ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ МЕДИГРАМ
(«Политика конфиденциальности»)

Дата утверждения: 01 декабря 2025 г.

Актуальная версия: https://medigram.ru/legal/privacy

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных (далее — «Политика») определяет порядок обработки и меры по защите персональных данных, предпринимаемые Медиграм.
1.2. Медиграм является B2B‑сервисом: договоры на использование Платформы и оказание услуг заключаются только с юридическими лицами и индивидуальными предпринимателями (Клиентами). При этом Медиграм обрабатывает персональные данные физических лиц — представителей Клиента, а также иных субъектов персональных данных в рамках сценариев, описанных в Политике.
1.3. Сведения об Операторе персональных данных:
• Индивидуальный предприниматель: Браташова Алина Юрьевна
• ОГРНИП: 322028000192440
• ИНН: 026007218659
• Адрес регистрации: г. Уфа, Республика Башкортостан, ул. Российская, 10-122
• Сайт: https://medigram.ru (включая поддомены, в том числе https://lk.medigram.ru)
1.4. Контакты для обращений по вопросам обработки персональных данных:
E-mail: support@medigram.ru
1.5. Политика применяется к сайту Медиграм и Платформе (включая Личный кабинет), а также к коммуникациям, связанным с использованием сервиса (переписка, обращения в поддержку и т.п.).

2. ОСНОВНЫЕ ТЕРМИНЫ
2.1. Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
2.2. Оператор — лицо, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки, состав ПДн и действия (операции), совершаемые с ПДн.
2.3. Обработка ПДн — любое действие (операция) или совокупность действий (операций) с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, блокирование, удаление, уничтожение, обезличивание.
2.4. Клиент — юридическое лицо или индивидуальный предприниматель, заключивший договор с Медиграм (в том числе путём акцепта публичной оферты).
2.5. Пользователь — физическое лицо (представитель Клиента), использующее Личный кабинет/Платформу от имени Клиента.
2.6. Платформа — программный комплекс Медиграм и Личный кабинет (включая https://lk.medigram.ru).
2.7. Cookie — небольшие фрагменты данных, которые сайт сохраняет на устройстве пользователя.

3. ПРАВА СУБЪЕКТОВ ПДН И ОБЯЗАННОСТИ ОПЕРАТОРА
3.1. Субъект персональных данных имеет право:
• получать информацию об обработке его ПДн;
• требовать уточнения, блокирования или уничтожения ПДн при наличии оснований;
• отозвать согласие на обработку ПДн (когда обработка основана на согласии);
• обжаловать действия (бездействие) Оператора в Роскомнадзор или суд.
3.2. Медиграм обязан:
• обеспечивать конфиденциальность и безопасность ПДн;
• предоставлять информацию по запросам субъектов ПДн в сроки, установленные законом;
• принимать меры по предотвращению и выявлению нарушений;
• публиковать настоящую Политику в открытом доступе;
• выполнять иные требования законодательства РФ о персональных данных, включая уведомление уполномоченного органа об инцидентах (утечках) в установленные законом сроки.

4. ЦЕЛИ ОБРАБОТКИ, КАТЕГОРИИ ДАННЫХ, ОСНОВАНИЯ И СРОКИ
4.1. Регистрация и доступ к Личному кабинету
Цель: создание и ведение аккаунта Пользователя, предоставление доступа к функциональности Платформы и коммуникации по Заказам.
Категории данных: ФИО, телефон, e-mail, должность (если указана), данные учётной записи, пароль (в виде хэша), история обращений/действий в Личном кабинете (в объёме, необходимом для работы сервиса и безопасности).
Основание: исполнение договора с Клиентом и законный интерес (обеспечение безопасности).
Срок хранения: срок действия аккаунта + 1 (один) год после удаления аккаунта (если более длительный срок не требуется по закону).

