Политика конфиденциальности

сервиса «Stomly» (платформа для стоматологических клиник)

Дата вступления в силу: 31 марта 2026 г.

Последнее обновление: 31 марта 2026 г.

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей сервиса «Stomly» (далее — «Сервис»), включая:

веб-виджет онлайн-записи (далее — «Виджет»);
Telegram-бот для пациентов (далее — «Бот»);
административную панель управления клиникой (далее — «Панель»).

1.2. Оператор персональных данных:
ИП Субботин Артём Аркадьевич (далее — «Оператор»)
ИНН: 440126757099
ОГРНИП: 321440000015542
Адрес: 156007, Костромская обл., г. Кострома, мкр. Якиманиха, д. 1, кв. 9
E-mail: support@stomly.ru

1.3. Настоящая Политика разработана в соответствии с:

Конституцией Российской Федерации;
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ);
Постановлением Правительства РФ от 01.11.2012 № 1119;
Приказом ФСТЭК России от 18.02.2013 № 21;
иными нормативными правовыми актами Российской Федерации.

1.4. Настоящая Политика распространяется на все персональные данные, которые Оператор может получить от субъектов персональных данных (Пациентов, Сотрудников клиник, Администраторов Панели).

2. Основные понятия

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

2.3. Специальные категории персональных данных — данные, касающиеся состояния здоровья субъекта (в контексте Сервиса — информация о стоматологических жалобах, симптомах, направлениях лечения, упомянутых Пациентом в переписке с Ботом).

2.4. Клиника — стоматологическая организация, являющаяся пользователем Сервиса на основании Договора-оферты.

2.5. Пациент — физическое лицо, использующее Виджет или Бот для записи на приём или получения информационной консультации.

3. Категории обрабатываемых данных

3.1. Данные Пациентов (через Виджет и Бот):

Категория	Состав данных	Цель обработки
Идентификационные	ФИО, дата рождения, пол	Идентификация пациента при записи
Контактные	Номер телефона	Связь с пациентом, подтверждение записи
Данные Telegram	ID пользователя, username	Обеспечение работы Бота
Данные о записи	Дата, время приёма, выбранная услуга, врач	Формирование расписания
Данные переписки	Текст сообщений в чате с Ботом	Обработка запросов, AI-консультация
Специальная категория	Информация о симптомах и жалобах, сообщённая Пациентом добровольно	Маршрутизация к нужному специалисту

3.2. Данные сотрудников клиники (через Панель):

Категория	Состав данных	Цель обработки
Идентификационные	ФИО, должность, специализация	Отображение в расписании и виджете
Контактные	E-mail (для авторизации)	Доступ к Панели
Профессиональные	Стаж, образование, фото	Информирование пациентов о враче

4. Цели обработки персональных данных

4.1. Оператор обрабатывает персональные данные в следующих целях:

а) Запись на приём — обработка заявок через Виджет и Бот, формирование расписания (правовое основание: исполнение договора, ст. 6 ч. 1 п. 5 152-ФЗ);

б) Информационная консультация — предоставление общей информации об услугах клиники с помощью AI-ассистента (правовое основание: согласие субъекта, ст. 6 ч. 1 п. 1 152-ФЗ);

в) Администрирование клиники — управление расписанием, пациентами, финансовой отчётностью (правовое основание: исполнение договора с клиникой);

г) Улучшение качества Сервиса — анализ обезличенных данных для совершенствования AI-ассистента (правовое основание: законный интерес оператора, ст. 6 ч. 1 п. 7 152-ФЗ);

д) Уведомления — отправка напоминаний о записи, изменений в расписании (правовое основание: согласие субъекта).

5. Правовые основания обработки

5.1. Оператор обрабатывает персональные данные на следующих правовых основаниях:

Согласие субъекта (ст. 6 ч. 1 п. 1 152-ФЗ) — предоставляется при начале использования Бота или Виджета;
Исполнение договора (ст. 6 ч. 1 п. 5 152-ФЗ) — для выполнения записи на приём;
Законный интерес (ст. 6 ч. 1 п. 7 152-ФЗ) — для обезличенной аналитики и улучшения сервиса.

5.2. Обработка специальных категорий (данные о здоровье):

Осуществляется исключительно на основании явного согласия субъекта (ст. 10 ч. 2 п. 1 152-ФЗ);
Ограничена информацией, добровольно сообщённой Пациентом в чате;
Оператор не является медицинской организацией и не осуществляет медицинскую деятельность;
Данные о здоровье используются исключительно для маршрутизации пациента к соответствующему специалисту клиники.

6. Использование технологий искусственного интеллекта

6.1. Сервис использует технологии искусственного интеллекта (AI) для:

предоставления информационных ответов на вопросы пациентов;
помощи в подборе услуги и специалиста;
автоматизации процесса записи на приём.

6.2. AI-ассистент НЕ осуществляет:

постановку медицинских диагнозов;
назначение лечения или лекарственных препаратов;
замену консультации квалифицированного врача;
обработку медицинских изображений (рентген, КТ и т.д.).

