BERGEM·HEALTH
Консультация

Политика конфиденциальности

Последнее обновление: 5 мая 2026 г.

Политика конфиденциальности

Последнее обновление: 5 мая 2026 г.

Этот документ объясняет, какие данные мы собираем, зачем, кому передаём и сколько храним. Без формулировок «настоящим уведомляем» — только то, что происходит на самом деле.

Если что-то в политике непонятно или вы хотите воспользоваться своими правами — напишите DPO Анне Мороз: anna@bergemhealth.com.

1. Кто мы

BergemHealth — медицинский концьерж: мы соединяем международных пациентов с профессорами JCI-аккредитованных госпиталей в Стамбуле и Анталье. Мы не клиника, не агентство и не страховая компания.

Юридическое лицо (контролёр данных):

BERGEM TURİZM GIDA İTH. İHR. SAN. TİC. LTD. ŞTİ.

Üçgen Mah. Abdi İpekçi Cad. No:13/101, Muratpaşa, Antalya, Türkiye

Регистрационный номер: _уточняется_

Телефон: _уточняется_

Email: anna@bergemhealth.com

Data Protection Officer (DPO): Анна Мороз, anna@bergemhealth.com. Это единственный канал для запросов по персональным данным — пишите сюда.

2. Какие данные мы собираем

Мы собираем три категории данных. Больше ничего.

2.1. Контактные данные. Имя, телефон или WhatsApp, email, страна проживания, предпочтительный мессенджер. Мы получаем их, когда вы заполняете форму на сайте или пишете нам в WhatsApp, Telegram или Instagram.

2.2. Медицинские данные — особая категория. Описание диагноза, медицинские выписки, результаты анализов, снимки (КТ, МРТ, рентген), заключения врачей. Это особая категория персональных данных согласно ст. 6 KVKK и ст. 9 GDPR. Мы запрашиваем эти данные только тогда, когда вы хотите получить второе мнение или подбор профессора, и только с вашего явного письменного согласия.

2.3. Технические данные. IP-адрес, тип браузера, операционная система, источник перехода (UTM-метки, referrer), посещённые на сайте страницы. Эти данные собирают cookies и аналитические сервисы (Google Analytics 4, Meta Pixel). Подробности — в Политике cookies.

3. Правовые основания обработки

Для каждой категории — своё основание.

| Категория данных | Основание | Норма | |—|—|—| | Контактные | Исполнение договора (вы запросили услугу) | KVKK ст. 5(2)(c); GDPR ст. 6(1)(b) | | Медицинские | Явное письменное согласие | KVKK ст. 6(2); GDPR ст. 9(2)(a) | | Технические — необходимые cookies | Законный интерес (работа сайта) | KVKK ст. 5(2)(f); GDPR ст. 6(1)(f) | | Технические — аналитика и маркетинг | Согласие через cookie-баннер | KVKK ст. 5(1); GDPR ст. 6(1)(a) |

Согласие можно отозвать в любой момент — отзыв не влияет на правомерность обработки до момента отзыва.

4. Зачем нам ваши данные

Конкретные цели — и ничего сверх:

  • Подбор профессора. Мы анализируем ваш диагноз и подбираем специалиста подспециальности в одной из партнёрских клиник.
  • Получение второго мнения. Передаём медицинские документы профессору JCI-госпиталя для письменного заключения (срок — 48 часов).
  • Координация записи и приёма. Согласуем дату, бронируем слот в клинике, наш координатор сопровождает вас на приёме.
  • Расчёт стоимости. Запрашиваем у клиники предварительный план лечения и стоимость, передаём вам.
  • Логистика поездки. Помогаем с трансфером и подбором отеля (по вашему запросу).
  • Связь с вами. Отвечаем на вопросы в WhatsApp, Telegram или email.
  • Аналитика сайта. Узнаём, какие материалы полезны, а какие нет (только обезличенно).
  • Маркетинг. Если вы дали отдельное согласие — отправляем подобранные материалы о лечении в Турции. Без согласия — не отправляем.

5. Кому мы передаём данные

Мы не продаём данные. Никому. Никогда. Передача происходит только тем, кто нужен для оказания услуги.

5.1. Партнёрским клиникам в Турции. Чтобы получить второе мнение и забронировать ваш приём, мы передаём ваши контактные и медицинские данные одной из клиник:

  • İSÜ Liv Hospital Bahçeşehir (Стамбул)
  • Liv Hospital Ulus (Стамбул)
  • Liv Hospital Vadistanbul (Стамбул)
  • Memorial Antalya Hospital (Анталья)
  • Memorial Bahçelievler Hospital (Стамбул)
  • Akdeniz University Hospital (Анталья)

Передача происходит только в ту клинику, где вы будете лечиться, и только после вашего согласия.

5.2. Логистическим подрядчикам. Транспортные компании и отели — получают только ваше имя и контактный телефон для встречи и заселения. Медицинских данных они не получают.

5.3. Платформам коммуникации. WhatsApp Business (Meta Platforms Inc.), Telegram (Telegram FZ-LLC), Instagram (Meta Platforms Inc.) — хранят сообщения на своих серверах по своим правилам. Мы используем эти сервисы только для переписки.

