Политика обработки данных о здоровье

1.1. Настоящая Политика обработки данных о здоровье (далее — «Политика») разработана в дополнение к Политике конфиденциальности Сервиса EYWA, расположенной по адресу https://eywa.uz/privacy, и определяет особенности обработки сведений о здоровье, добровольно передаваемых Субъектами персональных данных (далее — «Субъект») в процессе использования Сервиса.

1.2. Политика разработана в соответствии с Конституцией Республики Узбекистан, Законом Республики Узбекистан «О персональных данных» №ЗРУ-547 от 02 июля 2019 года (в том числе статьёй 24 о специальных категориях персональных данных), Законом Республики Узбекистан «Об охране здоровья граждан», а также с учётом применимого к Субъекту законодательства иных юрисдикций о защите медицинских и связанных с ними сведений (включая требования отдельных штатов США — Washington My Health My Data Act, общий режим GDPR для резидентов ЕС и иные).

1.3. Оператором персональных данных является Общество с ограниченной ответственностью «Alcyone Technologies» (далее — «Оператор»).

1.4. Политика применяется дополнительно к общим правилам обработки персональных данных и не ограничивает прав Субъектов, предусмотренных Политикой конфиденциальности и законодательством.

3.1. Сервис активно не запрашивает данные о здоровье. Такие данные могут попасть в Сервис исключительно по инициативе Субъекта, в частности:

1) при формулировании запросов, содержащих описание симптомов, диагнозов, приёма лекарственных средств, показателей физиологии;

2) при загрузке медицинских документов: выписки, справки, результаты анализов и обследований;

3) при подключении сторонних приложений и устройств, передающих данные о физической активности, сне, пульсе и иных показателях здоровья;

4) при запросах, затрагивающих ментальное состояние, психоэмоциональное самочувствие, репродуктивное здоровье;

5) при сохранении таких сведений в памяти Сервиса и проектах Субъекта.

3.2. Категории данных о здоровье, подпадающих под действие настоящей Политики, включают: диагнозы и упоминания заболеваний; принимаемые лекарственные средства и дозировки; физиологические показатели; сведения о ментальном состоянии; сведения о репродуктивном здоровье; биометрические данные, извлекаемые из загружаемых файлов; сведения, позволяющие косвенно установить состояние здоровья (в том числе сведения о посещении медицинских учреждений, покупках в аптеках, геолокации, если она явно сообщается Субъектом).

4.1. Оператор обрабатывает данные о здоровье исключительно в следующих целях:

1) оказание Субъекту услуги в рамках его запроса (составление конспекта, перевод медицинской терминологии, подготовка вопросов к специалисту);

2) сохранение истории диалогов и элементов памяти Субъекта в рамках общего функционирования Сервиса;

3) обеспечение безопасности Сервиса, предотвращение злоупотреблений и защита прав иных пользователей;

4) исполнение обязанностей, возложенных на Оператора законодательством.

4.2. Данные о здоровье не обрабатываются для следующих целей:

1) обучение языковой модели или иные исследовательские цели без явного отдельного согласия Субъекта;

2) рекламное профилирование, маркетинговый таргетинг, кросс-платформенная реклама;

3) передача рекламодателям, брокерам данных или иным лицам в коммерческих целях.

5.1. Обработка данных о здоровье осуществляется в соответствии со статьёй 24 Закона о ПД на следующих основаниях:

1) добровольное информированное согласие Субъекта, выраженное путём начала использования Сервиса, сохранения соответствующих сведений в диалоге, памяти или проектах;

2) защита жизненно важных интересов Субъекта или третьих лиц, если получение согласия невозможно;

3) исполнение обязанностей, возложенных на Оператора законодательством;

4) защита прав и законных интересов Оператора или третьих лиц при условии, что не нарушаются права и свободы Субъекта.

5.2. Субъект вправе отозвать согласие в любое время путём направления уведомления на privacy@eywa.uz, а также путём удаления соответствующих данных из интерфейса Сервиса.

