Политика конфиденциальности

Illumate предоставляет программное обеспечение для специалистов в области психического здоровья для ведения документации по сессиям, создания черновиков и работы с инструментами на базе ИИ. Обработка персональных данных — в том числе потенциально чувствительной информации о здоровье, которую вы решите хранить — необходима для предоставления Сервиса.

В Политике описаны категории данных, цели и правовые основания обработки (включая GDPR в ЕС/Великобритании, где применимо), получатели данных, сроки хранения, меры безопасности и ваши права. Используя Сервис, вы подтверждаете, что ознакомились с настоящей Политикой.

Если вы пользуетесь Сервисом от имени практики или организации, вы подтверждаете, что уполномочены принять настоящую Политику от её имени там, где это требуется.

Оператором персональных данных при использовании Сервиса является юридическое лицо Illumate, предоставляющее вам Сервис. По вопросам конфиденциальности и для реализации прав: hello@illumate.me. Мы можем запросить подтверждение личности перед выполнением отдельных запросов.

Если вы загружаете или вводите сведения о пациентах или иных третьих лицах, как правило вы являетесь оператором этих данных в профессиональной деятельности, а Illumate обрабатывает их по вашему поручению как обработчик — в той мере, в какой применимое законодательство различает эти роли. Ваши договорённости с пациентами и профессиональные нормы остаются на вашей ответственности.

Политика распространяется на персональные данные, обрабатываемые при посещении маркетингового сайта, создании или использовании учётной записи, загрузке или генерации контента сессий, обращении в поддержку или ином взаимодействии с Сервисом.

Сторонние сайты, интеграции или инструменты, на которые мы ссылаемся, регулируются их условиями. Страница «Безопасность» описывает технические меры на высоком уровне и дополняет настоящую Политику.

Данные учётной записи и идентификации: например имя, профессиональный email, идентификаторы аутентификации, организация, платёжные идентификаторы (если применимо) и настройки коммуникаций.

Данные рабочего процесса и сессий: транскрипты или текст, которые вы предоставляете, аудио при включённой записи или загрузке, заметки и черновики, результаты работы ИИ, идентификаторы пациентов или псевдонимы по вашему выбору, а также связанные метаданные (время, формат, статус задач обработки).

Технические и данные безопасности: IP-адрес, тип устройства и браузера, приблизительное местоположение по IP, диагностические журналы, записи аудита и аналогичная информация для работы и защиты Сервиса.

Обращения в поддержку: сообщения, которые вы нам отправляете (email, встроенная поддержка), включая вложения по вашему выбору.

Мы применяем минимизацию данных: не запрашиваем больше информации, чем разумно необходимо для Сервиса, и рекомендуем псевдонимы или инициалы для ссылок на пациентов, где это уместно для вашей практики.

Мы обрабатываем персональные данные для предоставления, поддержки и улучшения Сервиса (включая генерацию заметок, транскрипцию, функции ИИ-чата, экспорт и аутентификацию), для защиты учётных записей и предотвращения злоупотреблений, для анализа надёжности и производительности в обобщённом виде, для связи с вами по вопросам Сервиса и для соблюдения юридических обязательств.

В зависимости от ситуации и применимого закона мы опираемся на: (a) исполнение договора с вами (ст. 6(1)(b) GDPR); (b) законные интересы, не преобладающие над вашими правами, например обеспечение безопасности платформы, ограниченная продуктовая аналитика и противодействие мошенничеству (ст. 6(1)(f) GDPR); (c) ваше согласие, где оно требуется (ст. 6(1)(a) GDPR), например для отдельных опциональных коммуникаций или необязательных cookie; (d) юридические обязательства (ст. 6(1)(c) GDPR).

При обработке особых категорий персональных данных (например, сведений о здоровье) дополнительно могут применяться ст. 9(2)(h) GDPR (здравоохранение при профессиональных гарантиях), ст. 9(2)(f) GDPR (юридические претензии) или явное согласие, если это уместно в вашей ситуации. Используйте Сервис в соответствии с профессиональными обязанностями и местным законодательством.

Контент, который вы загружаете о терапевтических сессиях, может раскрывать информацию о здоровье субъектов данных. Вы отвечаете за наличие действительного правового основания по нормам профессиональной этики и защиты данных для внесения такой информации в Сервис и за информирование субъектов данных, где это требуется.

Мы не используем ваш конфиденциальный клинический контент для обучения общедоступных моделей. Улучшение продукта — с использованием обобщённых или обезличенных методов, где это возможно, в соответствии с нашими соглашениями и настройками.

