Политика конфиденциальности

1. Общие положения

Настоящая Политика определяет порядок обработки персональных данных пользователями облачной системы DentaFlow (далее — «Сервис»), принадлежащей ООО «ДентаФлоу» (реквизиты указаны на странице «Контакты»). Политика разработана в соответствии с Законом Республики Таджикистан от 03.08.2018 № 1537 «О защите персональных данных».

2. Оператор персональных данных

Оператором является ООО «ДентаФлоу» (Республика Таджикистан, г. Душанбе). Реквизиты и контактные данные оператора указаны в разделе «Контакты».

3. Состав обрабатываемых данных

В рамках работы Сервиса Оператор обрабатывает следующие категории данных:

• Данные пользователей (сотрудников клиник): ФИО, email, телефон, должность, зашифрованный пароль, логи действий, IP-адрес, данные устройства и браузера.
• Данные пациентов клиники (в качестве обработчика по поручению клиники-клиента): ФИО, дата рождения, контактные данные, медицинская информация, результаты обследований, документы, финансовая история. Клиника выступает оператором этих данных, Сервис — обработчиком.
• Платёжные данные: реквизиты организации, данные о платежах (без хранения полных номеров банковских карт — PCI DSS).

4. Цели обработки

• Предоставление функциональности Сервиса и исполнение договора.
• Техническая поддержка и информирование пользователей.
• Обеспечение безопасности, предотвращение мошенничества.
• Улучшение качества Сервиса (агрегированная статистика).
• Исполнение требований законодательства (налоговый учёт, медицинская отчётность).

5. Правовые основания

Обработка данных осуществляется на основании ст. 6 Закона РТ № 1537 «О защите персональных данных»: согласие субъекта персональных данных, исполнение договора, законные интересы оператора, требования законодательства Республики Таджикистан.

6. Сроки хранения

Данные хранятся в течение срока действия договора с клиникой-клиентом и 5 лет после его расторжения (в соответствии с требованиями налогового и медицинского законодательства Республики Таджикистан). Пациентские данные передаются клинике или уничтожаются по её письменному запросу в течение 30 дней после расторжения договора.

7. Места хранения и трансграничная передача

Персональные данные граждан Республики Таджикистан хранятся на серверах, расположенных на территории Республики Таджикистан (в соответствии с требованиями Закона РТ № 1537 «О защите персональных данных»). Трансграничная передача данных не осуществляется.

8. Меры защиты

• Шифрование данных при передаче (TLS 1.3) и хранении (AES-256).
• Двухфакторная аутентификация (TOTP) для администраторов.
• Ролевая модель доступа (RBAC) и журналирование всех действий.
• Ежедневное резервное копирование в территориально разнесённое хранилище.
• Регулярный аудит безопасности и penetration-тестирование.

9. Права субъекта персональных данных

Вы имеете право:

• получить информацию о составе обрабатываемых данных;
• требовать уточнения, блокирования или уничтожения данных;
• отозвать согласие на обработку;
• обжаловать действия Оператора в уполномоченном органе по защите персональных данных Республики Таджикистан или в суде.

Запросы направляйте на privacy@dentaflow.pro. Срок ответа — не более 10 рабочих дней.

10. Изменения политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция всегда публикуется по адресу /privacy. Существенные изменения сопровождаются уведомлением пользователей по email за 30 дней до вступления в силу.

11. Контакты для вопросов о персональных данных

Ответственный за обработку ПДн: privacy@dentaflow.pro
Почтовый адрес: указан на странице «Контакты».