6.1. Оператор не продаёт данные о здоровье. Передача таких сведений третьим лицам осуществляется исключительно в следующих случаях:

1) Интеграции, инициированные самим Субъектом (передача в сторонние сервисы трекинга здоровья, медицинские платформы) — в объёме и на условиях, определяемых соответствующей Интеграцией и её согласиями;

2) подрядчикам инфраструктуры, обеспечивающим функционирование Сервиса, на основании договоров, предусматривающих защиту данных на уровне не ниже требований настоящей Политики;

3) по законному требованию компетентных органов, оформленному в соответствии с процессуальным законодательством;

4) для защиты жизни и здоровья Субъекта или третьих лиц в экстренных ситуациях, когда получение согласия невозможно.

6.2. Сведения об объёме данных, передаваемых через Интеграции, доступны Субъекту в настройках соответствующей Интеграции. Субъект вправе в любое время отключить Интеграцию и запросить удаление ранее переданных данных в соответствующем внешнем сервисе.

7.1. Данные о здоровье хранятся в той же инфраструктуре, что и иные пользовательские данные, в дата-центрах, физически расположенных на территории Республики Узбекистан.

7.2. В отношении данных о здоровье применяются повышенные организационные и технические меры защиты: шифрование при передаче (TLS 1.3 и выше) и в покое; разграничение доступа по принципу минимальных привилегий; регулярный аудит доступа; повышенное внимание к анонимизации в агрегированной статистике; обязательность согласия Субъекта для любых ручных просмотров.

7.3. Сроки хранения соответствуют общим срокам, установленным Политикой конфиденциальности: данные сохраняются, пока Субъект не удалит их самостоятельно или не удалит учётную запись. После удаления данные исключаются из активного контура, а из резервных копий уничтожаются в срок не позднее 30 (тридцати) календарных дней в ходе штатной ротации.

8.1. Субъект имеет все права, предусмотренные Политикой конфиденциальности и Законом о ПД, включая:

1) право требовать предоставления сведений о составе и порядке обработки данных о здоровье;

2) право на получение экспортируемой копии данных в машиночитаемом формате;

3) право на уточнение, блокирование и удаление данных;

4) право на отзыв согласия на обработку и прекращение обработки;

5) право возражать против использования данных для целей, отличных от целей, предусмотренных настоящей Политикой;

6) право подать жалобу в уполномоченный государственный орган — Государственную инспекцию по контролю в сфере информатизации и телекоммуникаций Республики Узбекистан.

8.2. Для Субъектов, на которых распространяется законодательство иных юрисдикций (в том числе Washington My Health My Data Act, GDPR, иные), реализация прав осуществляется в объёме, предусмотренном применимым законом. Субъект вправе сообщить о применимой юрисдикции при направлении запроса.

8.3. Обращения направляются на privacy@eywa.uz. Срок рассмотрения — не более 15 (пятнадцати) рабочих дней с момента получения полного комплекта сведений, необходимых для идентификации Субъекта и существа требования.

9.1. Сервис не предназначен для лиц моложе 18 лет. Обработка данных о здоровье несовершеннолетних не допускается.

9.2. В случае обнаружения факта попадания в Сервис данных о здоровье несовершеннолетнего без согласия законного представителя такие данные подлежат удалению в срок не позднее 7 (семи) рабочих дней с момента получения соответствующего уведомления на privacy@eywa.uz.

10.1. Ответы Сервиса не являются медицинской помощью, диагнозом, заключением врача, назначением лечения или рекомендацией о выборе лекарственных средств. Ответы носят исключительно информационный характер.

10.2. Для принятия решений, связанных с состоянием здоровья, Субъект обязан обратиться к квалифицированному медицинскому специалисту.

10.3. В чрезвычайных ситуациях (угроза жизни, острые симптомы, суицидальные мысли) Субъект должен незамедлительно обратиться в службы экстренной помощи Республики Узбекистан или соответствующей юрисдикции.

11.1. Оператор вправе вносить изменения в Политику с уведомлением Субъектов через интерфейс Сервиса и (или) по электронной почте не позднее чем за 15 (пятнадцать) календарных дней до даты вступления изменений в силу.

11.2. Актуальная редакция размещается по адресу https://eywa.uz/legal/health-data.

Адрес для обращений по вопросам обработки данных о здоровье: privacy@eywa.uz.

Адрес для общих вопросов: hello@eywa.uz.

Оператор: Общество с ограниченной ответственностью «Alcyone Technologies», Республика Узбекистан, город Ташкент.