Политика конфиденциальности
Как Интернет-ресурс CODEVITA собирает, обрабатывает и защищает персональные данные, включая специальные категории данных о здоровье, в Платформе CODEVITA.
Настоящий документ является демонстрационным образцом, подготовленным для концептуальной демонстрации Платформы, и не порождает юридических последствий до момента официального опубликования версии, согласованной с правовым департаментом Оператора.
1. Общие положения
1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных, включая специальные категории данных о здоровье, собираемых и обрабатываемых Интернет-ресурсом CODEVITA (далее — «Оператор», «мы») при оказании услуг через Платформу CODEVITA (далее — «Платформа»).
1.2. Оператор осуществляет деятельность в соответствии с законодательством Республики Беларусь, в частности Законом Республики Беларусь от 07.05.2021 № 99-З «О персональных данных» (далее — «Закон РБ № 99-З»), а также применимым законодательством Европейского союза, включая General Data Protection Regulation (Regulation (EU) 2016/679, далее — «GDPR»), в отношении пользователей из соответствующих юрисдикций.
1.3. Политика применяется ко всем способам взаимодействия пользователя с Платформой, включая веб-приложение, мобильные приложения, NFC-устройства доступа и интегрированные сервисы партнёров.
1.4. Использование Платформы означает безоговорочное согласие пользователя с условиями Политики. В случае несогласия с каким-либо положением пользователь должен прекратить использование Платформы.
2. Какие данные обрабатываем
Оператор обрабатывает следующие категории персональных данных:
- Фамилия, имя, отчество (при наличии);
- Электронная почта и номер телефона;
- Дата рождения, пол, рост и вес (в целях расчёта метрик здоровья);
- Адрес регистрации и фактического проживания (для B2B-аккаунтов клиник);
- Учётные данные: логин, хэшированный пароль, история сессий.
- Сведения о состоянии здоровья, диагнозах, назначениях и медицинских заключениях;
- Показания носимых устройств и медицинской техники: пульс, ЭКГ, сатурация, глюкоза, сон, активность;
- Результаты лабораторных исследований, полученные через интеграцию с партнёрскими лабораториями;
- Биометрические данные, используемые для NFC-доступа к профилю в клинике (хэш отпечатка/касания), обрабатываемые в соответствии со ст. 9 Закона РБ № 99-З.
- IP-адрес, тип браузера, операционная система, разрешение экрана;
- Логи NFC-доступа: идентификатор устройства, идентификатор клиники, временная метка касания, длительность сессии;
- Аудит-логи доступа к медицинским данным (audit log): кто, когда, к какой записи получил доступ и с какой целью;
- Cookie-файлы и аналогичные идентификаторы (см. раздел 9).
2.1. Оператор не обрабатывает данные, относящиеся к расовой или национальной принадлежности, политическим взглядам, религиозным или философским убеждениям, за исключением случаев, прямо предусмотренных законом и прямо и недвусмысленно согласованных с пользователем.
3. Правовые основания обработки
3.1. Обработка персональных данных осуществляется на следующих правовых основаниях в соответствии со ст. 5–7 Закона РБ № 99-З и ст. 6 GDPR:
- согласие субъекта персональных данных (ст. 6 Закона РБ № 99-З, ст. 6(1)(a) GDPR) — для обработки общих и специальных категорий данных, не охваченных иными основаниями;
- исполнение договора, стороной которого является субъект (ст. 6(1)(b) GDPR, п. 3 ст. 7 Закона РБ № 99-З) — для оказания услуг по подписке и предоставления доступа к Платформе;
- законная обязанность Оператора (ст. 6(1)(c) GDPR, п. 1 ст. 7 Закона РБ № 99-З) — например, хранение логов аудита и налоговой документации;
- жизненно важные интересы (ст. 6(1)(d) GDPR) — для экстренного предоставления медицинских данных врачу при неотложных состояниях через NFC-доступ;
- законные интересы Оператора (ст. 6(1)(f) GDPR) — обеспечение безопасности, предотвращение мошенничества, обезличенная статистика.
3.2. Обработка специальных категорий данных о здоровье осуществляется в соответствии со ст. 8 Закона РБ № 99-З и ст. 9(2) GDPR при наличии письменного (или приравненного к нему электронного) согласия субъекта, оформленного отдельно в соответствии с Согласием на обработку.
4. Цели обработки
4.1. Персональные и медицинские данные обрабатываются строго для следующих заявленных целей:
- предоставление функциональности Платформы: хранение единого медицинского профиля, агрегация показателей устройств, отображение трендов;
- формирование контекста для ассистента VITA AI — структурирование данных пользователя для последующей подготовки медицинских summaries; VITA AI не ставит диагнозы и не принимает решений о лечении;
- обеспечение NFC-доступа в клиниках-партнёрах — аутентификация пользователя по физическому касанию, передача ограниченного подмножества данных врачу;
- аудит и безопасность — ведение журналов доступа, обнаружение несанкционированных действий, реагирование на инциденты;
- обезличенная аналитика — агрегированные метрики использования Платформы; обработка персональных данных в аналитических целях осуществляется только при наличии отдельного согласия.
4.2. Оператор не использует персональные данные для принятия исключительно автоматизированных решений, порождающих правовые или иные существенные последствия для субъекта (ст. 22 GDPR, ст. 4 Закона РБ № 99-З).
