Политика обработки персональных данных

1. Общие положения

Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки и меры по обеспечению безопасности персональных данных, осуществляемые ООО «Новые Ветеринарные Технологии» (далее — «Оператор») при использовании сервиса justvet, доступного по адресу justvet.ru и его поддоменам (далее — «Сервис»).

Политика действует в отношении всей информации, которую Оператор может получить о субъектах персональных данных в процессе использования ими Сервиса. Использование Сервиса означает безоговорочное согласие субъекта персональных данных с настоящей Политикой и указанными в ней условиями обработки персональных данных.

Политика опубликована в свободном доступе по адресу justvet.ru/privacy в соответствии с требованиями ч. 2 ст. 18.1 152-ФЗ.

2. Термины и определения

Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту ПДн).

Обработка ПДн — любое действие с ПДн с использованием средств автоматизации или без них (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение).

Оператор — ООО «Новые Ветеринарные Технологии», осуществляющее обработку персональных данных, а также определяющее цели и способы обработки.

Обработчик — лицо, осуществляющее обработку персональных данных по поручению Оператора. В контексте Сервиса Оператор сам выступает обработчиком персональных данных клиентов ветеринарных клиник, действуя по поручению клиник на основании Пользовательского соглашения и заключённого договора.

Пользователь — физическое лицо, использующее Сервис: посетитель лендинга, оставивший заявку, либо авторизованный пользователь личного кабинета.

Клиника — юридическое лицо или индивидуальный предприниматель, оказывающее ветеринарные услуги и использующее Сервис в собственной хозяйственной деятельности.

Кабинет — программный интерфейс Сервиса, доступный авторизованным Пользователям клиники по индивидуальному поддомену вида имя-клиники.justvet.ru.

Обезличивание — действия, в результате которых определить принадлежность ПДн конкретному субъекту без использования дополнительной информации становится невозможным.

3. Сведения об операторе

4. Категории субъектов персональных данных

Оператор обрабатывает персональные данные следующих категорий субъектов:

1. Посетители лендинга — физические лица, оставляющие заявку через форму на сайте justvet.ru.
2. Пользователи Кабинета — сотрудники Клиник, которым предоставлен доступ к личному кабинету (администраторы, руководители, врачи, иные роли).
3. Контактные лица Клиник — представители ветеринарных клиник, заключающих или собирающихся заключить договор на использование Сервиса.
4. Клиенты Клиник и владельцы животных — физические лица, чьи персональные данные содержатся в учётной системе Клиники (Vetmanager) и читаются Сервисом по поручению Клиники. В отношении этой категории данных Оператор выступает обработчиком, а оператором по смыслу 152-ФЗ является сама Клиника.
5. Сотрудники Клиник — врачи и иной персонал, чьи персональные данные содержатся в учётной системе Клиники и в орг-структуре Кабинета. В отношении этой категории Оператор выступает обработчиком по поручению Клиники.

5. Категории обрабатываемых персональных данных

Оператор обрабатывает следующие категории персональных данных:

5.1. От Посетителей лендинга (через форму заявки)

• имя;
• название клиники;
• телефон;
• email;
• идентификатор Telegram (опционально);
• текст сообщения (опционально);
• технические данные: IP-адрес, user-agent, дата и время обращения.

5.2. От Пользователей Кабинета

• email (логин);
• хешированный пароль (bcrypt; пароль в открытом виде Оператором не хранится);
• имя/фамилия и должность;
• идентификатор Telegram (опционально, для уведомлений);
• назначенная роль и разрешения внутри Кабинета;
• технические данные сессии: IP-адрес, время входа, токен авторизации.

5.3. От Клиник (передаются в Кабинет по поручению Клиники из Vetmanager и заполняются в админ-панели)

• ФИО, должность, отделение, телефон/идентификатор Telegram сотрудников Клиники;
• ФИО, телефон, email, адрес владельцев животных (клиентов Клиники);
• сведения о животных (кличка, вид, порода, возраст, медицинская карта);
• данные приёмов: дата, врач, диагноз, рекомендации, назначения, услуги, счета.

