Правовой фонд · CODEVITA

Политика конфиденциальности

Как Интернет-ресурс CODEVITA собирает, обрабатывает и защищает персональные данные, включая специальные категории данных о здоровье, в Платформе CODEVITA.

Соответствует Закону РБ № 99-ЗGDPR-readyHIPAA-awareКонцепт-документ
Редакция 1.0/Действует с 01.01.2025/Оператор: команда Интернет-ресурса CODEVITA

Настоящий документ является демонстрационным образцом, подготовленным для концептуальной демонстрации Платформы, и не порождает юридических последствий до момента официального опубликования версии, согласованной с правовым департаментом Оператора.

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных, включая специальные категории данных о здоровье, собираемых и обрабатываемых Интернет-ресурсом CODEVITA (далее — «Оператор», «мы») при оказании услуг через Платформу CODEVITA (далее — «Платформа»).

1.2. Оператор осуществляет деятельность в соответствии с законодательством Республики Беларусь, в частности Законом Республики Беларусь от 07.05.2021 № 99-З «О персональных данных» (далее — «Закон РБ № 99-З»), а также применимым законодательством Европейского союза, включая General Data Protection Regulation (Regulation (EU) 2016/679, далее — «GDPR»), в отношении пользователей из соответствующих юрисдикций.

1.3. Политика применяется ко всем способам взаимодействия пользователя с Платформой, включая веб-приложение, мобильные приложения, NFC-устройства доступа и интегрированные сервисы партнёров.

1.4. Использование Платформы означает безоговорочное согласие пользователя с условиями Политики. В случае несогласия с каким-либо положением пользователь должен прекратить использование Платформы.

2. Какие данные обрабатываем

Оператор обрабатывает следующие категории персональных данных:

Общие персональные данные
  • Фамилия, имя, отчество (при наличии);
  • Электронная почта и номер телефона;
  • Дата рождения, пол, рост и вес (в целях расчёта метрик здоровья);
  • Адрес регистрации и фактического проживания (для B2B-аккаунтов клиник);
  • Учётные данные: логин, хэшированный пароль, история сессий.
Специальные категории данных (ст. 8 Закона РБ № 99-З, ст. 9 GDPR)
  • Сведения о состоянии здоровья, диагнозах, назначениях и медицинских заключениях;
  • Показания носимых устройств и медицинской техники: пульс, ЭКГ, сатурация, глюкоза, сон, активность;
  • Результаты лабораторных исследований, полученные через интеграцию с партнёрскими лабораториями;
  • Биометрические данные, используемые для NFC-доступа к профилю в клинике (хэш отпечатка/касания), обрабатываемые в соответствии со ст. 9 Закона РБ № 99-З.
Технические данные и логи
  • IP-адрес, тип браузера, операционная система, разрешение экрана;
  • Логи NFC-доступа: идентификатор устройства, идентификатор клиники, временная метка касания, длительность сессии;
  • Аудит-логи доступа к медицинским данным (audit log): кто, когда, к какой записи получил доступ и с какой целью;
  • Cookie-файлы и аналогичные идентификаторы (см. раздел 9).

2.1. Оператор не обрабатывает данные, относящиеся к расовой или национальной принадлежности, политическим взглядам, религиозным или философским убеждениям, за исключением случаев, прямо предусмотренных законом и прямо и недвусмысленно согласованных с пользователем.

4. Цели обработки

4.1. Персональные и медицинские данные обрабатываются строго для следующих заявленных целей:

  • предоставление функциональности Платформы: хранение единого медицинского профиля, агрегация показателей устройств, отображение трендов;
  • формирование контекста для ассистента VITA AI — структурирование данных пользователя для последующей подготовки медицинских summaries; VITA AI не ставит диагнозы и не принимает решений о лечении;
  • обеспечение NFC-доступа в клиниках-партнёрах — аутентификация пользователя по физическому касанию, передача ограниченного подмножества данных врачу;
  • аудит и безопасность — ведение журналов доступа, обнаружение несанкционированных действий, реагирование на инциденты;
  • обезличенная аналитика — агрегированные метрики использования Платформы; обработка персональных данных в аналитических целях осуществляется только при наличии отдельного согласия.

4.2. Оператор не использует персональные данные для принятия исключительно автоматизированных решений, порождающих правовые или иные существенные последствия для субъекта (ст. 22 GDPR, ст. 4 Закона РБ № 99-З).

5. Хранение и защита данных

5.1. Оператор применяет технические и организационные меры защиты, соответствующие требованиям ст. 15 Закона РБ № 99-З, Указа Президента Республики Беларусь от 25.06.2020 № 506 «О мерах по обеспечению защиты персональных данных», ст. 32 GDPR и применимых отраслевых стандартов (подход HIPAA Security Rule учитывается при взаимодействии с американскими контрагентами):

  • шифрование персональных данных в состоянии покоя (at-rest) с использованием алгоритмов AES-256;
  • шифрование данных при передаче (in-transit) с использованием TLS 1.2 или выше;
  • изолированное хранилище медицинских данных с отдельным контролем доступа и журналированием;
  • многофакторная аутентификация для административного доступа;
  • регулярное тестирование безопасности и внешние аудиты.

5.2. В отношении пользователей из Республики Беларусь хранение персональных данных осуществляется на серверах, расположенных на территории Республики Беларусь, в соответствии со ст. 5 Закона РБ № 99-З и Указом Президента РБ № 506.