5. Хранение и защита данных
5.1. Оператор применяет технические и организационные меры защиты, соответствующие требованиям ст. 15 Закона РБ № 99-З, Указа Президента Республики Беларусь от 25.06.2020 № 506 «О мерах по обеспечению защиты персональных данных», ст. 32 GDPR и применимых отраслевых стандартов (подход HIPAA Security Rule учитывается при взаимодействии с американскими контрагентами):
- шифрование персональных данных в состоянии покоя (at-rest) с использованием алгоритмов AES-256;
- шифрование данных при передаче (in-transit) с использованием TLS 1.2 или выше;
- изолированное хранилище медицинских данных с отдельным контролем доступа и журналированием;
- многофакторная аутентификация для административного доступа;
- регулярное тестирование безопасности и внешние аудиты.
5.2. В отношении пользователей из Республики Беларусь хранение персональных данных осуществляется на серверах, расположенных на территории Республики Беларусь, в соответствии со ст. 5 Закона РБ № 99-З и Указом Президента РБ № 506.
5.3. Сроки хранения данных:
- медицинские данные — на срок действия согласия субъекта; при отзыве согласия данные удаляются в течение 30 дней, за исключением случаев, когда закон требует иного;
- общие персональные данные аккаунта — в течение срока действия учётной записи и 3 лет после её удаления в целях защиты от мошенничества;
- логи NFC-доступа и журналы аудита — 5 лет в соответствии с требованиями применимого законодательства к медицинским организациям;
- финансовые и налоговые документы — в сроки, установленные Налоговым кодексом Республики Беларусь;
6. Передача третьим лицам
6.1. Оператор не продаёт и не передаёт персональные данные третьим лицам в маркетинговых целях. Передача данных осуществляется только в следующих случаях:
- клиники-партнёры — для предоставления NFC-доступа к профилю пациента; передаётся только минимально необходимое подмножество данных и только при активном согласии пользователя, оформленном через Согласие;
- лаборатории-партнёры — для получения результатов исследований и их загрузки в медицинский профиль; обработка ведётся на основании договоров, заключённых Оператором с лабораториями;
- обработчики (processors) по договору — облачные провайдеры инфраструктуры, сервисы аналитики; действуют исключительно по инструкции Оператора и обязаны соблюдать требования Закона РБ № 99-З и GDPR;
- государственные органы — по законному запросу в случаях, предусмотренных законодательством Республики Беларусь и применимым правом.
6.2. При передаче данных Оператор заключает с обработчиком соглашение о конфиденциальности и обработке персональных данных, предусматривающее обязательства обработчика по обеспечению их безопасности (ст. 18 Закона РБ № 99-З, ст. 28 GDPR).
7. Права субъекта данных
7.1. Пользователь имеет следующие права в отношении своих персональных данных в соответствии со ст. 13 Закона РБ № 99-З и ст. 15–22 GDPR:
- право на доступ к данным и получение информации об обработке (ст. 13 Закона РБ № 99-З, ст. 15 GDPR);
- право на исправление неточных или неполных данных (ст. 13 Закона РБ № 99-З, ст. 16 GDPR);
- право на удаление данных («право быть забытым»), когда закон не требует их хранения (ст. 17 GDPR);
- право на ограничение обработки в случаях, предусмотренных законом (ст. 18 GDPR);
- право на отзыв согласия в любой момент; отзыв не влияет на правомерность обработки, осуществлённой до отзыва;
- право на портабельность данных — получение своих данных в структурированном, широко используемом машинно-читаемом формате (ст. 20 GDPR);
- право на возражение против обработки, основанной на законных интересах (ст. 21 GDPR);
- право на подачу жалобы в надзорный орган: Национальный центр защиты персональных данных Республики Беларусь (НЦЗПД) при Оперативно-аналитическом центре при Президенте Республики Беларусь (ОАЦ) — для пользователей из Республики Беларусь, или компетентный орган ЕС-страны — для пользователей из ЕС.
7.2. Запросы о реализации прав направляются через личный кабинет Платформы или на адрес paripa.mol.by@xmail.ru. Оператор рассматривает запрос в срок, не превышающий 30 дней, с возможностью продления ещё на 60 дней в сложных случаях.
8. Международная передача данных
8.1. Трансграничная передача персональных данных осуществляется только при условии обеспечения адекватного уровня защиты в стране-получателе либо при наличии соответствующих гарантий в соответствии со ст. 21 Закона РБ № 99-З и главой V GDPR.
8.2. В качестве гарантий используются:
- стандартные договорные clauses, утверждённые Европейской комиссией;
- решение о адекватности защиты данных в стране-получателе;
- обязательные корпоративные правила (BCR) для внутрикорпоративной передачи;
- отдельное согласие субъекта на трансграничную передачу — в случаях, не охваченных выше.
8.3. Перечень стран, в которые осуществляется трансграничная передача, актуализируется и публикуется в личном кабинете пользователя.
10. Изменения политики
10.1. Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция размещается на этой странице с указанием даты вступления в силу.
10.2. В случае существенных изменений Оператор уведомляет пользователей по электронной почте и/или через баннер в Платформе не менее чем за 30 дней до вступления изменений в силу.
10.3. Продолжение использования Платформы после вступления изменений в силу означает согласие пользователя с обновлённой редакцией Политики.
11. Контакты DPO
11.1. С вопросами о защите персональных данных, реализацией прав или отзывом согласия следует обращаться к уполномоченному лицу по защите данных (Data Protection Officer, DPO):
11.2. Жалобы на действия Оператора могут быть направлены в Национальный центр защиты персональных данных Республики Беларусь (НЦЗПД) при Оперативно-аналитическом центре при Президенте Республики Беларусь (ОАЦ) или в компетентный надзорный орган ЕС-страны — для пользователей из ЕС.
© 2026 Интернет-ресурс CODEVITA. Настоящий документ является демонстрационным образцом и не порождает юридических последствий до официального опубликования.