Если вам требуется соглашение об обработке данных (DPA) или договор о соблюдении требований к регулируемым медицинским данным (например, BAA), необходимо отдельное письменное соглашение с учётом вашего регуляторного контекста — доступность может зависеть от тарифа и инфраструктуры.

Мы используем cookie и аналогичное хранилище там, где это необходимо для работы сайта (например сессия аутентификации, безопасность, балансировка нагрузки, запоминание настроек).

Если мы используем аналитические или маркетинговые cookie, не являющиеся строго необходимыми, мы запросим согласие там, где это требуется законом. Вы можете управлять cookie в настройках браузера и через баннер cookie, если он предоставлен.

Мы привлекаем поставщиков инфраструктуры, хостинга, баз данных, логирования, email, платежей и инференса ИИ как субподрядчиков; они получают данные только в объёме, необходимом для их функции, на договорных условиях, согласованных с настоящей Политикой.

К категориям поставщиков относятся: облачный хостинг и хранилище; транскрипция и речь-текст; крупные языковые модели и эмбеддинги; платёжные процессоры (например Stripe); инструменты поддержки. Конкретные поставщики могут меняться; обзор категорий публикуется в документации, о существенных изменениях уведомляем там, где требуется.

Мы не продаём ваши персональные данные. Раскрытие возможно по требованию закона, суда или уполномоченного органа, либо для установления, осуществления или защиты правовых требований, с учётом применимых гарантий.

При слиянии, поглощении или продаже активов персональные данные могут быть переданы правопреемнику; мы потребуем соблюдения настоящей Политики или уведомим об изменениях.

Данные могут обрабатываться и храниться в Европейской экономической зоне и в других странах, где работают наши субподрядчики. При передаче из ЕЭЗ, Великобритании или Швейцарии в страны без адекватного уровня защиты мы используем соответствующие гарантии, например стандартные договорные условия Еврокомиссии (SCC) и дополнительные меры при необходимости.

Дополнительную информацию о передачах и гарантиях можно запросить по адресу hello@illumate.me.

Данные учётной записи хранятся, пока аккаунт активен, и разумный срок после этого для разрешения споров, исполнения соглашений и соблюдения закона (включая налоговый и бухгалтерский учёт).

Данные сессий и клинического рабочего процесса хранятся в соответствии с функциональностью Сервиса и настройками (например удаление аудио после транскрипции). При удалении контента или аккаунта мы удаляем или необратимо обезличиваем персональные данные в разумный срок, кроме случаев, когда более длительное хранение требуется по закону или законному интересу (например резервные копии с заданной ротацией).

Журналы безопасности и аудита могут храниться ограниченное время в соответствии с задачами мониторинга и соответствия.

Мы применяем технические и организационные меры, включая шифрование при передаче (TLS), шифрование чувствительных полей при хранении где реализовано, контроль доступа, разделение арендаторов, мониторинг и ограничение доступа персонала.

Ни один способ передачи или хранения не является абсолютно безопасным. Вы отвечаете за надёжные пароли, защиту устройств и настройку Сервиса в соответствии с вашей оценкой рисков.

В зависимости от места проживания вы можете иметь право на: доступ к данным; исправление неточностей; удаление данных в определённых случаях; ограничение обработки; переносимость данных; возражение против обработки на основании законных интересов или в целях прямого маркетинга; отзыв согласия, если обработка на нём основана.

Реализация прав — через hello@illumate.me. Вы также можете подать жалобу надзорному органу в стране проживания, работы или предполагаемого нарушения (для резидентов ЕЭЗ список органов доступен на сайте Европейского совета по защите данных).

Если вы резидент Калифорнии, у вас могут быть дополнительные права по CCPA/CPRA на раскрытие, удаление и отказ от отдельных видов «продажи» или «шеринга»; свяжитесь с нами для их реализации.

Сервис использует автоматизированную обработку и ИИ для предложений, саммари и ответов. Результаты носят вспомогательный характер и могут быть неполными или неточными. Они не являются клиническим решением о пациентах.

Мы не принимаем исключительно автоматизированных решений, порождающих для вас юридические или существенно аналогичные последствия без участия человека в смысле ст. 22 GDPR в отношении владельцев учётных записей.

Сервис предназначен для взрослых и профессионалов. Мы сознательно не собираем персональные данные детей младше возраста, с которого требуется согласие родителей по вашей юрисдикции. Если вы считаете, что мы получили такие данные, свяжитесь с нами — мы их удалим.

Мы можем обновлять Политику с учётом изменений законодательства, технологий или бизнеса. Актуальная версия публикуется с обновлённой датой «Последнее обновление». При существенных изменениях мы предоставим дополнительное уведомление (например по email или в продукте), где это требуется законом.

Вопросы по настоящей Политике и обработке данных: hello@illumate.me.