5.4. Хостингу и инфраструктуре.

  • Сайт хостится у Hostinger International Ltd. (серверы в ЕС).
  • CRM-система размещена в Германии (ЕС).
  • Аналитика сайта — Google Analytics 4 (Google Ireland Ltd.) и Meta Pixel (Meta Platforms Ireland Ltd.).

5.5. Государственным органам. Только по обязательному запросу — суда, прокуратуры, регулятора. Мы уведомим вас, если закон не запрещает это уведомление.

6. Где хранятся данные и трансграничные передачи

Основное хранение — в Турции (наш CRM, бумажные документы, контактные данные). Часть инфраструктуры — в Европейском союзе (хостинг сайта, аналитические платформы, наш операционный CRM в Германии). Часть данных физически обрабатывается на серверах в США (Google Analytics, Meta Pixel).

Это значит, что ваши данные могут пересекать границы:

  • Турция → ЕС — при отправке заявки на сайте, при работе в CRM, при использовании Google Analytics или Meta Pixel.
  • ЕС → Турция — при синхронизации CRM с командой в Анталье.
  • ЕС/Турция → партнёрская клиника в Турции — для второго мнения и бронирования.
  • ЕС/Турция → США — при использовании Google Analytics 4 и Meta Pixel (см. ниже).

Передача данных в США

Google Analytics 4 (поставщик — Google Ireland Ltd., физическая обработка частично на серверах Google LLC в США) и Meta Pixel (Meta Platforms Ireland Ltd. / Meta Platforms Inc.) передают обезличенные технические данные на серверы в США.

США не имеют общего решения об адекватности — ни от регулятора KVKK, ни от Европейской комиссии (для передач из ЕС применяется EU–US Data Privacy Framework, но только в отношении компаний, прошедших самосертификацию).

Передача данных в США осуществляется на следующих основаниях:

  • Ваше явное согласие в cookie-баннере — это основное правовое основание (KVKK ст. 9, GDPR ст. 49(1)(a)). Без согласия Google Analytics и Meta Pixel не загружаются и данные в США не передаются.
  • Standard Contractual Clauses (SCC) — модули, утверждённые Европейской комиссией, заключённые между Google и Meta с нами как заказчиком. Это технический инструмент защиты данных при передаче.
  • EU–US Data Privacy Framework — Google LLC и Meta Platforms Inc. сертифицированы по этой схеме для получения данных из ЕС.

Общий принцип передачи

Трансграничная передача персональных данных регулируется ст. 9 KVKK и главой V GDPR. Для медицинских данных основанием передачи всегда является ваше явное письменное согласие (KVKK ст. 6(2), GDPR ст. 49(1)(a)). Медицинские данные никогда не передаются в США — они обрабатываются только в Турции и ЕС.

7. Сколько мы храним данные

Конкретные сроки, без формулировок «по мере необходимости».

| Тип данных | Срок хранения | Зачем | |—|—|—| | Заявка без сделки (форма заполнена, без работы с клиникой) | 12 месяцев | Чтобы возобновить диалог, если вы вернётесь | | Данные пациента после завершения лечения | 5 лет | Требование Минздрава Турции для медицинского туризма | | Маркетинговые контакты (рассылка) | До отзыва согласия | Закон требует немедленно прекращать обработку при отзыве | | Бухгалтерские документы | 10 лет | Налоговое законодательство Турции | | Логи сайта и аналитические cookies | 14 месяцев | Стандартный срок GA4 |

По истечении срока данные удаляются или обезличиваются. Это не пустая фраза: процесс автоматизирован в CRM и проверяется ежеквартально DPO.

8. Как мы защищаем данные

Безопасность — не лозунг, а конкретные меры. Что мы делаем технически и организационно:

  • Шифрование при передаче. Сайт работает по HTTPS (TLS 1.2+). Связь с CRM — по защищённым каналам.
  • Шифрование при хранении. Базы данных и резервные копии хранятся в зашифрованном виде.
  • Контроль доступа. Медицинские данные доступны только тем сотрудникам, кому они нужны для работы (координатор, переводчик, DPO). Доступ — по индивидуальным учётным записям с двухфакторной аутентификацией.
  • Минимизация. Подрядчики получают только необходимый минимум. Логистические партнёры не знают диагноза. Клиника не получает UTM-метки.
  • Логирование. Каждый доступ к медицинским данным фиксируется — кто, когда, что просмотрел.
  • Обучение команды. Все сотрудники проходят обучение по KVKK и GDPR не реже раза в год и подписывают NDA.
  • Реагирование на инциденты. В случае утечки уведомляем регулятора в течение 72 часов (GDPR ст. 33), а пострадавших пациентов — без неоправданной задержки.

Мы не утверждаем, что система непробиваема — таких в мире нет. Но мы строим защиту на уровне отраслевых стандартов и регулярно её проверяем.

