Vera Vera Вернуться на главную

Политика конфиденциальности

Последнее обновление: Февраль 2026

1. Введение

Кратко: Мы защищаем Вашу медицинскую информацию на высочайшем уровне. Настоящая Политика подробно описывает, что именно мы собираем, для чего и каким образом — с полной прозрачностью.

В Vera защита Вашей конфиденциальности является высшим приоритетом. Настоящая Политика описывает, как мы собираем, используем, храним и защищаем Вашу персональную и медицинскую информацию при использовании приложения Vera, веб-сайта и физических QR-стикеров (далее совместно: «Сервис»).

Мы действуем в соответствии с Законом о защите частной жизни (חוק הגנת הפרטיות, התשמ"א-1981) (включая Поправку 13, התשפ"ה-2025), Правилами о защите частной жизни (безопасность информации) (תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017) и Общим регламентом по защите данных ЕС (GDPR, Regulation 2016/679) в части, применимой к пользователям — резидентам Европейского союза.

Мы рекомендуем внимательно ознакомиться с настоящей Политикой. Использование Сервиса означает согласие на сбор и обработку данных, как описано в настоящей Политике, при условии соблюдения специальных механизмов получения согласия на обработку конфиденциальной медицинской информации, описанных в разделе 7.

Настоящая Политика составлена на иврите. В случае расхождений между версией на иврите и данным переводом, версия на иврите имеет преимущественную силу.

2. Определения

  • «Персональные данные» — любая информация, идентифицирующая лицо или позволяющая его идентифицировать, в соответствии с определением Закона о защите частной жизни.
  • «Конфиденциальные данные» (Information of Special Sensitivity / ISS) — медицинская, связанная со здоровьем информация или иные данные, классифицированные как обладающие особой конфиденциальностью в соответствии с Поправкой 13 к Закону о защите частной жизни, а также «Special Category Data» согласно статье 9 GDPR.
  • «Обработка» — любое действие, совершаемое с данными, включая сбор, хранение, просмотр, использование, передачу, удаление или уничтожение.
  • «Оператор данных» (Data Controller) — лицо, определяющее цели и способы обработки данных — Shalhevet Software Solutions.
  • «Обработчик данных» (Data Processor) — лицо, обрабатывающее данные от имени и по указанию оператора данных.
  • «QR-стикер» — физическая наклейка с уникальным QR-кодом, привязываемая к медицинскому профилю Пользователя.
  • «Сканирование» — действие, при котором третье лицо сканирует QR-код и получает доступ к предоставленной медицинской информации.
  • «Медицинский профиль» — совокупность медицинской информации, вводимой Пользователем в Приложение.

3. Оператор данных (Data Controller)

Shalhevet Software Solutions

Эл. почта: contact@shalhevet.tech

Телефон: +972-54-681-1111

Веб-сайт: www.shalhevet.tech

Shalhevet Software Solutions является оператором базы данных и лицом, ответственным за обработку Ваших персональных данных.

3.1 Ответственный за защиту данных (DPO)

В соответствии с Поправкой 13 к Закону о защите частной жизни, Vera назначила ответственного за защиту данных, обеспечивающего соблюдение требований законодательства. По вопросам конфиденциальности обращайтесь:

Ответственный за защиту данных — Shalhevet Software Solutions

Эл. почта: contact@shalhevet.tech

4. Виды собираемых данных

Кратко: Мы собираем только те данные, которые необходимы для функционирования Сервиса — базовые персональные данные, медицинскую информацию (при наличии явного согласия), платёжные данные и техническую информацию.

4.1 Идентифицирующие персональные данные

  • Полное имя
  • Дата рождения
  • Номер телефона
  • Адрес электронной почты
  • Адрес доставки (город, улица, квартира, почтовый индекс)

4.2 Конфиденциальные медицинские данные

Данная информация классифицируется как «данные особой конфиденциальности» (ISS) в соответствии с Поправкой 13 к Закону о защите частной жизни и как «Special Category Data» согласно статье 9 GDPR. Данная информация обрабатывается с наивысшим уровнем защиты и собирается исключительно на основании явного, отдельного и однозначного согласия.

