+380 (93) 000 27 29

Політика обробки персональних даних

Dr.Spalah – Профільна студія видалення тату та татуажу

Затверджено: 24 червня 2025 року

1. Загальні положення

1.1. Визначення

Дана Політика обробки персональних даних (далі – “Політика”) визначає порядок обробки персональних даних у Dr.Spalah (далі – “Володілець”, “Студія”).

1.2. Нормативна база

Політика розроблена відповідно до:

  • Закону України “Про захист персональних даних”
  • Загального регламенту захисту даних (GDPR)
  • Закону України “Про основи національної безпеки України”
  • Постанови КМУ від 06.05.2011 № 483

1.3. Сфера застосування

Політика поширюється на всі види обробки персональних даних, що здійснюються Студією, включаючи автоматизовану та неавтоматизовану обробку.

2. Категорії персональних даних

2.1. Загальні персональні дані:

  • Ідентифікаційні дані (ПІБ, дата народження)
  • Контактні дані (номер телефону, email, адреса)
  • Документи, що посвідчують особу

2.2. Спеціальні категорії персональних даних:

  • Медичні дані та відомості про стан здоров’я
  • Дані про наявність протипоказань до процедур
  • Фотографічні матеріали (до/після процедур)

2.3. Технічні дані:

  • IP-адреса користувача
  • Дані про пристрій та браузер
  • Cookies та аналогічні ідентифікатори
  • Логи відвідування веб-сайту

3. Правові підстави обробки

3.1. Обробка здійснюється на підставі:

  • Згода суб’єкта персональних даних (ст. 11 Закону)
  • Виконання договору про надання медичних послуг
  • Виконання правових зобов’язань володільця
  • Життєво важливі інтереси суб’єкта персональних даних
  • Публічний інтерес у сфері охорони здоров’я

3.2. Форми отримання згоди:

  • Письмова згода (підпис у договорі)
  • Електронна згода (checkbox на сайті)
  • Усна згода (з фіксацією у медичній картці)

4. Мета обробки персональних даних

4.1. Основні цілі:

  • Надання послуг з видалення тату та татуажу
  • Ведення медичної документації
  • Планування та координація процедур
  • Контроль якості наданих послуг

4.2. Додаткові цілі:

  • Маркетингові дослідження та комунікації
  • Покращення якості послуг
  • Статистичний аналіз та звітність
  • Виконання законних вимог контролюючих органів

5. Способи та методи обробки

5.1. Автоматизована обробка:

  • Електронна медична інформаційна система
  • CRM-система для управління клієнтами
  • Веб-аналітика та системи моніторингу
  • Електронна пошта та месенджери

5.2. Неавтоматизована обробка:

  • Паперові медичні картки
  • Друковані договори та згоди
  • Архівні документи
  • Рукописні записи лікарів

5.3. Операції з персональними даними:

  • Збір та отримання
  • Запис та систематизація
  • Зберігання та адаптація
  • Витяг та використання
  • Передача та поширення
  • Блокування та знищення

6. Строки обробки та зберігання

6.1. Медична документація:

  • Медичні картки – 25 років
  • Журнали обліку процедур – 25 років
  • Протоколи обстежень – 25 років

6.2. Договірна документація:

  • Договори про надання послуг – 3 роки
  • Фінансові документи – 3 роки
  • Документи про оплату – 3 роки

6.3. Технічні дані:

  • Логи сервера – 1 рік
  • Cookies – до 2 років
  • Аналітичні дані – 2 роки

6.4. Маркетингові дані:

  • База підписників – до відкликання згоди
  • Історія комунікацій – 1 рік після відписки

7. Доступ до персональних даних

7.1. Категорії осіб, що мають доступ:

  • Лікар-косметолог
  • Адміністратор студії
  • Бухгалтер
  • IT-адміністратор

7.2. Принципи доступу:

  • Мінімально необхідний обсяг даних
  • Рольова модель доступу
  • Контроль та аудит доступу
  • Регулярний перегляд прав доступу

8. Передача персональних даних

8.1. Внутрішня передача:

  • Між співробітниками студії
  • Резервне копіювання
  • Архівування документів

8.2. Зовнішня передача:

  • Медичним консультантам (за необхідності)
  • Контролюючим органам (на вимогу)
  • Постачальникам IT-послуг (з угодою NDA)

8.3. Міжнародна передача:

  • Використання хмарних сервісів Google/Microsoft
  • Веб-аналітика (Google Analytics)
  • Платіжні системи

