Соглашение об обработке персональных данных клиентов психолога
Настоящее Соглашение определяет порядок обработки персональных данных клиентов в рамках использования сервиса «Протолика.Практика» в деятельности по психологическому консультированию и немедицинской психотерапии. Соглашение является приложением к Публичной оферте и подлежит обязательному принятию пользователем (психологом, психотерапевтом-немедиком, ведущим частную практику, либо психологической службой или организацией) при регистрации в Сервисе. Услуги психологического консультирования, оказываемые Контролёром, не являются медицинской деятельностью в смысле Федерального закона от 21.11.2011 № 323-ФЗ.
Содержание
- Стороны и термины
- Предмет Соглашения и режимы обработки
- Согласие клиента — обязанность Контролёра
- Категории субъектов и персональных данных
- Специальная категория ПДн и голос
- Профессиональная конфиденциальность
- Цели и сроки обработки
- Обязательства Процессора
- Обязательства Контролёра
- Привлечение субпроцессоров
- Технические и организационные меры; локализация в РФ
- Уведомление об инцидентах
- Право аудита
- Ответственность сторон
- Срок действия и прекращение
- Шаблон согласия клиента
1. Стороны и термины
В настоящем Соглашении используются следующие термины:
Контролёр — пользователь Сервиса (психолог, психотерапевт-немедик, консультант, ведущий частную практику, либо психологическая служба, психологический центр или иная организация в лице уполномоченного работника), самостоятельно определяющий цели и состав обрабатываемых персональных данных Субъектов. В терминах Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) Контролёр выступает оператором, поручающим обработку.
Процессор — Общество с ограниченной ответственностью «Городские системы хранения» (ИНН 9701318648, КПП 770101001, ОГРН 1257700421648), зарегистрированное в реестре операторов персональных данных Роскомнадзора (рег. № 77-26-551731 от 12.05.2026), осуществляющее обработку персональных данных Субъектов по поручению Контролёра (лицо, осуществляющее обработку по поручению оператора, ч. 3 ст. 6 152-ФЗ).
Субъект — физическое лицо, являющееся клиентом Контролёра, чьи персональные данные обрабатываются в связи с оказанием ему услуг психологического консультирования.
Сервис — программа для ЭВМ «Протолика» в конфигурации контура психологической практики «Протолика.Практика» (сервис ИИ-протоколирования профессиональных разговоров), сайт вертикали — psy.protolika.ru, приложение — app.psy.protolika.ru. Сервис выполняет распознавание речи, разделение реплик участников и составление черновика профессиональной заметки (записи о сессии) по шаблонам Контролёра.
2. Предмет Соглашения и режимы обработки
2.1. Контролёр поручает Процессору, а Процессор обязуется обрабатывать персональные данные Субъектов исключительно в целях, указанных в разделе 7, в соответствии с ч. 3 ст. 6 152-ФЗ.
2.2. Процессор не определяет цели и способы обработки самостоятельно — все действия выполняются по поручению и в интересах Контролёра. Настоящее Соглашение и фактическая работа Контролёра в Сервисе считаются документально оформленным поручением на обработку.
2.3. Юридическим основанием обработки является согласие Субъекта, полученное Контролёром (для сведений специальной категории — согласие в письменной форме, раздел 5), и (или) договор об оказании психологических услуг между Контролёром и Субъектом.
2.4. Поручение охватывает оба режима работы Сервиса:
- Запись сессии — аудиозапись консультации, в которой присутствует голос Субъекта (клиента); Сервис распознаёт речь, разделяет реплики специалиста и клиента и формирует черновик записи о сессии;
- Надиктовка после сессии (диктовка) — Контролёр самостоятельно наговаривает содержание сессии постфактум; голос Субъекта в аудиозаписи не фиксируется, однако содержание диктовки может включать персональные данные Субъекта (в том числе сведения специальной категории), которые обрабатываются на тех же условиях.
2.5. Обязанности оператора перед Субъектом (получение согласия, ответы на запросы, уведомления) несёт Контролёр. Процессор отвечает перед Контролёром за соблюдение установленных настоящим Соглашением требований к обработке (ч. 5 ст. 6 152-ФЗ).
3. Согласие клиента — обязанность Контролёра
3.1. Контролёр обязан получить от каждого Субъекта согласие на обработку персональных данных до начала записи сессии (а при диктовке — до внесения в Сервис содержания, включающего персональные данные Субъекта). Поскольку в ходе психологического консультирования систематически обрабатываются сведения о состоянии здоровья и психическом состоянии Субъекта, относящиеся к специальной категории персональных данных (ст. 10 152-ФЗ), согласие оформляется в письменной форме (ч. 4 ст. 9 152-ФЗ) и должно отвечать требованиям п. 1 ч. 2 ст. 10 152-ФЗ.