  • Лекарственные препараты (наименования, дозировки, частота приёма)
  • Аллергии и чувствительность
  • Хронические заболевания и фоновые состояния
  • Группа крови
  • Контакты экстренной связи (имена, номера телефонов, степень родства)
  • Дополнительная медицинская информация, которую Пользователь решает внести в профиль

4.3 Платёжные данные и сведения о транзакциях

  • Реквизиты транзакций (сумма, дата, приобретённый товар)
  • Реквизиты банковской карты — обрабатываются непосредственно Stripe и не хранятся на серверах Vera
  • Адрес для выставления счёта (если отличается от адреса доставки)

4.4 Технические данные и данные об использовании

  • IP-адрес
  • Тип устройства, операционная система и версия браузера
  • Идентификатор устройства (Device ID) и идентификатор установки (Firebase Installation ID)
  • Данные об использовании приложения (просмотренные страницы, действия, время использования)
  • Журналы сканирований QR (временная метка, IP-адрес сканирующего, тип устройства сканирующего)
  • Языковые предпочтения
  • Отчёты о сбоях (Crash Reports)

4.5 Данные, которые мы не собираем

  • Мы не собираем данные о местоположении (GPS) с устройства.
  • Мы не собираем биометрические данные (отпечатки пальцев, распознавание лица).
  • Мы не собираем информацию из списка контактов устройства.

5. Способы сбора данных

  • Непосредственно от Вас — информация, которую Вы активно вводите: регистрация учётной записи, заполнение медицинского профиля, оформление заказа, обращение в службу поддержки.
  • Автоматически — техническая информация, собираемая автоматически при использовании: IP-адрес, тип устройства, данные об использовании, журналы сканирований QR.
  • От поставщиков услуг — информация, генерируемая нашими поставщиками услуг: данные о транзакциях от Stripe, аналитические данные от Firebase.

Обязательность предоставления данных: Предоставление базовых персональных данных (имя, эл. почта, телефон) необходимо для создания учётной записи. Предоставление медицинской информации является полностью добровольным, однако необходимо для использования основных функций Сервиса (медицинский профиль, QR-стикер). Без медицинской информации активация QR-стикера и использование функций проверки безопасности невозможны.

6. Цели обработки данных и правовая основа

Кратко: Мы используем Вашу информацию исключительно для обеспечения работы Сервиса, его безопасности и совершенствования. Мы не продаём данные, не используем их для рекламы и не составляем профили пользователей.

Вид данных Цель Правовая основа (Израиль / GDPR)
Медицинские данные Создание медицинского профиля, передача экстренной информации через QR, проверка безопасности лекарств Явное согласие (ст. 1 Закона / Art. 6(1)(a) + Art. 9(2)(a) GDPR)
Медицинские данные (экстренное сканирование) Отображение жизненно важной медицинской информации сканирующему QR в экстренных ситуациях Жизненно важные интересы (Art. 6(1)(d) + Art. 9(2)(c) GDPR)
Платёжные данные Обработка покупки стикеров, выставление счетов Исполнение договора (Art. 6(1)(b) GDPR)
Адрес доставки Доставка физических стикеров Исполнение договора (Art. 6(1)(b) GDPR)
Технические данные Обеспечение работы приложения, безопасность, предотвращение мошенничества, улучшение сервиса Законный интерес (Art. 6(1)(f) GDPR)
Журналы сканирований Безопасность, предотвращение злоупотреблений, отображение истории сканирований пользователю Законный интерес (Art. 6(1)(f) GDPR)
Обращения в службу поддержки Ответы на обращения, решение проблем Исполнение договора / Законный интерес

Чего мы никогда не делаем:

  • Не продаём персональные или медицинские данные третьим лицам.
  • Не используем медицинские данные для рекламы, таргетированного маркетинга или профилирования.
  • Не передаём данные страховым компаниям, работодателям или коммерческим организациям.

8. Передача данных посредством QR

Настоящий раздел описывает порядок раскрытия медицинских данных посредством QR-стикеров. Пожалуйста, ознакомьтесь с ним внимательно.

8.1 Принцип действия

Активируя QR-стикер, Пользователь явно соглашается с тем, что:

  • Медицинская информация, выбранная для передачи, будет доступна любому лицу, отсканировавшему QR-код — без необходимости идентификации, скачивания приложения или одобрения со стороны Пользователя.
  • Целью открытого доступа является обеспечение быстрого получения жизненно важной информации в экстренных ситуациях, в том числе парамедиками, врачами и прохожими.
  • Правовой основой такого доступа является явное согласие (при активации стикера) и жизненно важные интересы (Art. 9(2)(c) GDPR) в ситуациях, когда Пользователь не способен дать согласие.

