Legal · 152-ФЗ · GDPR · HIPAA

Privacy Policy

Документ v1.0 Effective Q4 2027 Обновлено 2026-06-03 Operator Center Group Company LLC
Главное. Сайт ecg-reader.com не собирает персональные данные посетителей: нет форм, нет аналитики, нет cookie-трекеров. Сервис ECG Reader обрабатывает только псевдонимизированные ЭКГ-данные на стороне медицинской организации. Идентифицирующие данные остаются у заказчика и в наш периметр не передаются. Связь между псевдонимом и пациентом — у заказчика.

1. Введение

Center Group Company LLC (далее — «Оператор», «мы») — разработчик и оператор клинической системы поддержки принятия решений ECG Reader для интерпретации электрокардиограмм. Настоящая политика описывает, какую информацию мы собираем, как используем и какие у вас есть права.

Применимые стандарты:

  • 152-ФЗ «О персональных данных» (РФ)
  • 242-ФЗ о локализации данных РФ
  • 323-ФЗ «Об основах охраны здоровья граждан»
  • GDPR (Regulation EU 2016/679)
  • HIPAA (US)
  • CCPA / CPRA (California)
  • UAE PDPL · KSA PDPL · Singapore PDPA · Brazil LGPD
  • EU AI Act 2024 Article 13 (прозрачность)

2. Какие данные мы собираем

2.1 На сайте ecg-reader.com

Сайт не собирает персональные данные посетителей. Нет форм обратной связи, нет cookie, нет аналитических систем (Метрика, Google Analytics, Hotjar, etc.). Сервер хранит обезличенные технические access-логи (IP подсетью /24, User-Agent, время запроса) в течение 30 дней — исключительно для безопасности и предотвращения атак.

Согласно ст. 22 152-ФЗ оператор персональных данных не образуется. Уведомление в РКН не подаётся.

2.2 В клиническом сервисе

Через интеграцию с МИС медицинской организации обрабатываются:

  • Псевдонимизированные ЭКГ-сигналы (12 отведений)
  • Псевдонимизированные клинические метаданные (возраст, пол, категория симптомов, диагнозы)
  • Сведения об аппарате (производитель / модель)
  • Псевдонимизированные клинические исходы для PMCF
Важно. Мы НЕ собираем напрямую идентифицирующие данные пациентов. Имена, даты рождения, адреса остаются у заказчика. Псевдонимизированные данные передаются по уникальному коду — связь «код ↔ пациент» хранит заказчик.

3. Цели обработки

  • Клиническая интерпретация ЭКГ через dual-AI consensus
  • Формирование автоматических заключений и предупреждений
  • Continuous learning моделей (по PCCP)
  • Post-Market Clinical Follow-up (PMCF)
  • Аудит-trail для регуляторного надзора (Росздравнадзор / FDA / EMA)
  • Информационная безопасность

5. С кем мы делимся

Мы передаём данные только:

  • Партнёрскому AI-движку (Engine B) — для cross-validation. Соглашение DPA. Никакого вторичного использования.
  • Облачному провайдеру — Yandex Cloud (РФ-резидентность 242-ФЗ); для зарубежных деплоев — AWS/Azure с region pinning EU/US.
  • Регуляторам — Росздравнадзор, FDA, EMA — только по обоснованному запросу.

Никаких продаж данных. Никакого маркетингового профилирования. Никаких third-party трекеров.

6. Ваши права

  • Доступ к своим данным (через заказчика)
  • Уточнение / исправление
  • Удаление (right to erasure / право на забвение)
  • Ограничение обработки
  • Перенос данных (data portability)
  • Отзыв согласия
  • Жалоба в Роскомнадзор / DPA вашей юрисдикции

Поскольку прямого контакта с пациентом у нас нет, обращение направляется через медицинскую организацию-заказчика, которая держит связь «код ↔ пациент».

7. Безопасность

  • TLS 1.3 в передаче; AES-256-GCM в покое
  • HSM-управление ключами (Yandex Cloud KMS / HashiCorp Vault)
  • Immutable audit log с chained-hash SHA-256
  • RBAC + ABAC + ZTA
  • SOC 2 Type II (целевая сертификация Y2)
  • ISO 27001 + ISO 27799 (целевые сертификации Y2)

8. Сроки хранения

  • ЭКГ-данные и метаданные — срок, согласованный с заказчиком в DPA (типично 5–10 лет согласно медицинскому законодательству)
  • Аудит-trail — 10 лет (требование Росздравнадзора)
  • Технические логи — 30 дней
  • Журнал PCCP-обновлений моделей — постоянно

9. Трансграничные передачи

Для пациентов РФ — данные хранятся на территории РФ (242-ФЗ). Для пациентов ЕС — данные в EU-регионе или с использованием SCC / DPF. Для пациентов США — HIPAA-compliant region. Для пациентов Залива — UAE PDPL / KSA PDPL compliant.

10. EU AI Act 2024 · Article 13 transparency

Согласно ст. 13 EU AI Act 2024 пользователи и пациенты должны быть проинформированы о использовании AI-системы. Эту обязанность исполняет медицинская организация-заказчик через информированное согласие, в котором указывается:

  • Использование ECG Reader как AI-системы поддержки решений
  • Что AI не заменяет заключение лечащего врача
  • Что финальное решение остаётся за врачом
  • Право пациента отказаться от AI-поддержки и получить только человеческую интерпретацию

11. Контакты Data Protection Officer