Политика обработки персональных данных

Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей сервиса MedIQ (далее — «Сервис», «Оператор») в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Оператор — платформа MedIQ, контактный email: mediqinfo@mail.ru.

Используя Сервис, вы подтверждаете, что прочитали настоящую Политику и даёте согласие на обработку персональных данных в указанных целях.

• Ст. 6 ч. 1 п. 1 152-ФЗ — согласие субъекта персональных данных (при регистрации и использовании Сервиса).
• Ст. 6 ч. 1 п. 5 152-ФЗ — исполнение договора (Оферта на оказание услуг).
• Ст. 6 ч. 1 п. 6 152-ФЗ — осуществление законной деятельности оператора (ведение учёта платежей, налоговая отчётность).

3.1. При входе через Telegram:

• Telegram ID (числовой идентификатор)
• Отображаемое имя (first name, last name)
• Имя пользователя в Telegram (username, если указан)
• Аватар (URL изображения профиля)

3.2. При регистрации по email:

• Адрес электронной почты
• Имя на сайте (задаётся пользователем)
• Хеш пароля (необратимое преобразование, пароль в открытом виде не хранится)

3.3. В процессе использования Сервиса:

• История ответов на вопросы и прогресс обучения
• Данные алгоритма интервального повторения (SRS-карточки)
• Избранные вопросы и результаты экзаменов
• Выбранная специальность

3.4. Технические данные:

• IP-адрес и сведения о браузере (из HTTP-заголовков)
• Время создания сессии и последнего входа

3.5. При оплате:

• Адрес электронной почты для отправки чека по 54-ФЗ
• Идентификатор транзакции (присваивается платёжной системой)
• Данные банковской карты Оператор не получает и не хранит — они обрабатываются исключительно ЮKassa.

• Идентификация и аутентификация пользователя
• Предоставление доступа к функциям Сервиса
• Работа алгоритма интервального повторения и сохранение прогресса
• Обработка платежей и выдача подписки
• Формирование кассового чека в соответствии с 54-ФЗ
• Уведомления через Telegram-бот (только с согласия пользователя, отзываемого в любой момент в настройках бота)
• Поддержка пользователей и ответы на обращения
• Улучшение Сервиса на основе обезличенной статистики

Оператор не продаёт персональные данные. Данные могут передаваться:

• Инфраструктурным провайдерам (хостинг, база данных) — в объёме, необходимом для технической работы Сервиса.
• ЮKassa (ООО НКО «ЮМани») — идентификаторы транзакций и email для формирования чека.
• Google (Gemini API) — обезличенное содержание тестовых вопросов для генерации пояснений ИИ; персональные идентификаторы не передаются.
• Telegram — взаимодействие через официальный Bot API; данные передаются только в объёме, предусмотренном протоколом авторизации.
• Государственным органам — при наличии законного запроса в установленном законодательством порядке.

Сервис использует Google Gemini API (США) для генерации ИИ-пояснений к вопросам. В запросы передаётся только текст вопросов и вариантов ответов — без имён, идентификаторов или иных персональных данных пользователей.

Оператор уведомляет Роскомнадзор о трансграничной передаче данных в порядке, установленном ст. 12 152-ФЗ.

• Данные аккаунта — в течение срока существования аккаунта + 3 года после удаления.
• История обучения — до удаления аккаунта.
• Технические логи (IP, браузер) — не более 12 месяцев.
• Платёжные записи — 5 лет (требования налогового учёта, 402-ФЗ).

Оператор принимает следующие меры для защиты данных:

• Передача данных осуществляется по зашифрованному каналу (HTTPS/TLS).
• Пароли хранятся в виде необратимого хеша (bcrypt).
• Доступ к базе данных ограничен; прямой доступ из интернета закрыт.
• Администраторский интерфейс защищён ролевой моделью доступа.
• Webhook Telegram-бота верифицируется секретным токеном.

Сервис использует технические файлы cookie, необходимые для работы:

• Сессионный cookie — хранит сессию авторизованного пользователя (next-auth.session-token). Удаляется при выходе из аккаунта.
• CSRF-токен — защита от межсайтовой подделки запросов.

Сервис не использует сторонние аналитические или рекламные cookie-файлы (Google Analytics, Яндекс.Метрика и аналогичные не подключены).

В соответствии со ст. 14–17 152-ФЗ вы вправе:

• Получить информацию об обрабатываемых персональных данных
• Уточнить (исправить) неточные данные
• Удалить данные («право на забвение»)
• Отозвать согласие на обработку
• Обжаловать действия Оператора в Роскомнадзор (rkn.gov.ru)

Запросы направляйте по адресу mediqinfo@mail.ru. Ответим в течение 30 дней.

Удаление аккаунта доступно в настройках профиля или по запросу на указанный email.

Сервис предназначен для лиц старше 18 лет (студенты медицинских вузов и практикующие медицинские работники). Регистрируясь в Сервисе, вы подтверждаете достижение возраста 18 лет.

Оператор вправе вносить изменения в настоящую Политику. О существенных изменениях пользователи будут уведомлены через Telegram-бот или по email не менее чем за 14 дней. Актуальная версия всегда доступна по адресу mediqpro.ru/privacy.

По вопросам обработки персональных данных обращайтесь: mediqinfo@mail.ru