5.3. Сроки хранения данных:

  • медицинские данные — на срок действия согласия субъекта; при отзыве согласия данные удаляются в течение 30 дней, за исключением случаев, когда закон требует иного;
  • общие персональные данные аккаунта — в течение срока действия учётной записи и 3 лет после её удаления в целях защиты от мошенничества;
  • логи NFC-доступа и журналы аудита — 5 лет в соответствии с требованиями применимого законодательства к медицинским организациям;
  • финансовые и налоговые документы — в сроки, установленные Налоговым кодексом Республики Беларусь;

6. Передача третьим лицам

6.1. Оператор не продаёт и не передаёт персональные данные третьим лицам в маркетинговых целях. Передача данных осуществляется только в следующих случаях:

  • клиники-партнёры — для предоставления NFC-доступа к профилю пациента; передаётся только минимально необходимое подмножество данных и только при активном согласии пользователя, оформленном через Согласие;
  • лаборатории-партнёры — для получения результатов исследований и их загрузки в медицинский профиль; обработка ведётся на основании договоров, заключённых Оператором с лабораториями;
  • обработчики (processors) по договору — облачные провайдеры инфраструктуры, сервисы аналитики; действуют исключительно по инструкции Оператора и обязаны соблюдать требования Закона РБ № 99-З и GDPR;
  • государственные органы — по законному запросу в случаях, предусмотренных законодательством Республики Беларусь и применимым правом.

6.2. При передаче данных Оператор заключает с обработчиком соглашение о конфиденциальности и обработке персональных данных, предусматривающее обязательства обработчика по обеспечению их безопасности (ст. 18 Закона РБ № 99-З, ст. 28 GDPR).

7. Права субъекта данных

7.1. Пользователь имеет следующие права в отношении своих персональных данных в соответствии со ст. 13 Закона РБ № 99-З и ст. 15–22 GDPR:

  • право на доступ к данным и получение информации об обработке (ст. 13 Закона РБ № 99-З, ст. 15 GDPR);
  • право на исправление неточных или неполных данных (ст. 13 Закона РБ № 99-З, ст. 16 GDPR);
  • право на удаление данных («право быть забытым»), когда закон не требует их хранения (ст. 17 GDPR);
  • право на ограничение обработки в случаях, предусмотренных законом (ст. 18 GDPR);
  • право на отзыв согласия в любой момент; отзыв не влияет на правомерность обработки, осуществлённой до отзыва;
  • право на портабельность данных — получение своих данных в структурированном, широко используемом машинно-читаемом формате (ст. 20 GDPR);
  • право на возражение против обработки, основанной на законных интересах (ст. 21 GDPR);
  • право на подачу жалобы в надзорный орган: Национальный центр защиты персональных данных Республики Беларусь (НЦЗПД) при Оперативно-аналитическом центре при Президенте Республики Беларусь (ОАЦ) — для пользователей из Республики Беларусь, или компетентный орган ЕС-страны — для пользователей из ЕС.

7.2. Запросы о реализации прав направляются через личный кабинет Платформы или на адрес paripa.mol.by@xmail.ru. Оператор рассматривает запрос в срок, не превышающий 30 дней, с возможностью продления ещё на 60 дней в сложных случаях.

8. Международная передача данных

8.1. Трансграничная передача персональных данных осуществляется только при условии обеспечения адекватного уровня защиты в стране-получателе либо при наличии соответствующих гарантий в соответствии со ст. 21 Закона РБ № 99-З и главой V GDPR.

8.2. В качестве гарантий используются:

  • стандартные договорные clauses, утверждённые Европейской комиссией;
  • решение о адекватности защиты данных в стране-получателе;
  • обязательные корпоративные правила (BCR) для внутрикорпоративной передачи;
  • отдельное согласие субъекта на трансграничную передачу — в случаях, не охваченных выше.

8.3. Перечень стран, в которые осуществляется трансграничная передача, актуализируется и публикуется в личном кабинете пользователя.

9. Cookies и аналитика

9.1. Платформа использует cookies строго необходимые (essential cookies) для обеспечения базовой работоспособности: аутентификация, сохранение сессии, защита от CSRF. Эти cookies не требуют отдельного согласия.

9.2. Аналитические и маркетинговые cookies устанавливаются только при явном согласии пользователя, полученном через cookie-баннер. Пользователь может отозвать согласие в любой момент в настройках аккаунта.

9.3. Оператор не использует cookies для отслеживания на сторонних сайтах и не передаёт данные третьим лицам в рекламных целях.

10. Изменения политики

10.1. Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция размещается на этой странице с указанием даты вступления в силу.

10.2. В случае существенных изменений Оператор уведомляет пользователей по электронной почте и/или через баннер в Платформе не менее чем за 30 дней до вступления изменений в силу.

10.3. Продолжение использования Платформы после вступления изменений в силу означает согласие пользователя с обновлённой редакцией Политики.

11. Контакты DPO

11.1. С вопросами о защите персональных данных, реализацией прав или отзывом согласия следует обращаться к уполномоченному лицу по защите данных (Data Protection Officer, DPO):

Интернет-ресурс CODEVITA · DPO
Адрес: указывается в реквизитах договора.

11.2. Жалобы на действия Оператора могут быть направлены в Национальный центр защиты персональных данных Республики Беларусь (НЦЗПД) при Оперативно-аналитическом центре при Президенте Республики Беларусь (ОАЦ) или в компетентный надзорный орган ЕС-страны — для пользователей из ЕС.

© 2026 Интернет-ресурс CODEVITA. Настоящий документ является демонстрационным образцом и не порождает юридических последствий до официального опубликования.