8.2 Контроль Пользователя

  • Пользователь контролирует, какие поля данных отображаются при сканировании QR-кода, через настройки Приложения.
  • Стикер можно деактивировать в любой момент через Приложение. После деактивации сканирование кода не отобразит информацию.
  • В случае утери или кражи стикера необходимо немедленно деактивировать его через Приложение.

8.3 Осознаваемые риски

  • Vera не имеет возможности контролировать личность сканирующих или предотвращать сканирования неуполномоченными лицами.
  • Информация, просмотренная сканирующим лицом, не может быть «отозвана» после просмотра.
  • Vera фиксирует сканирования (временная метка, IP-адрес, тип устройства) и предоставляет Пользователю журнал сканирований.

9. Передача данных третьим сторонам

Кратко: Мы передаём данные только тем поставщикам услуг, которые необходимы для функционирования Vera, и только в необходимом объёме. Со всеми поставщиками подписаны соглашения об обработке данных (DPA).

9.1 Поставщики услуг (Data Processors)

Firebase / Google Cloud Platform

Функция: Хранение данных, аутентификация пользователей, аналитика, push-уведомления, отчёты о сбоях.

Передаваемые данные: Данные учётной записи, медицинские данные (зашифрованные), технические данные, идентификаторы установки.

Безопасность: Google действует в качестве обработчика данных (Data Processor) в соответствии с Data Processing Terms и соответствует стандартам SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018 и GDPR.

Stripe

Функция: Обработка платежей.

Передаваемые данные: Имя, адрес для выставления счёта, реквизиты банковской карты (передаются непосредственно в Stripe, не проходят через серверы Vera).

Безопасность: Stripe соответствует стандарту PCI-DSS уровня 1 и действует в соответствии с Политикой конфиденциальности Stripe. Stripe может собирать данные посредством Cookies и аналогичных технологий.

Resend

Функция: Отправка транзакционных писем (подтверждения заказов, уведомления сервиса).

Передаваемые данные: Адрес электронной почты, имя, данные заказа.

Безопасность: Resend выступает в роли обработчика данных и соответствует требованиям SOC 2 Type II и GDPR. Электронные письма передаются по протоколу TLS.

Соглашения об обработке данных (Data Processing Agreements) подписаны со всеми поставщиками услуг в соответствии с требованиями статьи 28 GDPR и Поправки 13 к Закону о защите частной жизни.

9.2 Государственные органы

Vera может раскрыть персональные данные государственным органам, если это требуется по закону, на основании судебного приказа или для защиты прав, безопасности или имущества Vera, её пользователей или общества.

9.3 Чего мы не делаем

  • Не продаём персональные или медицинские данные третьим лицам — никогда.
  • Не передаём медицинские данные рекламным, маркетинговым агентствам или информационным посредникам.
  • Не передаём данные страховым компаниям, работодателям или иным коммерческим организациям.
  • Не предоставляем поставщикам услуг доступ к медицинским данным сверх того, что необходимо для функционирования Сервиса.

10. Международная передача данных

  • Данные хранятся на серверах Firebase / Google Cloud, которые могут располагаться в США, Европейском союзе или других регионах.
  • Израиль признан Европейским союзом государством с надлежащим уровнем защиты данных (Adequacy Decision), в связи с чем передача данных между Израилем и Европейским союзом является допустимой.
  • Передача данных в США и другие страны осуществляется в соответствии со Стандартными договорными положениями (Standard Contractual Clauses / SCCs) и условиями обработки данных Google.
  • Stripe обрабатывает платежи на серверах с сертификацией PCI-DSS наивысшего уровня и применяет SCCs для международных передач.
  • Все международные передачи данных осуществляются в соответствии с соглашениями о передаче данных, обеспечивающими уровень защиты, эквивалентный израильскому законодательству и GDPR.