6.3. Все ответы AI-ассистента носят исключительно информационный характер и не являются медицинской консультацией в смысле Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан».

6.4. Текстовые сообщения Пациентов могут передаваться сторонним AI-провайдерам (OpenAI, Inc.) для генерации ответов. При этом:

передаются только текстовые сообщения без привязки к персональным данным (ФИО, телефон не передаются в AI);
AI-провайдер не хранит данные переписки для обучения своих моделей (используется API-режим);
серверы AI-провайдера могут находиться за пределами РФ; первичная обработка и хранение данных осуществляются на территории РФ.

7. Передача данных третьим лицам

7.1. Оператор может передавать персональные данные следующим третьим лицам:

Получатель	Какие данные	Основание	Цель
Клиника (стоматологическая организация)	ФИО, телефон, дата записи, выбранная услуга	Исполнение договора	Оказание медицинских услуг
OpenAI, Inc. (AI-провайдер)	Обезличенный текст сообщений	Согласие субъекта	Генерация ответов AI
Хостинг-провайдер	Технические данные	Законный интерес	Обеспечение работы серверов

7.2. Оператор не продаёт, не сдаёт в аренду и не передаёт персональные данные Пациентов третьим лицам в маркетинговых целях.

7.3. Оператор может раскрыть данные по законному требованию государственных органов РФ в порядке, установленном законодательством.

8. Хранение и защита данных

8.1. Место хранения: Персональные данные хранятся на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями ст. 18 ч. 5 152-ФЗ.

8.2. Срок хранения:

Данные записей на приём: 3 (три) года с момента последнего визита;
Данные переписки с Ботом: 1 (один) год с момента последнего сообщения;
Данные учётных записей Панели: на протяжении действия договора + 1 год;
После истечения срока данные уничтожаются в течение 30 дней.

8.3. Меры защиты:

Шифрование данных при передаче (TLS 1.2+);
Хэширование паролей (bcrypt);
Аутентификация доступа к Панели (JWT-токены с ограниченным сроком жизни);
Ограничение доступа к базе данных (role-based access);
Регулярное резервное копирование;
Логирование доступа к персональным данным.

9. Права субъектов персональных данных

9.1. Субъект персональных данных имеет право:

а) Получить информацию об обработке своих персональных данных (ст. 14 152-ФЗ);

б) Требовать уточнения персональных данных, их блокирования или уничтожения, если они являются неполными, устаревшими, неточными (ст. 14 ч. 1 152-ФЗ);

в) Отозвать согласие на обработку персональных данных, направив заявление Оператору (ст. 9 ч. 2 152-ФЗ);

г) Требовать удаления своих персональных данных (ст. 14 ч. 1 152-ФЗ);

д) Обжаловать действия Оператора в уполномоченный орган (Роскомнадзор) или в судебном порядке.

9.2. Для реализации своих прав субъект направляет запрос на e-mail Оператора: support@stomly.ru с указанием:

ФИО;
номера телефона, использованного при записи;
сути запроса.

9.3. Оператор рассматривает запрос в течение 30 (тридцати) календарных дней с момента получения.

9.4. При отзыве согласия Оператор прекращает обработку данных в течение 30 дней, за исключением случаев, когда обработка необходима для исполнения договора или требуется в силу закона.

10. Cookies и аналитика

10.1. Виджет может использовать технические cookies для:

сохранения состояния сессии записи;
запоминания выбранного языка.

10.2. Виджет не использует cookies для отслеживания пользователей, профилирования или рекламных целей.

10.3. Сервис не использует сторонние аналитические системы (Google Analytics, Яндекс.Метрика и пр.) в Виджете и Боте.

11. Трансграничная передача

11.1. При использовании AI-провайдера (OpenAI, Inc., США) тексты сообщений могут передаваться на серверы за пределами РФ.

11.2. Такая передача осуществляется:

только обезличенных текстовых данных (без ФИО, телефонов);
на основании согласия субъекта;
в режиме API, исключающем хранение и использование данных для обучения моделей;
в соответствии со ст. 12 152-ФЗ.

11.3. Первичная запись, хранение и систематизация персональных данных осуществляются в базах данных на территории РФ.

12. Изменение Политики

12.1. Оператор вправе вносить изменения в настоящую Политику.

12.2. При внесении существенных изменений Оператор уведомляет пользователей через:

публикацию обновлённой версии по адресу https://stomly.ru/legal/privacy-policy;
сообщение в Боте (для Пациентов);
уведомление в Панели (для сотрудников клиник).

12.3. Продолжение использования Сервиса после публикации изменений означает согласие с обновлённой Политикой.

13. Контактная информация

По всем вопросам, связанным с обработкой персональных данных, обращайтесь:

E-mail: support@stomly.ru
Почтовый адрес: 156007, Костромская обл., г. Кострома, мкр. Якиманиха, д. 1, кв. 9

Уполномоченный орган: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), https://rkn.gov.ru