при их обработке в информационных системах;
  • назначение ответственного за организацию обработки ПДн;
  • принятие локальных нормативных актов Оператора по вопросам обработки и защиты ПДн;
  • ограничение доступа к ПДн: доступ предоставляется только уполномоченным лицам в объёме, необходимом для выполнения их обязанностей;
  • применение шифрования ПДн при передаче (HTTPS / TLS 1.3) и при хранении (шифрование чувствительных полей в базе данных);
  • использование подготовленных запросов (prepared statements) для защиты от SQL-инъекций;
  • защита от перебора (fail2ban) и ограничение скорости запросов (rate-limiting);
  • регулярное резервное копирование с шифрованием и контроль целостности данных;
  • ведение журнала доступа и действий (аудит-лог);
  • применение средств защиты информации, прошедших оценку соответствия требованиям законодательства РФ (при необходимости);
  • регулярная оценка рисков и пересмотр мер защиты.

12.2. Для маскирования ПДн в технических логах Оператор применяет следующие подходы: в логи не пишутся ФИО, контактные данные; события привязываются к идентификатору проверки.

13. Реакция на инциденты

13.1. В соответствии с ч. 22.1 ст. 21 152-ФЗ Оператор обязан:

  • в течение 24 часов с момента выявления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкших нарушение прав субъектов, — уведомить Роскомнадзор через портал pd.rkn.gov.ru;
  • в течение 72 часов — направить в Роскомнадзор сведения о результатах внутреннего расследования и лицах, действия которых привели к инциденту;
  • уведомить затронутых субъектов персональных данных в порядке и случаях, установленных ст. 21 152-ФЗ.

14. Файлы cookie и аналогичные технологии

14.1. Порядок использования файлов cookie описан в отдельном документе — «Политика использования файлов cookie».

15. Изменения Политики

15.1. Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция доступна по адресу https://med-risk.ru/privacy.

15.2. При существенных изменениях Оператор уведомляет субъектов ПДн путём публикации на Сайте и/или направления уведомления по адресу электронной почты не менее чем за 10 рабочих дней до вступления изменений в силу.

15.3. Продолжение использования Сайта после публикации новой редакции Политики означает согласие субъекта ПДн с её условиями.

16. Контакты для обращений

  • Адрес электронной почты: privacy@med-risk.ru
  • Почтовый адрес: 141280, Московская область, г. Пушкино, мкр. Ивантеевка, ул. Заводская, д. 2, кв. 13
  • Контроль в сфере ПДн: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), 109992, г. Москва, Китайгородский пр-д, д. 7, стр. 2, сайт: https://rkn.gov.ru.

Дата редакции: 28 апреля 2026. Оператор: Индивидуальный предприниматель Самойлов Константин Олегович.