Ключевые тезисы
Главное — без юридического языка
- Мы не продаём ваши данные. Никому. Никогда.
- Аналитика включается только после вашего явного согласия.
- Клинические данные хранятся в зашифрованном виде и недоступны третьим сторонам.
- Вы можете запросить копию, исправление или удаление ваших данных в любой момент.
- Мы работаем по стандартам UK GDPR и EU GDPR.
Кто мы
Mentallect — онлайн-центр клинической диагностики и психотерапии. Мы работаем с клиентами в Великобритании и странах Евросоюза.
Оператор данных: Mentallect Ltd. Контактный адрес для вопросов о персональных данных: privacy@mentallect.com.
На нас распространяются UK GDPR (Data Protection Act 2018) и EU GDPR (Regulation 2016/679). При любом противоречии применяется более строгий стандарт.
Какие данные собираем
Данные, которые вы предоставляете
- Имя и контактные данные (email, телефон) — при записи или обращении
- Информация о запросе — то, что вы описываете при бронировании или в форме контакта
- Платёжные данные — обрабатываются Stripe, мы не храним номера карт
Данные, собираемые автоматически
- IP-адрес — хранится только в хэшированном виде (SHA-256), не в исходном
- Технические данные сессии — браузер, устройство, время визита
- Данные аналитики — только при вашем согласии (см. Политику Cookie)
Как используем данные
| Данные | Цель | Правовое основание |
|---|---|---|
| Имя, email, телефон | Оказание услуги, связь по записи | Исполнение договора (ст. 6(1)(б)) |
| Клинические данные | Предоставление терапии и диагностики | Явное согласие (ст. 9(2)(а)) |
| IP-адрес (хэш) | Безопасность, защита от злоупотреблений | Законный интерес (ст. 6(1)(ф)) |
| Аналитические данные | Улучшение сайта и услуг | Согласие (ст. 6(1)(а)) |
Клинические данные
Информация о вашем состоянии здоровья относится к особой категории данных по GDPR. Мы обрабатываем её только при наличии вашего явного согласия, данного отдельно от общих условий использования.
Техническая защита: клинические данные хранятся в зашифрованном виде (AES-256-GCM на уровне поля). Доступ к ним имеют только авторизованные специалисты Mentallect.
Мы не передаём клинические данные третьим сторонам, рекламным сетям, аналитическим платформам или субпроцессорам CRM.
Ваши права
В соответствии с UK/EU GDPR вы имеете право:
- Доступа — получить копию ваших персональных данных
- Исправления — потребовать исправить неточные данные
- Удаления — «право быть забытым» (с оговорками по сроку хранения клинических записей)
- Ограничения обработки — приостановить обработку при оспаривании точности
- Переносимости — получить данные в машиночитаемом формате
- Возражения — против обработки на основании законного интереса
- Отзыва согласия — в любой момент, без ущерба для законности ранее проведённой обработки
Для реализации любого из прав напишите на privacy@mentallect.com. Мы ответим в течение 30 дней.
Хранение и сроки
| Категория | Срок | Основание |
|---|---|---|
| Клинические записи | 7 лет после завершения работы | Рекомендации BACP/UKCP |
| Финансовые записи | 7 лет | Законодательство HMRC (UK) |
| Данные неактивных клиентов | 12 месяцев — затем анонимизация | Минимизация данных |
| Записи о согласии | 3 года | Доказательство получения consent |
| Аналитические данные | 14 месяцев | Стандарт PostHog EU |
Международные передачи
Инфраструктура Mentallect размещена на серверах в Хельсинки, Финляндия (Hetzner Cloud) — в пределах ЕС. Данные не передаются в страны за пределами ЕЭЗ без надлежащих гарантий защиты.
Stripe (платёжный процессор) работает в соответствии со стандартами PCI DSS и GDPR. PostHog (аналитика) — EU-хостинг, данные не покидают ЕС.
Контакт и жалобы
По вопросам обработки данных: privacy@mentallect.com
Если вы считаете, что ваши права нарушены, вы вправе подать жалобу в надзорный орган: ICO (ico.org.uk) для клиентов в UK или в национальный DPA для клиентов в ЕС.
Вопросы о том, как мы обрабатываем ваши данные? Мы готовы разъяснить.
Написать →