3.2. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным и включать сведения о:
- Контролёре (наименование организации либо ФИО специалиста, ОГРН/ОГРНИП/адрес — при наличии);
- Процессоре (ООО «Городские системы хранения», ИНН 9701318648) — как лице, осуществляющем обработку по поручению;
- цели обработки (ведение профессиональных записей о сессиях с использованием ИИ-ассистента);
- категориях обрабатываемых персональных данных, включая сведения специальной категории — о состоянии здоровья и психическом состоянии (раздел 4);
- сроках обработки и хранения;
- праве отозвать согласие.
3.3. Согласие Субъекта одновременно оформляет его осведомлённость о привлечении Процессора к технической обработке сведений, связанных с оказанием психологических услуг, и о закрытом контуре обработки (аудио не покидает серверы Процессора в РФ и не передаётся внешним поставщикам моделей — раздел 6).
3.4. Шаблон согласия для использования в практике Контролёра приведён в разделе 16. Контролёр вправе использовать собственную форму, отвечающую указанным требованиям.
4. Категории субъектов и персональных данных
4.1. Категории субъектов: клиенты Контролёра, обращающиеся за услугами психологического консультирования и немедицинской психотерапии.
4.2. В рамках использования Сервиса обрабатываются следующие категории данных Субъектов:
- фамилия, имя (иные установочные данные) и контактные данные — в объёме, произнесённом участниками в ходе сессии либо внесённом Контролёром в поля записи;
- аудиозапись сессии (в режиме записи) либо аудиозапись надиктовки Контролёра (в режиме диктовки);
- текстовая транскрипция;
- сведения, вошедшие в записи о сессиях по шаблонам Контролёра: запрос клиента, изложенные им обстоятельства и переживания, наблюдения и гипотезы специалиста, договорённости, домашние задания, план работы;
- сведения специальной категории — о состоянии здоровья и психическом состоянии Субъекта (раздел 5);
- иные сведения, явно указанные Контролёром при работе с Сервисом.
4.3. Минимизация. Контролёр самостоятельно определяет объём идентифицирующих сведений, включаемых в сессию и записи, и вправе вести идентификацию клиентов по внутренним обозначениям (например, «Клиент К.», «Клиент № 123») без произнесения полных установочных данных. В режиме диктовки Субъект может быть обезличен самим Контролёром (например, «клиентка, 30 лет»).
5. Специальная категория персональных данных и обработка голоса
5.1. Специальная категория. Сведения о психологическом (психическом) состоянии Субъекта, изложенные в ходе психологического консультирования, относятся к специальной категории персональных данных — данным о состоянии здоровья (ст. 10 152-ФЗ). Природа таких сведений определяется их содержанием и не зависит от того, что Контролёр не является медицинской организацией. Процессор обрабатывает эти сведения по поручению Контролёра при наличии у Контролёра письменного согласия Субъекта (п. 1 ч. 2 ст. 10, ч. 4 ст. 9 152-ФЗ); получение и хранение такого согласия — обязанность Контролёра.
5.2. Обработка голоса. В режиме записи сессии голос Субъекта используется исключительно для разделения реплик участников (диаризации) в пределах одной сессии — чтобы отличить речь специалиста от речи клиента при формировании записи. Сервис не выполняет идентификацию (распознавание) личности по голосу, не сопоставляет голос Субъекта с иными записями и не создаёт постоянного голосового профиля (эталона) Субъекта для целей установления личности. В связи с этим обработка голоса Субъекта не образует обработки биометрических персональных данных в целях установления личности в смысле ст. 11 152-ФЗ. Аудиозапись обрабатывается кратковременно и удаляется сразу после получения транскрипта (п. 7.2).
6. Профессиональная конфиденциальность и закрытый контур
6.1. Стороны исходят из того, что деятельность Контролёра по психологическому консультированию не относится к медицинской деятельности, а Контролёр не является медицинской организацией; в связи с этим режим врачебной тайны (ст. 13 Федерального закона № 323-ФЗ) к сведениям, обрабатываемым в Сервисе, не применяется.
6.2. Вместе с тем сведения, сообщённые клиентом в ходе сессии, составляют профессиональную (консультативную) конфиденциальную информацию, охраняемую этическими стандартами профессии (в том числе Этическим кодексом психолога Российского психологического общества и этическими кодексами профессиональных сообществ), а также условиями договора между Контролёром и Субъектом. Стороны обязуются обращаться с такими сведениями как с конфиденциальной информацией.