4.2. Исполнение договоров с Клиентом (ООО/ИП), документооборот и учёт операций
Цель: выставление счетов, учёт заказов, исполнение обязательств, ведение обязательного учёта.
Категории данных: ФИО и контактные данные представителей Клиента; реквизиты Клиента (в т.ч. ИНН/КПП/ОГРН/ОГРНИП, адрес, банковские реквизиты); сведения о заказах/операциях/переписке (в объёме, необходимом для исполнения договора).
Основание: исполнение договора; выполнение обязанностей по учёту и хранению документов согласно применимому законодательству РФ.
Срок хранения: 5 (пять) лет либо иной срок, установленный законодательством РФ для бухгалтерского/налогового учёта.

4.3. Приём платежей и обработка данных плательщиков
Цель: приём оплаты услуг/абонентской платы, идентификация платежа, проведение сверок, предотвращение мошенничества, обработка оспариваний (chargeback/диспутов) и иных спорных операций.
Категории данных: сведения о платеже (идентификаторы операции, сумма, дата/время), сведения о плательщике (в объёме, доступном Медиграм), сведения для идентификации платежа (номер счёта/Заказа и т.п.).
Важно: данные банковских карт (реквизиты карты) обрабатываются платёжным агрегатором по его правилам; Медиграм не хранит полные данные банковских карт.
Основание: исполнение договора; законный интерес (обеспечение безопасности и предотвращение злоупотреблений); выполнение требований платёжных систем/агрегатора и законодательства (когда применимо).
Срок хранения: 5 (пять) лет либо иной срок, установленный законодательством РФ для бухгалтерского/налогового учёта.

4.4. Возврат денежных средств (B2B)
Цель: проведение возврата неизрасходованного остатка средств Клиенту (например, с лицевого счёта), а также корректное документирование возврата.
Категории данных: реквизиты Клиента и/или сведения о платёжной операции, данные платёжного документа и иная информация, необходимая для возврата и идентификации получателя.
Порядок: возврат, как правило, осуществляется тем же способом, которым была произведена оплата (включая возврат через платёжного агрегатора на ту же карту/счёт), с учётом технических возможностей, требований законодательства и правил платёжных систем/агрегатора.
Основание: исполнение договора и требования применимого законодательства РФ (в части бухгалтерского/налогового учёта).
Срок хранения: 5 (пять) лет либо иной срок, установленный законом.

4.5. Маркетинговые и информационные рассылки
Цель: направление информационных и маркетинговых сообщений о сервисе, обновлениях и материалах Медиграм.
Категории данных: e-mail, имя (если указано), должность/организация (если указано).
Основание: согласие субъекта ПДн (в случаях, когда оно требуется).
Срок хранения: до отписки/отзыва согласия либо до достижения цели обработки.

4.6. Веб‑аналитика и безопасность (Яндекс.Метрика и сторонние сервисы)
Цель: обеспечение информационной безопасности, предотвращение злоупотреблений, аналитика работы сайта/Платформы.
Категории данных: cookie, IP‑адрес, логи, сведения о типе устройства/браузера и технические параметры.
При использовании сервиса «Яндекс.Метрика» могут обрабатываться технические данные и идентификаторы (например, cookie/идентификаторы браузера) для анализа пользовательской активности. Медиграм не передает в «Яндекс.Метрику» идентифицирующую информацию о пользователях (ФИО, телефон, e-mail), за исключением случаев, когда использование функций сервиса прямо предусматривает такую передачу.
Основание: согласие пользователя (для cookie/аналитики, когда требуется) и законный интерес (для обеспечения безопасности и стабильности сервиса).
Срок хранения: до 1 (одного) года либо меньше — в зависимости от настроек конкретных инструментов и целей обработки.

4.7. Обращения в поддержку и коммуникация
Цель: обработка обращений, консультации, поддержка, улучшение качества сервиса.
Категории данных: контактные данные, содержание обращений, технические данные (логи), иные сведения, которые Пользователь/Клиент направляет в обращении.
Основание: исполнение договора; законный интерес (поддержка и качество сервиса).
Срок хранения: до 3 (трёх) лет после закрытия обращения, если более длительный срок не требуется по закону или для защиты прав и законных интересов Медиграм.

