Политика конфиденциальности

Политика обработки персональных данных

Сервис МедАссист соблюдает требования Федерального закона № 152-ФЗ «О персональных данных» и иных нормативных актов Российской Федерации в области защиты ПДн. Этот документ объясняет, какие данные мы собираем, для чего используем и как защищаем.

Редакция от: 13 мая 2026 г. Действует на сайте: med-assist.tech

1. Сведения об операторе

Оператором персональных данных является Общество с ограниченной ответственностью «Городские системы хранения» (далее — Оператор, Компания).

Полное наименование: Общество с ограниченной ответственностью «Городские системы хранения»
ИНН: 9701318648
ОГРН: 1257700421648
КПП: 770101001
Юридический адрес: 105005, г. Москва, вн. тер. г. муниципальный округ Басманный, пер. Плетешковский, д. 3А, стр. 1, помещ. 3П
Генеральный директор: Птицын Данила Алексеевич
Электронная почта: support@med-assist.tech
Статус (МТК): Малая технологическая компания, реестровая запись № 6445 от 18.12.2025 в Реестре малых технологических компаний Минэкономразвития РФ (вид: «Стартап с минимальным показателем выручки»; основание: Федеральный закон № 478-ФЗ от 04.08.2023, п. 1 ч. 4 ст. 5)
Реестр операторов ПДн (Роскомнадзор): рег. № 77-26-551731, приказ № 246 от 12.05.2026; дата регистрации уведомления и начала обработки — 12.05.2026 (проверка в реестре по ИНН 9701318648)

Уведомление об обработке персональных данных направлено в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в порядке ст. 22 152-ФЗ и внесено в реестр операторов (рег. № 77-26-551731 от 12.05.2026).

2. Цели обработки персональных данных

Оператор обрабатывает персональные данные исключительно для следующих целей:

предоставление доступа к программному обеспечению МедАссист (далее — Сервис) — облачному ИИ-ассистенту для медицинской документации;
заключение, исполнение и расторжение договора с пользователем Сервиса (врачом, медицинской организацией);
идентификация пользователя и авторизация в Сервисе;
осуществление расчётов, выставление счетов, направление кассовых чеков и иных учётных документов;
оказание технической поддержки, ответы на обращения пользователей;
информирование пользователя о работе Сервиса, изменениях тарифов, технических работах;
исполнение требований законодательства Российской Федерации (бухгалтерский учёт, налоговая отчётность).

Маркетинговые рассылки направляются только при отдельном согласии пользователя, которое можно отозвать в любой момент по ссылке в письме.

3. Категории субъектов и обрабатываемых ПДн

3.1. Пользователь Сервиса (врач, представитель медицинской организации)

При регистрации, использовании и оплате Сервиса обрабатываются:

фамилия, имя, отчество (при добровольном указании);
адрес электронной почты;
номер телефона;
специальность врача;
наименование медицинской организации (при необходимости);
сведения о подписке: тариф, дата начала и окончания периода, статус оплаты;
cookie-файлы, IP-адрес, технические данные браузера и устройства;
журналы действий в Сервисе (логи входа, генерация карт, ошибки).

3.2. Пациенты пользователей

В ходе использования Сервиса пользователь (врач) может загружать аудиозаписи приёма и редактировать сгенерированные на их основе медицинские карты. Эти данные могут содержать сведения, относящиеся к специальной категории персональных данных пациентов в соответствии со статьёй 10 152-ФЗ.

Минимизация ПДн пациента. В медицинской карте, формируемой ПО, ФИО / дата рождения / адрес / телефон / полис ОМС / СНИЛС / паспортные данные пациента НЕ сохраняются автоматически. ИИ-ассистент извлекает из аудиозаписи только клиническую часть консультации: жалобы, анамнез, объективные данные, диагноз, назначения. Идентифицирующие данные при необходимости заполняются врачом вручную в распечатанной форме протокола приёма (шаблон согласия пациента и формы протокола).

Юридический режим. В отношении персональных данных пациентов Оператор выступает как лицо, осуществляющее обработку по поручению пользователя (врача). Юридическим основанием обработки является согласие пациента и (или) договор оказания медицинских услуг между пациентом и пользователем. Условия такой обработки регулируются отдельным Соглашением об обработке ПДн (пациенты).

4. Правовые основания обработки

Оператор обрабатывает персональные данные на следующих основаниях:

статья 6, часть 1, пункт 1 152-ФЗ — согласие субъекта на обработку, выраженное при регистрации и принятии Публичной оферты;
статья 6, часть 1, пункт 5 152-ФЗ — обработка необходима для исполнения договора, стороной которого является субъект;
статья 6, часть 1, пункт 2 152-ФЗ — обработка необходима для достижения целей, предусмотренных международным договором или законом РФ (бухгалтерский учёт, налоговая отчётность).