6.3. Процессор обрабатывает содержание записей исключительно по поручению Контролёра, в объёме, технически необходимом для оказания услуг Сервиса, и обязуется:
- не использовать содержание аудиозаписей, транскрипций и записей о сессиях для обучения моделей машинного обучения — ни собственных, ни третьих лиц;
- не передавать содержание третьим лицам, за исключением инфраструктурных субпроцессоров (раздел 10), не имеющих логического доступа к расшифрованному содержимому;
- исключить доступ персонала Процессора к расшифрованному содержимому записей, кроме случаев прямого обращения (запроса) Контролёра в службу поддержки; такой доступ предоставляется минимально необходимому кругу лиц, принявших обязательства о конфиденциальности, и фиксируется в журнале аудита;
- выполнять обработку в закрытом контуре — на серверах на территории Российской Федерации, без передачи аудио и содержания записей внешним поставщикам моделей распознавания или генерации и без трансграничной передачи.
7. Цели и сроки обработки
7.1. Цели обработки:
- распознавание речи (преобразование аудио в текст);
- разделение реплик участников сессии (диаризация) — в режиме записи;
- генерация черновика записи о сессии (заметка о сессии, интейк, план работы, заметка для супервизии и т. п.) на основе транскрипции по шаблонам Контролёра;
- хранение записей о сессиях в учётной записи Контролёра до их удаления.
7.2. Сроки хранения:
- аудиозапись (сессии либо надиктовки) не хранится для целей Сервиса: обрабатывается кратковременно и удаляется сразу после получения транскрипта (в долгосрочной БД как аудиофайл или blob не сохраняется);
- транскрипция и записи о сессиях — хранятся до момента их удаления Контролёром или до удаления учётной записи Контролёра; полный текст транскрипта может сохраняться для функционала поиска по записям;
- после удаления учётной записи Контролёром — все связанные с ней данные Субъектов (записи о сессиях, транскрипты, эталон голоса Контролёра, метаданные сессий) уничтожаются немедленно, без grace-периода, и восстановлению не подлежат.
8. Обязательства Процессора
8.1. Процессор обязуется:
- обрабатывать ПДн только по документально оформленному поручению Контролёра (настоящее Соглашение и работа Контролёра в Сервисе считаются таким поручением);
- обрабатывать ПДн исключительно в целях и в объёме, указанных в настоящем Соглашении, и не совершать иных действий с ПДн;
- обеспечивать соблюдение требований ч. 4 ст. 18.1 152-ФЗ — назначение ответственного за организацию обработки ПДн, локальные акты, контроль;
- соблюдать режим профессиональной конфиденциальности, установленный разделом 6;
- не передавать ПДн третьим лицам, кроме субпроцессоров (раздел 10);
- принимать меры безопасности, указанные в разделе 11, с учётом обработки специальной категории ПДн;
- содействовать Контролёру в исполнении его обязанностей перед Субъектом (запросы об удалении, исправлении, копии данных);
- уведомлять Контролёра об инцидентах в порядке раздела 12;
- возвращать или уничтожать ПДн по требованию Контролёра.
9. Обязательства Контролёра
9.1. Контролёр обязуется:
- получить письменное согласие каждого Субъекта в соответствии с разделами 3 и 5 (для сведений специальной категории — в письменной форме) и хранить его;
- не передавать в Сервис ПДн без правовых оснований;
- минимизировать передачу ПДн (см. п. 4.3), в том числе использовать обезличивание в режиме диктовки, где это возможно;
- соблюдать применимые к его деятельности требования конфиденциальности и профессиональные этические стандарты;
- обеспечить конфиденциальность доступа к учётной записи в Сервисе;
- незамедлительно уведомлять Процессора об отзыве согласия Субъектом — в течение 3 рабочих дней;
- самостоятельно обрабатывать запросы Субъектов в порядке ст. 14 152-ФЗ.
10. Привлечение субпроцессоров
10.1. Контролёр даёт общее согласие на привлечение Процессором следующих субпроцессоров:
АО «Селектел» (ИНН 7842393933) — оператор центра обработки данных, расположенного на территории Российской Федерации (г. Москва). Назначение: размещение серверов и хранение данных.
ООО НКО «ЮMoney» (YooKassa) — платёжный агрегатор. Назначение: приём платежей по подписке Контролёра. Не получает доступ к ПДн Субъектов.
10.2. Процессор обеспечивает заключение с субпроцессорами договоров, содержащих требования по защите ПДн не ниже установленных настоящим Соглашением.
10.3. Об изменении состава субпроцессоров Процессор уведомляет Контролёра по электронной почте не позднее чем за 30 календарных дней до изменения.