В отношении данных, перечисленных в п. 5.3, Оператор выступает обработчиком по поручению Клиники, оператором является Клиника.

6. Цели обработки персональных данных

Оператор обрабатывает персональные данные в следующих целях:

1. Связь с потенциальным клиентом по заявке, оставленной через форму на лендинге (звонок, переписка, направление коммерческого предложения).
2. Предоставление доступа к Кабинету и обеспечение его работы (аутентификация, авторизация, восстановление пароля).
3. Оказание услуг, предусмотренных Пользовательским соглашением: аналитика финансов, мед-аудит карт, поток пациентов, медкарта пациента, обзвон и рассылка, генерация выписок.
4. Уведомления о значимых событиях (приёмы, рассылки, заявки) администраторам Клиник и владельцам платформы.
5. Обеспечение безопасности, противодействие злоупотреблениям и сбоям, выполнение требований законодательства.
6. Анализ и улучшение Сервиса на обезличенных данных (выявление узких мест, статистика использования).

7. Правовые основания обработки

Оператор обрабатывает персональные данные на следующих основаниях:

• Согласие субъекта — для обработки данных, переданных через форму заявки на лендинге, а также при регистрации в Кабинете (ст. 6 ч. 1 п. 1 152-ФЗ).
• Заключение и исполнение договора, стороной которого является субъект (ст. 6 ч. 1 п. 5 152-ФЗ) — для Пользователей Кабинета и Клиник.
• Поручение оператора (Клиники) — для данных категории 5.3 на основании Пользовательского соглашения и заключённого договора между Клиникой и Оператором.
• Законные интересы Оператора (ст. 6 ч. 1 п. 7 152-ФЗ) — для обеспечения безопасности Сервиса, противодействия мошенничеству и злоупотреблениям.

8. Способы и сроки обработки

Способы обработки: с использованием средств автоматизации (программные средства Сервиса) и без них (организационные меры в части доступа уполномоченных сотрудников Оператора).

Хранение: персональные данные хранятся на серверах, физически расположенных на территории Российской Федерации, в соответствии с требованиями ч. 5 ст. 18 152-ФЗ.

Сроки хранения:

• заявки с лендинга — 3 года с момента поступления, либо до отзыва согласия субъектом;
• учётные записи Кабинета — на период действия договора с Клиникой и 1 год после прекращения договора;
• данные категории 5.3 (по поручению Клиники) — по сроку, установленному Клиникой как оператором; удаляются по требованию Клиники в течение 30 дней;
• резервные копии — 30 дней с момента создания, после чего автоматически удаляются;
• журналы безопасности — 1 год.

9. Передача персональных данных третьим лицам

Оператор не продаёт персональные данные и не передаёт их третьим лицам, за исключением случаев, прямо предусмотренных настоящей Политикой или законодательством РФ. Указанные ниже передачи осуществляются исключительно в целях оказания услуг и в минимально необходимом объёме.

9.1. OpenAI L.L.C. (США) — AI-аудит карт и автогенерация эпикриза

При использовании функций AI-аудита карт и автогенерации выписки в обработку поступает исключительно обезличенная клиническая информация: симптомы, диагнозы, рекомендации, назначения. ФИО владельцев животных, телефоны, email, адреса и иные идентифицирующие данные не передаются. Реальная кличка животного и ФИО владельца подставляются локально на сервере Оператора уже после получения результата от LLM-провайдера. Это передача является трансграничной (США); согласие на неё пользователь даёт при использовании соответствующей функции.

9.2. Сервис ChatPush (РФ) — массовые рассылки клиентам Клиник

По поручению Клиники Оператор передаёт телефоны и email клиентов Клиники в сервис ChatPush для отправки сообщений (напоминания, рассылки) от имени Клиники. Передача осуществляется в минимально необходимом объёме.