9. Заходи безпеки

9.1. Технічні заходи:

  • Шифрування даних (AES-256)
  • Безпечні протоколи передачі (HTTPS/TLS)
  • Антивірусний захист
  • Брандмауери та системи виявлення вторгнень
  • Регулярне оновлення програмного забезпечення

9.2. Організаційні заходи:

  • Навчання персоналу з питань захисту даних
  • Контроль доступу до приміщень
  • Угоди про нерозголошення з працівниками
  • Процедури реагування на інциденти
  • Регулярний аудит безпеки

9.3. Фізичні заходи:

  • Замкнені приміщення для зберігання документів
  • Сейфи для особливо важливих документів
  • Системи відеоспостереження
  • Контроль доступу до робочих місць

10. Права суб’єктів персональних даних

10.1. Право на інформацію:

  • Отримання інформації про обробку даних
  • Ознайомлення з цілями обробки
  • Інформація про строки зберігання

10.2. Право доступу:

  • Підтвердження факту обробки
  • Ознайомлення з персональними даними
  • Отримання копії даних

10.3. Право на виправлення:

  • Виправлення неточних даних
  • Доповнення неповних даних
  • Оновлення застарілих даних

10.4. Право на видалення (“право на забуття”):

  • Видалення при відкликанні згоди
  • Видалення при закінченні строків зберігання
  • Видалення при неправомірній обробці

10.5. Право на обмеження обробки:

  • Призупинення обробки на час перевірки
  • Обмеження використання даних
  • Тимчасове блокування доступу

10.6. Право на портативність:

  • Отримання даних у структурованому форматі
  • Передача даних іншому володільцю
  • Машиночитний формат даних

11. Процедури реалізації прав

11.1. Подання запиту:

  • Письмовий запит (особисто, поштою, email)
  • Ідентифікація особи
  • Конкретизація вимог

11.2. Строки розгляду:

  • Стандартні запити – до 30 днів
  • Складні запити – до 60 днів (з повідомленням)
  • Термінові запити – до 72 годин

11.3. Відмова у задоволенні:

  • Мотивована письмова відмова
  • Посилання на норми права
  • Інформація про право оскарження

12. Інциденти з персональними даними

12.1. Типи інцидентів:

  • Несанкціонований доступ
  • Втрата або крадіжка даних
  • Неправомірне розголошення
  • Технічні збої систем

12.2. Процедура реагування:

  • Виявлення та фіксація інциденту
  • Оцінка ризиків та наслідків
  • Вжиття заходів для усунення
  • Повідомлення відповідних органів
  • Документування інциденту

12.3. Повідомлення про інциденти:

  • Уповноваженому – протягом 72 годин
  • Суб’єктам даних – при високому ризику
  • Контролюючим органам – за вимогою

13. Контроль та аудит

13.1. Внутрішній контроль:

  • Щомісячна перевірка доступу
  • Щоквартальний аудит процедур
  • Річний огляд політики
  • Моніторинг дотримання вимог

13.2. Зовнішній аудит:

  • Незалежна оцінка системи захисту
  • Перевірка відповідності вимогам
  • Рекомендації з покращення

14. Відповідальність

14.1. Відповідальна особа:

Email: vladyheras@gmail.com
Телефон: 096 936 9329

14.2. Види відповідальності:

  • Дисциплінарна відповідальність працівників
  • Цивільно-правова відповідальність
  • Адміністративна відповідальність
  • Кримінальна відповідальність (у випадках, передбачених законом)

15. Оновлення політики

15.1. Перегляд політики:

  • Планový перегляд – щорічно
  • Позаплановий перегляд – при зміні законодавства
  • Оновлення при зміні технологій обробки

15.2. Повідомлення про зміни:

  • Розміщення на веб-сайті студії
  • Email-розсилка клієнтам
  • Повідомлення при наступному відвідуванні

16. Контактна інформація

Dr.Spalah – Профільна студія видалення тату та татуажу

📍 Адреса: Дніпровська набережна, 26Б, Київ, 02000
📞 Телефон: 096 936 9329
📧 Email: vladyheras@gmail.com
🌐 Веб-сайт: https://www.drspalah.com.ua/

Відповідальна особа з питань захисту персональних даних:
Email: vladyheras@gmail.com
Телефон: 096 936 9329

З питань обробки персональних даних звертайтеся за вказаними контактами. Дана політика є публічним документом та доступна для ознайомлення на веб-сайті студії.

Отримай безкоштовну консультацію!