Соглашение об обработке ПДн (пациенты)

Настоящее Соглашение определяет порядок обработки персональных данных пациентов в рамках использования Сервиса «МедАссист». Соглашение является приложением к Публичной оферте и подлежит обязательному принятию пользователем (врачом, медицинской организацией) при регистрации в Сервисе.

1. Стороны и термины

В настоящем Соглашении используются следующие термины:

Контролёр — пользователь Сервиса (врач или медицинская организация в лице уполномоченного работника), определяющий цели и состав обрабатываемых персональных данных пациентов.

Процессор — Общество с ограниченной ответственностью «Городские системы хранения» (ИНН 9701318648, КПП 770101001, ОГРН 1257700421648), зарегистрированное в реестре операторов персональных данных Роскомнадзора (рег. № 77-26-551731 от 12.05.2026), осуществляющее обработку персональных данных пациентов по поручению Контролёра.

Субъект — физическое лицо, являющееся пациентом Контролёра, чьи персональные данные обрабатываются.

Сервис — программа для ЭВМ «МедАссист», доступная по адресу med-assist.tech.

2. Предмет Соглашения

2.1. Контролёр поручает Процессору, а Процессор обязуется обрабатывать персональные данные Субъектов исключительно в целях, указанных в разделе 5, в соответствии со ст. 6 ч. 3 152-ФЗ.

2.2. Процессор не определяет цели и способы обработки самостоятельно — все действия выполняются по поручению и в интересах Контролёра.

2.3. Юридическим основанием обработки является согласие Субъекта, полученное Контролёром, и (или) договор оказания медицинских услуг.

3. Согласие пациента — обязанность Контролёра

3.1. Контролёр обязан получить от каждого Субъекта согласие на обработку персональных данных до начала записи приёма. Согласие должно соответствовать требованиям ст. 9 152-ФЗ и ст. 13, 22, 22.1 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан».

3.2. Согласие должно быть конкретным, информированным и сознательным и включать сведения о:

• Контролёре (наименование, ОГРН/адрес);
• Процессоре (ООО «Городские системы хранения», ИНН 9701318648) — как лице, осуществляющем обработку по поручению;
• цели обработки (составление медицинской карты с использованием ИИ-ассистента);
• категориях ПДн (специальная категория — данные о здоровье);
• сроках обработки и хранения;
• праве отозвать согласие.

3.3. Шаблон согласия для использования в практике Контролёра приведён в разделе 13. Контролёр вправе использовать собственную форму, отвечающую указанным требованиям.

4. Категории обрабатываемых данных

4.1. В рамках использования Сервиса обрабатываются следующие категории данных Субъектов:

• аудиозапись приёма (содержит специальную категорию ПДн — данные о состоянии здоровья);
• текстовая транскрипция приёма;
• сведения, внесённые Контролёром в поля медицинской карты (жалобы, анамнез, объективные данные, диагноз, рекомендации);
• иные сведения, явно указанные Контролёром при работе с Сервисом.

4.2. Принципиальное обезличивание медицинской карты. В карте, формируемой ПО, ФИО, дата рождения, адрес, телефон, полис ОМС, СНИЛС и иные идентифицирующие данные пациента НЕ сохраняются автоматически. Системный промпт LLM явно запрещает извлечение этих данных из транскрипта; UI приложения не содержит соответствующих полей; ответ API возвращает только клиническое содержание консультации (жалобы, анамнез, объективные данные, диагноз, назначения). При необходимости идентифицирующие данные заполняются врачом вручную в распечатанной форме протокола приёма (шаблон согласия пациента и формы протокола). Это снижает класс ИСПДн до уровня, не требующего обработки идентификаторов вместе со сведениями о здоровье.

4.3. Дополнительные обязанности Контролёра по минимизации. Контролёр обязан не произносить вслух и не вводить в Сервис ФИО, дату рождения, паспортные данные, номер полиса ОМС, точный адрес проживания пациента. Идентификация пациента ведётся в МИС Контролёра по внутренним идентификаторам (например, «Пациент №123») либо в распечатанном протоколе приёма после завершения сеанса.

5. Цели и сроки обработки

5.1. Цели обработки:

• распознавание речи (преобразование аудио в текст);
• диаризация (разделение реплик врача и пациента);
• генерация черновика медицинской карты на основе транскрипции;
• хранение медицинской карты в учётной записи Контролёра до её удаления.

5.2. Сроки хранения:

• аудиозапись приёма не хранится для целей Сервиса: обрабатывается кратковременно и удаляется сразу после получения транскрипта (в долгосрочной БД как аудиофайл или blob не сохраняется);
• транскрипция и медицинская карта — хранятся до момента их удаления Контролёром или до удаления учётной записи Контролёра; полный текст транскрипта может сохраняться для функционала поиска по визитам;
• после удаления учётной записи Контролёром — все связанные с ней данные пациентов (медицинские карты, транскрипты, эталон голоса врача, метаданные приёмов) уничтожаются немедленно, без grace-периода, и восстановлению не подлежат.