11. Технические и организационные меры; локализация данных в РФ
11.1. Процессор обеспечивает следующие меры защиты:
- Шифрование канала передачи: TLS 1.3 для всех соединений с серверами;
- Шифрование содержимого записей в БД: AES-256-GCM (authenticated encryption) для полей записей о сессиях, заметок пользователя, полного текста транскрипта и сегментов диаризации; ключ шифрования хранится отдельно от базы данных;
- Физическая защита инфраструктуры: размещение в сертифицированном ЦОД АО «Селектел» (Москва);
- Контроль доступа: изолированная учётная запись каждого Контролёра; пароли хранятся в виде криптографических хешей (bcrypt);
- Журналирование: ведётся внутренний аудит действий с ПДн;
- Закрытый контур: обработка аудио и содержания записей выполняется на собственных серверах Процессора в РФ, без передачи внешним поставщикам моделей;
- Управление уязвимостями: регулярные обновления зависимостей и мониторинг безопасности;
- Развитие мер защиты: расширение комплекса мер планируется в соответствии с приказами ФСТЭК России и ФСБ России применительно к обработке специальной категории ПДн по мере роста объёма обрабатываемых данных.
11.2. Локализация данных в Российской Федерации. Запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, расположенных на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ). Трансграничная передача персональных данных не осуществляется.
12. Уведомление об инцидентах
12.1. В случае выявления инцидента, повлёкшего или способного повлечь несанкционированный доступ к ПДн Субъектов, Процессор уведомляет Контролёра в срок не более 72 часов с момента выявления инцидента по электронной почте, указанной в учётной записи Контролёра.
12.2. Уведомление содержит: описание инцидента, категории и приблизительный объём затронутых ПДн, оценку последствий, принятые меры. Контролёр самостоятельно определяет необходимость уведомления Субъектов и Роскомнадзора в порядке ч. 3.1 ст. 21 152-ФЗ.
12.3. Запросы государственных органов. При поступлении юридически обязательного запроса органа государственной власти о предоставлении персональных данных Субъектов или содержимого записей и транскрипций Контролёра Процессор: (а) проверяет законность запроса и предоставляет сведения только в объёме, прямо предусмотренном законом; (б) незамедлительно уведомляет Контролёра о поступившем запросе — в той мере, в какой такое уведомление не запрещено законом или самим запросом.
13. Право аудита
13.1. Контролёр вправе не чаще одного раза в 12 месяцев запросить у Процессора подтверждение соблюдения настоящего Соглашения путём предоставления:
- информации о применяемых мерах защиты;
- отчётов о тестировании безопасности (при наличии);
- выписок из журналов аудита, относящихся к учётной записи Контролёра.
13.2. Очный аудит на территории Процессора не проводится, за исключением случаев, прямо предусмотренных законодательством.
14. Ответственность сторон
14.1. Стороны несут ответственность за неисполнение или ненадлежащее исполнение своих обязательств по настоящему Соглашению в соответствии с законодательством Российской Федерации.
14.2. Контролёр как оператор несёт ответственность перед Субъектами и надзорными органами за законность обработки, за наличие правовых оснований обработки (в том числе получение письменного согласия на обработку специальной категории ПДн) и за соблюдение прав Субъектов. Процессор несёт перед Контролёром ответственность за соблюдение требований к обработке, установленных настоящим Соглашением и поручением (ч. 5 ст. 6 152-ФЗ).
14.3. Процессор не отвечает за содержание сведений, переданных Контролёром в Сервис, за отсутствие у Контролёра правовых оснований обработки, а также за решения, принимаемые Контролёром на основе записей о сессиях.
14.4. Пределы совокупной ответственности Процессора определяются условиями Публичной оферты.
15. Срок действия и прекращение
15.1. Соглашение действует с момента акцепта и до момента прекращения действия Публичной оферты или удаления учётной записи Контролёра.
15.2. По прекращении Соглашения Процессор уничтожает все ПДн Субъектов в сроки, указанные в п. 7.2.
15.3. По письменному запросу Контролёра до уничтожения данных может быть предоставлен экспорт записей о сессиях в машиночитаемом формате (CSV/JSON/PDF/DOCX).
16. Шаблон согласия клиента
Контролёр вправе использовать собственную форму согласия, отвечающую требованиям разделов 3 и 5, либо канонический шаблон согласия клиента на аудиозапись сессии и обработку персональных данных (включая сведения специальной категории), размещённый по адресу protolika.ru/legal/soglasie-klienta-praktika.html (HTML-страница и DOCX-файл для печати). Перед применением Контролёр самостоятельно проверяет актуальность шаблона на дату использования.