4.8. Данные пациентов по поручению Клиента (роль обработчика)
4.8.1. Если Клиент использует функциональность Медиграм, при котором в Платформу вносятся и/или через Платформу передаются персональные данные пациентов (например, для технической передачи заявки в сервисы рассрочки/кредитования), то Клиент является оператором персональных данных пациента и самостоятельно определяет цели и основания обработки.
4.8.2. В таком сценарии Медиграм обрабатывает персональные данные пациента как лицо, обрабатывающее данные по поручению Клиента (обработчик), в пределах функциональности Платформы и документированных инструкций Клиента.
4.8.3. Условия поручения обработки (DPA) устанавливаются Публичной офертой Медиграм и её приложениями (в частности, Соглашением о поручении обработки персональных данных).
4.8.4. По вопросам обработки персональных данных пациентов (в рамках поручения) субъекту ПДн рекомендуется обращаться непосредственно в медицинскую организацию (Клиента), так как именно Клиент определяет цели обработки и отвечает перед субъектами ПДн как оператор.

4.9. Специальные категории персональных данных
В рамках собственной деятельности (как оператора) Медиграм не запрашивает и не требует от Пользователей предоставления специальных категорий персональных данных (включая сведения о здоровье) и биометрических персональных данных.

При этом, если Клиент (как оператор) использует функциональность Платформы таким образом, что в Платформе размещаются и/или через Платформу передаются специальные категории персональных данных (включая сведения о здоровье), Медиграм обрабатывает такие данные исключительно как лицо, осуществляющее обработку по поручению Клиента, на основании документированных инструкций Клиента и условий DPA (Приложение №1 к Публичной оферте Медиграм), при наличии у Клиента законных оснований, предусмотренных применимым законодательством РФ.

5. ПЕРЕДАЧА ДАННЫХ ТРЕТЬИМ ЛИЦАМ
5.1. Медиграм передает персональные данные только в объёме, необходимом для достижения целей обработки, и на основании договоров/поручений либо в случаях, предусмотренных законом.
5.2. Возможные категории получателей:
— платёжные агрегаторы/эквайеры — для приёма платежей и возвратов (в рамках их правил и процессов);
— ФНС и оператор фискальных данных (ОФД) — в объёме, требуемом законом (при применимости);
— ООО «Яндекс» (сервис «Яндекс.Метрика») — веб‑аналитика и статистика; при использовании Метрики Яндекс осуществляет обработку данных в рамках условий использования сервиса «Яндекс.Метрика»;
— ООО «Яндекс» (Яндекс.Карты) — отображение карты на сайте/странице; при использовании карты персональная информация пользователя обрабатывается Яндексом на условиях Политики конфиденциальности Яндекса и условий использования сервиса Яндекс.Карты;
— Bitrix24 («Открытые линии» / онлайн‑чат) — обеспечение коммуникаций с пользователями через виджет чата на сайте и обработка обращений; согласие на обработку персональных данных может запрашиваться в интерфейсе онлайн‑чата/открытой линии (без согласия пользователь не сможет продолжить диалог в онлайн‑чате);
— хостинг‑провайдеры и инфраструктурные подрядчики (РФ) — хранение данных и обеспечение работоспособности сервиса; такие лица привлекаются по договорам с обязанностью конфиденциальности и мерами защиты не ниже требований законодательства РФ;
— подрядчики, обеспечивающие коммуникации и поддержку (например, сервисы тикетов/почтовые сервисы) — в объёме, необходимом для обработки обращений и поддержки.
5.3. Передача данных государственным органам (ФНС, Роскомнадзор, МВД и др.) осуществляется исключительно по официальному запросу и в порядке, предусмотренном законодательством РФ.

5.4. Трансграничная передача персональных данных не осуществляется.

Медиграм стремится использовать локальное размещение статических компонентов сайта (включая шрифты и библиотеки), чтобы исключить обращение браузера пользователя к зарубежным доменам при загрузке страницы. При подключении (планируемом или фактическом) сторонних компонентов/сервисов, использование которых может повлечь трансграничную передачу технической информации (например, IP‑адреса) провайдерам таких компонентов/сервисов, Медиграм заранее обновляет настоящую Политику и (когда требуется) обеспечивает получение необходимых согласий.