6. Обязательства Процессора

6.1. Процессор обязуется:

• обрабатывать ПДн только по документально оформленному поручению Контролёра (настоящее Соглашение и работа Контролёра в Сервисе считаются таким поручением);
• обеспечивать соблюдение требований ч. 4 ст. 18.1 152-ФЗ — назначение ответственного за организацию обработки ПДн, локальные акты, контроль;
• не передавать ПДн третьим лицам, кроме субпроцессоров (раздел 8);
• принимать меры безопасности, указанные в разделе 9;
• содействовать Контролёру в исполнении его обязанностей перед Субъектом (запросы об удалении, исправлении, копии данных);
• уведомлять Контролёра об инцидентах в порядке раздела 10;
• возвращать или уничтожать ПДн по требованию Контролёра.

7. Обязательства Контролёра

7.1. Контролёр обязуется:

• получить согласие каждого Субъекта в соответствии с разделом 3;
• не передавать в Сервис ПДн без правовых оснований;
• минимизировать передачу ПДн (см. п. 4.2);
• обеспечить конфиденциальность доступа к учётной записи в Сервисе;
• незамедлительно уведомлять Процессора об отзыве согласия Субъектом — в течение 3 рабочих дней;
• самостоятельно обрабатывать запросы Субъектов в порядке ст. 14 152-ФЗ.

8. Привлечение субпроцессоров

8.1. Контролёр даёт общее согласие на привлечение Процессором следующих субпроцессоров:

8.2. Процессор обеспечивает заключение с субпроцессорами договоров, содержащих требования по защите ПДн не ниже установленных настоящим Соглашением.

8.3. Об изменении состава субпроцессоров Процессор уведомляет Контролёра по электронной почте не позднее чем за 30 календарных дней до изменения.

9. Технические и организационные меры

9.1. Процессор обеспечивает следующие меры защиты:

• Шифрование канала передачи: TLS 1.3 для всех соединений с серверами;
• Шифрование содержимого карт в БД: AES-256-GCM (authenticated encryption) для полей медкарты, заметок врача и сегментов диаризации; ключ шифрования хранится отдельно от базы данных;
• Физическая защита инфраструктуры: размещение в сертифицированном ЦОД АО «Селектел» (Москва);
• Контроль доступа: изолированная учётная запись каждого Контролёра; пароли хранятся в виде криптографических хешей (bcrypt);
• Журналирование: ведётся внутренний аудит действий с ПДн;
• Изоляция инфраструктуры: серверы только в РФ, отсутствие трансграничной передачи;
• Управление уязвимостями: регулярные обновления зависимостей и мониторинг безопасности;
• Развитие мер защиты: расширение комплекса мер планируется в соответствии с приказами ФСТЭК России по мере роста объёма обрабатываемых данных.

10. Уведомление об инцидентах

10.1. В случае выявления инцидента, повлёкшего или способного повлечь несанкционированный доступ к ПДн пациентов, Процессор уведомляет Контролёра в срок не более 72 часов с момента выявления инцидента по электронной почте, указанной в учётной записи Контролёра.

10.2. Уведомление содержит: описание инцидента, категории и приблизительный объём затронутых ПДн, оценку последствий, принятые меры. Контролёр самостоятельно определяет необходимость уведомления Субъектов и Роскомнадзора в порядке ст. 21 ч. 3.1 152-ФЗ.

11. Право аудита

11.1. Контролёр вправе не чаще одного раза в 12 месяцев запросить у Процессора подтверждение соблюдения настоящего Соглашения путём предоставления:

• информации о применяемых мерах защиты;
• отчётов о тестировании безопасности (при наличии);
• выписок из журналов аудита, относящихся к учётной записи Контролёра.

11.2. Очный аудит на территории Процессора не проводится, за исключением случаев, прямо предусмотренных законодательством.

12. Срок действия и прекращение

12.1. Соглашение действует с момента акцепта и до момента прекращения действия Публичной оферты или удаления учётной записи Контролёра.

12.2. По прекращении Соглашения Процессор уничтожает все ПДн пациентов в сроки, указанные в п. 5.2.

12.3. По письменному запросу Контролёра до уничтожения данных может быть предоставлен экспорт медицинских карт в машиночитаемом формате (CSV/JSON/PDF).

13. Шаблон согласия пациента

Контролёр вправе использовать собственную форму согласия, отвечающую требованиям раздела 3, либо канонический шаблон, размещённый по адресу med-assist.tech/patient-consent/ (HTML-страница и DOCX-файл для печати в клинике). Канонический шаблон содержит все обязательные элементы, предусмотренные ст. 9 152-ФЗ и ст. 13, 22, 22.1 323-ФЗ. Перед применением Контролёр самостоятельно проверяет актуальность шаблона на дату использования.