11. Сроки хранения данных

Вид данных Срок хранения
Медицинский профиль На протяжении существования учётной записи. Удаляется в течение 30 дней после удаления учётной записи или отзыва согласия.
Данные учётной записи (имя, телефон, эл. почта) На протяжении существования учётной записи. Удаляется в течение 30 дней после удаления учётной записи.
Платёжные записи 7 лет с даты транзакции (в соответствии с налоговым законодательством Израиля).
Журналы сканирований QR 12 месяцев.
Технические данные и журналы 6 месяцев.
Резервные копии (backups) До 90 дней. Резервные копии, содержащие удалённые данные, будут удалены при следующем цикле резервного копирования.

По истечении срока хранения данные будут безопасно удалены или полностью анонимизированы без возможности восстановления.

Vera проводит ежегодную проверку хранимых данных для обеспечения соблюдения сроков хранения.

12. Безопасность данных

Кратко: Мы применяем передовые меры безопасности в соответствии с Правилами о безопасности информации 2017 года, Поправкой 13 и международными стандартами.

  • Шифрование — все данные зашифрованы как в состоянии покоя (at rest), так и при передаче (in transit) с использованием протоколов TLS 1.2+ и AES-256.
  • Контроль доступа — доступ к медицинским данным ограничен уполномоченными лицами посредством ролевого управления доступом (Role-Based Access Control).
  • Защищённая инфраструктура — Firebase / Google Cloud соответствуют стандартам SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018.
  • Мониторинг и журналирование — непрерывный мониторинг доступа к базам данных, регистрация действий и обнаружение аномалий.
  • PCI-DSS — платежи обрабатываются Stripe в соответствии со стандартом PCI-DSS Level 1.
  • Документированная политика безопасности — Vera поддерживает письменную и актуальную политику информационной безопасности в соответствии с требованиями нормативных актов.
  • Ежегодная проверка — программа информационной безопасности проверяется и обновляется не реже одного раза в год.

Несмотря на наши усилия по обеспечению безопасности, ни один метод цифрового хранения или передачи данных не является абсолютно безопасным. Мы обязуемся проявлять разумную осмотрительность при защите Ваших данных и уведомлять о любом значимом инциденте безопасности в соответствии с законодательством.

13. Права Пользователя

В соответствии с Законом о защите частной жизни (включая Поправку 13) и GDPR Вам принадлежат следующие права:

Право на доступ

Запросить ознакомление со всеми персональными данными, которые мы храним о Вас, и получить их копию.

Право на исправление

Запросить исправление ошибочных, устаревших или неполных данных.

Право на удаление

«Право быть забытым» — запросить удаление Ваших персональных данных с учётом законодательных обязательств по их хранению.

Право на переносимость данных

Получить Ваши данные в структурированном формате (JSON/CSV) и передать их другому сервису.

Право на ограничение обработки

Запросить ограничение обработки Ваших данных при определённых обстоятельствах.

Право на возражение

Возразить против обработки данных, основанной на законном интересе.

Отзыв согласия

Отозвать согласие на обработку данных в любое время без влияния на законность предшествующей обработки.

Подача жалобы

Подать жалобу в Управление по защите частной жизни (PPA) или в надзорный орган по защите данных Европейского союза.

Для реализации Ваших прав свяжитесь с нами по электронной почте contact@shalhevet.tech. Мы ответим в течение 30 дней. Сложные запросы могут потребовать до 60 дней — в таком случае мы уведомим Вас о продлении срока.

Для запроса удаления учётной записи и данных через Интернет — отправьте письмо на адрес contact@shalhevet.tech с темой «Запрос на удаление учётной записи». Вы также можете удалить учётную запись непосредственно в настройках Приложения.

14. Уведомление о нарушении данных (Data Breach)

  • В случае серьёзного инцидента безопасности, способного затронуть Ваши права, мы уведомим Управление по защите частной жизни (PPA) без неоправданной задержки в соответствии с Правилами о безопасности информации.
  • Если нарушение может повлечь высокий риск для Ваших прав, мы уведомим Вас непосредственно (по электронной почте, уведомлением в Приложении).
  • В отношении нарушений, подпадающих под действие GDPR, уведомление надзорного органа будет направлено в течение 72 часов (статья 33 GDPR). Нарушение, затрагивающее медицинские данные, практически всегда классифицируется как «высокий риск», требующий уведомления пострадавших лиц.
  • Уведомление будет содержать: описание нарушения, виды затронутых данных, принятые меры по минимизации ущерба и контактную информацию для получения дополнительных сведений.