5.5. Передача данных пациентов в кредитные сервисы по поручению Клиента
Если Клиент использует функциональность Платформы для передачи данных пациента в сервисы оформления рассрочки/кредита, такая передача осуществляется по инициативе и по инструкциям Клиента.
Медиграм в этом процессе выполняет роль технического канала передачи и не определяет цели и содержание дальнейшей обработки такими сервисами.
Клиент обязуется самостоятельно обеспечить наличие законных оснований и необходимых согласий пациента и определить состав передаваемых данных.
Сервисы рассрочки/кредитования являются самостоятельными операторами ПДн и несут ответственность за свою дальнейшую обработку.

6. МЕРЫ ЗАЩИТЫ ПДН
6.1. Медиграм применяет правовые, организационные и технические меры защиты ПДн, включая (по необходимости): шифрование соединения (SSL/TLS), разграничение прав доступа, резервное копирование, контроль доступа и иные меры в соответствии со ст. 19 Федерального закона №152‑ФЗ.
6.2. Медиграм вправе обезличивать персональные данные для статистических и аналитических целей при условии, что обезличенные данные не позволяют идентифицировать субъекта без дополнительной информации.

7. COOKIE
7.1. Сайт использует cookie для аутентификации, корректной работы Платформы, аналитики и безопасности.
7.2. Согласие на использование cookie (когда требуется) предоставляется пользователем путём совершения конкретного действия в баннере уведомления (например, нажатием «Принять»).
7.3. Пользователь вправе отказаться от cookie путём изменения настроек браузера, что может повлиять на корректную работу сайта/Платформы.
7.4. На сайте используется сервис веб‑аналитики «Яндекс.Метрика», который может использовать файлы cookie. В уведомлении (cookie-баннере) Медиграм информирует пользователей о целях и способах использования cookie и предоставляет информацию о способах отказа от cookie (через настройки браузера/устройства). Согласие (когда требуется) предоставляется пользователем в cookie‑баннере путем нажатия кнопки «Принять/Согласен».
7.5. При использовании встроенных на сайте сервисов третьих лиц (например, карт и онлайн‑чата) на устройстве пользователя могут устанавливаться файлы cookie и/или применяться иные технологии таких третьих лиц. Пользователь может ограничить их использование в настройках браузера; это может повлиять на работу карты/чата.

8. АКТУАЛИЗАЦИЯ, ИЗМЕНЕНИЕ И УДАЛЕНИЕ ДАННЫХ
8.1. Запросы субъектов ПДн направляются на support@medigram.ru.
8.2. Срок ответа: не позднее 10 рабочих дней (может быть продлён на 5 рабочих дней с уведомлением) — в случаях и порядке, предусмотренных применимым законодательством РФ.
8.3. Прекращение обработки и удаление данных:
— при отзыве согласия (когда обработка основана на согласии) обработка прекращается, и данные удаляются в течение 30 дней, если отсутствуют иные законные основания для продолжения обработки;
— данные, подлежащие хранению по закону (например, для бухгалтерского/налогового учёта), хранятся в пределах установленных законом сроков.

9. РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ (УТЕЧКИ)
9.1. В случае выявления неправомерного доступа к персональным данным или утечки Медиграм действует в порядке и сроки, установленные законодательством РФ, включая уведомление уполномоченного органа и проведение внутреннего расследования.
9.2. При выявлении инцидента безопасности (утечки) персональных данных Медиграм направляет первичное уведомление в Роскомнадзор в течение 24 часов с момента выявления инцидента и направляет результаты внутреннего расследования в течение 72 часов, если такие обязанности применимы к Медиграм в соответствии с законодательством РФ.

10. ИЗМЕНЕНИЯ ПОЛИТИКИ
10.1. Медиграм вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её опубликования на Сайте.
10.2. Предыдущие версии утрачивают силу с момента публикации новой редакции.