9.3. Telegram (Telegram FZ-LLC, ОАЭ) — уведомления

Технические уведомления администраторам Кабинета и владельцу платформы (новые заявки, события расписания) направляются через Telegram Bot API. В уведомления включается минимально необходимая информация.

9.4. Почтовый сервер (SMTP-провайдер)

При отправке писем (восстановление пароля, рассылки клиентам Клиник по поручению Клиники) Оператор использует SMTP-сервер. Параметры подключения настраиваются Клиникой в Кабинете.

9.5. Vetmanager (поставщик учётной системы)

Сервис читает данные Клиники из её учётной системы Vetmanager по API-ключу, который Клиника самостоятельно вводит в настройки Кабинета. Запись данных в Vetmanager Оператор не осуществляет.

9.6. Хостинг-провайдер (РФ)

Серверы Сервиса размещены у российского хостинг-провайдера. Хостинг-провайдер не имеет доступа к содержимому пользовательских данных в рамках их штатных услуг.

9.7. Иные передачи

В случаях, прямо предусмотренных законодательством РФ, по запросам уполномоченных государственных органов.

10. Меры по обеспечению безопасности

Оператор принимает технические и организационные меры для защиты персональных данных в соответствии со ст. 19 152-ФЗ:

• Изоляция аккаунтов — данные каждой Клиники физически отделены: отдельный каталог хранения, отдельная база-кэш, отдельные пользователи. Доступ к данным одной Клиники из другой технически невозможен.
• Шифрование канала — все соединения с Сервисом осуществляются исключительно по протоколу HTTPS (TLS).
• Хеширование паролей — пароли пользователей хранятся в виде криптографического хэша (bcrypt) и не подлежат восстановлению в открытом виде.
• Маскирование секретов — API-ключи и пароли в админ-интерфейсе отображаются маскированно; запись секрета доступна только администратору Клиники.
• Шифрованные резервные копии — бэкапы данных шифруются на стороне сервера и хранятся отдельно.
• Только чтение данных Vetmanager — Оператор не вносит изменений в учётную систему Клиники.
• Журналирование действий — фиксируются входы пользователей и ключевые действия администратора.
• Инвалидация сессий — при смене пароля все ранее выданные сессии автоматически становятся недействительными.
• Ограничение доступа — доступ к серверам и резервным копиям имеют только уполномоченные сотрудники Оператора, прошедшие инструктаж по работе с ПДн.

11. Права субъекта персональных данных

В соответствии со ст. 14 152-ФЗ субъект персональных данных вправе:

• получать сведения, касающиеся обработки его персональных данных;
• требовать уточнения, блокирования или уничтожения своих ПДн, если они неполны, устарели, неточны, незаконно получены или не являются необходимыми для заявленной цели обработки;
• отзывать ранее данное согласие на обработку ПДн (в этом случае Оператор прекращает обработку и уничтожает данные, за исключением случаев, когда обработка может быть продолжена на ином правовом основании);
• обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке.

Для реализации прав субъект направляет письменный запрос на адрес info@newvettech.ru с указанием ФИО, контактных данных и сути обращения. Срок ответа — 10 рабочих дней.

12. Использование файлов cookie и локального хранилища

Сервис использует исключительно технические файлы cookie и механизмы локального хранилища браузера (localStorage), необходимые для функционирования. Рекламные и аналитические трекеры третьих лиц не используются.

• Технические cookie — обеспечивают работу формы, защиту от подделки запросов.
• localStorage — хранит выбранную тему оформления, токен авторизации в Кабинете и состояния интерфейса.

Пользователь может отключить cookie в настройках браузера; в этом случае часть функций Сервиса может работать некорректно.

13. Изменения политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция всегда доступна по адресу justvet.ru/privacy. Существенные изменения дополнительно доводятся до сведения Пользователей через Кабинет и/или по электронной почте, указанной при регистрации.

Продолжение использования Сервиса после публикации новой редакции означает согласие Пользователя с внесёнными изменениями.

14. Контакты для обращений