5. Перечень действий с персональными данными

Оператор осуществляет следующие действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

6. Способы обработки

Обработка осуществляется автоматизированным способом — на серверах Оператора, расположенных на территории Российской Федерации (центр обработки данных АО «Селектел», г. Москва), а также неавтоматизированным способом при работе с обращениями пользователей.

Трансграничная передача персональных данных не осуществляется.

7. Передача третьим лицам

Оператор не передаёт персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации, и следующих обоснованных ситуаций:

ООО НКО «ЮMoney» (YooKassa) — передаются данные, минимально необходимые для проведения платежа: имя, email, сумма, идентификатор заказа. Не передаются: содержимое медицинских карт, аудиозаписи, специальные категории ПДн;
АО «Селектел» — оператор центра обработки данных, обеспечивающий хранение и обработку информации на инфраструктуре в РФ;
ООО «Бегет» (smtp.beget.com) — провайдер SMTP-сервиса для отправки транзакционных писем (приветственные сообщения, подтверждение email, уведомления о подписке и оплате). Передаются: адрес электронной почты получателя, тема и текст письма. Вложения с медицинскими данными не передаются; содержимое медицинских карт, аудиозаписей и специальных категорий ПДн через SMTP не отправляется. Серверы Бегета расположены в Российской Федерации;
государственные органы — при наличии законного основания (запрос, судебное решение).

8. Сроки хранения

учётные данные пользователя — в течение срока действия подписки и до момента удаления аккаунта пользователем;
после удаления аккаунта пользователем — учётная запись и связанные медицинские карты уничтожаются немедленно (без grace-периода) на стороне основной БД; восстановлению не подлежат. Сведения, необходимые для бухгалтерского и налогового учёта, сохраняются в сроки, установленные законодательством РФ;
аудиозаписи приёмов — обрабатываются кратковременно и удаляются сразу после получения транскрипта (в долгосрочной базе данных как аудиофайл не сохраняются);
сгенерированные медицинские карты — до удаления пользователем или удаления аккаунта;
сведения, необходимые для бухгалтерского и налогового учёта, — в сроки, установленные законодательством РФ (как правило, 5 лет).

Транскрипт и медкарта. Полный текст транскрипта приёма хранится в зашифрованном виде (AES-256-GCM) для функционала поиска по визитам в интерфейсе Сервиса. Сведения специальной категории ПДн в полях медицинской карты, заметках врача и сегментах диаризации также хранятся в зашифрованном виде (AES-256-GCM); действует минимизация идентифицирующих данных пациента.

9. Меры безопасности

Оператор применяет правовые, организационные и технические меры, необходимые и достаточные для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения:

шифрование передачи данных по протоколу TLS 1.3;
шифрование содержимого полей медицинской карты, заметок врача, сегментов диаризации и полного текста транскрипта в БД алгоритмом AES-256-GCM (authenticated encryption); ключ шифрования хранится отдельно от базы данных в защищённой среде сервера;
хранение данных на физически защищённой инфраструктуре ЦОД АО «Селектел» (Москва);
хранение паролей пользователей в виде криптографических хешей (bcrypt);
ограничение и регламентация доступа сотрудников к ПДн;
журналирование действий с ПДн (внутренний аудит);
контроль уязвимостей и оперативное обновление программного обеспечения;
планомерное расширение мер защиты в соответствии с приказами ФСТЭК России.

10. Права субъекта персональных данных

В соответствии со статьёй 14 152-ФЗ субъект вправе:

получать сведения, касающиеся обработки его персональных данных;
требовать уточнения, блокирования или уничтожения своих ПДн в случае их неполноты, неточности или незаконного использования;
отозвать согласие на обработку персональных данных;
обжаловать действия Оператора в уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) или в судебном порядке.

11. Порядок направления и обработки запросов

Запрос направляется в письменной форме на адрес электронной почты support@med-assist.tech или по почтовому адресу Оператора, указанному выше. Запрос должен содержать:

фамилию, имя, отчество субъекта или его представителя;
сведения, подтверждающие участие субъекта в отношениях с Оператором (логин, email, иные идентификаторы);
подпись субъекта или его представителя.

Оператор отвечает на запрос в срок не более 10 рабочих дней с момента получения. Срок может быть продлён, но не более чем на 5 рабочих дней, при условии направления уведомления субъекту с указанием причин продления.

12. Контактная информация

По вопросам, связанным с обработкой персональных данных, обращайтесь:

Ответственное лицо: Птицын Данила Алексеевич, генеральный директор

Электронная почта: support@med-assist.tech

Настоящая Политика может изменяться. Актуальная редакция всегда размещена по адресу med-assist.tech/privacy/. О существенных изменениях Оператор уведомляет пользователей по электронной почте не позднее чем за 14 календарных дней до вступления изменений в силу.