15. Конфиденциальность несовершеннолетних и зависимые профили

15.1 Несовершеннолетние

  • Сервис предназначен исключительно для лиц от 18 лет для самостоятельного создания учётной записи.
  • Несовершеннолетние в возрасте от 14 до 17 лет могут использовать Сервис при наличии согласия родителя или законного опекуна.
  • Мы сознательно не собираем персональные данные несовершеннолетних младше 14 лет без подтверждённого согласия родителя.
  • Если нам станет известно, что данные несовершеннолетнего были собраны без надлежащего согласия, они будут незамедлительно удалены.
  • Если Вы являетесь родителем или опекуном и обнаружили, что Ваш ребёнок воспользовался Сервисом, пожалуйста, свяжитесь с нами — мы незамедлительно примем меры.

15.2 Зависимые профили (члены семьи)

  • Владельцы учётных записей вправе создавать и управлять медицинскими профилями зависимых членов семьи (дети, пожилые родители, супруги).
  • Создание профиля для другого лица требует явного согласия данного лица или наличия законных полномочий (опекунство, доверенность).
  • Владелец учётной записи несёт ответственность за точность данных и получение необходимого согласия.

16. Файлы cookie и технологии отслеживания

16.1 Типы файлов cookie

  • Обязательные файлы cookie — необходимы для базового функционирования веб-сайта (аутентификация, языковые настройки, защита от CSRF). Их отключение невозможно.
  • Аналитические файлы cookie — для анализа шаблонов использования и совершенствования Сервиса. Основаны на Firebase Analytics. Не идентифицируют пользователей персонально.

16.2 Что мы не используем

  • Мы не используем рекламные файлы cookie или cookie для ремаркетинга.
  • Мы не используем файлы cookie отслеживания третьих сторон в маркетинговых целях.
  • Мы не используем Facebook Pixel, Google Ads или аналогичные рекламные инструменты.

16.3 Управление файлами cookie

Управление настройками файлов cookie доступно через параметры браузера. Обратите внимание, что блокировка обязательных файлов cookie может нарушить работу веб-сайта.

16.4 Сигнал Do Not Track

Веб-сайт и Приложение не реагируют на сигналы «Do Not Track» (DNT) браузера, поскольку мы не осуществляем рекламного отслеживания.

17. Автоматизированное принятие решений

  • Vera не осуществляет автоматизированное принятие решений (Automated Decision-Making) или профилирование, существенно влияющее на Пользователей.
  • Проверки безопасности лекарственных препаратов (взаимодействие лекарств, аллергии) основаны на алгоритмическом сравнении с фармацевтическими базами данных и предоставляются Пользователю исключительно в информационных целях — они не являются медицинской консультацией и не заменяют профессиональное обследование.
  • Искусственный интеллект (AI) не используется для анализа или обработки медицинских данных Пользователей.

18. Изменения Политики конфиденциальности

  • Vera вправе обновлять настоящую Политику время от времени.
  • О существенных изменениях (в особенности касающихся обработки медицинских данных) будет направлено уведомление в Приложении, на веб-сайте или по электронной почте не менее чем за 30 дней.
  • Существенные изменения в порядке обработки медицинских данных потребуют повторного согласия — продолжение обработки медицинских данных без Вашего активного подтверждения будет невозможно.
  • Дата последнего обновления указана в начале настоящего документа.

19. Язык и применимое право

  • Настоящая Политика конфиденциальности составлена на иврите. В случае её перевода на другие языки и возникновения расхождений — версия на иврите является обязательной.
  • Настоящая Политика регулируется законодательством Государства Израиль.
  • Исключительная юрисдикция по всем вопросам, возникающим из настоящей Политики, принадлежит компетентным судам Тель-Авивского судебного округа.

20. Контактная информация по вопросам конфиденциальности

По вопросам, разъяснениям, запросам на реализацию прав или жалобам, связанным с конфиденциальностью:

Общие обращения

Shalhevet Software Solutions

Эл. почта: contact@shalhevet.tech

Телефон: +972-54-681-1111

Веб-сайт: www.shalhevet.tech

Ответственный за защиту данных

Эл. почта: contact@shalhevet.tech

Вы также можете подать жалобу в Управление по защите частной жизни (PPA):

Веб-сайт: Управление по защите частной жизни

Пользователи — резиденты Европейского союза вправе обратиться в надзорный орган по защите данных (DPA) страны своего проживания.