9. Автоматизированные решения и профилирование

Мы не используем автоматические системы для решений, имеющих значимые юридические или материальные последствия для вас (в смысле ст. 22 GDPR).

На практике это значит:

  • Профессора подбирает живой человек — медицинский координатор. Никаких алгоритмов «диагноз → клиника».
  • Цены и сметы рассчитывает клиника, а не алгоритм на нашей стороне.
  • Аналитика сайта обезличена и не используется для индивидуальных решений по конкретным пациентам.

Если это когда-нибудь изменится — мы заранее уведомим, объясним логику и предоставим право человеческого вмешательства.

10. Ваши права

У вас полный набор прав согласно ст. 11 KVKK и ст. 15–22 GDPR.

Право на информацию и доступ.

  • Узнать, обрабатываем ли мы ваши данные. Подтвердим в течение 30 дней.
  • Узнать, какими именно данными мы располагаем и зачем — предоставим структурированный экспорт в течение 30 дней.
  • Узнать, кому передавались ваши данные — внутри Турции и за её пределами. Предоставим список получателей, страны передачи и основания.

Право на исправление и удаление.

  • Исправить неточные или неполные данные — исправим в течение 7 дней.
  • Удалить данные («право быть забытым») — удалим, кроме того, что обязаны хранить по закону (например, медицинские данные пациента — 5 лет согласно требованиям Минздрава Турции).
  • Потребовать, чтобы третьи лица, которым ранее передавались данные, были уведомлены об исправлении или удалении — мы свяжемся с партнёрскими клиниками, подрядчиками и платформами и потребуем синхронизации.

Право на возражение и отзыв согласия.

  • Отозвать согласие — в любой момент без объяснений. Отзыв не влияет на правомерность обработки до момента отзыва.
  • Возразить против обработки на основании законного интереса или осуществляемой автоматизированными средствами — включая маркетинг. Это право безусловно.
  • Возразить против результата автоматизированного решения (см. раздел 9 — у нас таких решений нет, но право зарезервировано на случай, если это изменится).

Право на переносимость данных.

  • Получить ваши данные в машинно-читаемом формате (JSON или CSV) и передать их другому контролёру.

Право на компенсацию.

  • Требовать компенсации за вред, причинённый неправомерной обработкой ваших данных (KVKK ст. 11(1)(g)).

Право на жалобу.

  • Жаловаться регулятору — KVKK в Турции или национальному органу по защите данных в ЕС/ЕЭЗ. Список — в разделе 14.

Как воспользоваться правом

Напишите на anna@bergemhealth.com с темой «Запрос по персональным данным». Срок ответа — 30 дней. В сложных случаях можем продлить ещё на 60 дней, уведомив вас письменно с обоснованием.

Услуга бесплатна, кроме явно необоснованных или повторных запросов, за которые мы можем взять разумную плату или отказать с объяснением.

Чтобы мы могли удостовериться в вашей личности, укажите в запросе имя, контактный email и телефон, которые вы использовали при общении с нами. Для медицинских данных можем дополнительно запросить копию документа, удостоверяющего личность (Коммюнике KVKK № 30356 о порядке подачи).

11. Cookies и аналитика

На сайте используются cookies — необходимые (для форм и сессии), аналитические (Google Analytics 4) и маркетинговые (Meta Pixel). Аналитика и маркетинг активируются только после вашего согласия в cookie-баннере.

Подробности — в Политике cookies. На той же странице — инструкции по изменению выбора или полному отключению cookies.

12. Несовершеннолетние

Услуги BergemHealth предназначены для совершеннолетних пациентов (18+). Мы намеренно не собираем данные несовершеннолетних.

Если пациент — несовершеннолетний, мы работаем через его законного представителя (родителя или опекуна). Все согласия даёт представитель, он же передаёт медицинские документы.

Если вы считаете, что мы непреднамеренно собрали данные несовершеннолетнего без согласия родителей, напишите Анне Мороз — мы удалим эти данные.

13. Изменения политики

Мы можем вносить изменения в эту политику — например, при добавлении нового подрядчика или аналитического сервиса. О существенных изменениях уведомляем за 30 дней:

  • баннером на главной странице сайта;
  • email тем, кто дал согласие на маркетинг;
  • индивидуальным письмом пациентам в активной работе.

Дата последнего обновления — в шапке документа. Если вы продолжаете пользоваться сайтом после уведомления, это считается принятием новой версии. Если не согласны — отзовите согласие, и мы удалим данные.

14. Регуляторы и куда жаловаться

Если вы считаете, что мы нарушили ваши права, у вас есть два уровня обращения.

Сначала — к нам. anna@bergemhealth.com, срок ответа 10 рабочих дней. Так быстрее, и обычно вопрос решается.

Если не решилось — к регулятору.

Основной регулятор (Турция):

Türkiye Kişisel Verileri Koruma Kurumu (KVKK)

Nasuh Akar Mahallesi 1407. Sokak No: 4, 06520 Çankaya, Ankara, Türkiye

www.kvkk.gov.tr

Регулятор в стране проживания (для резидентов ЕС/ЕЭЗ). GDPR даёт вам право обратиться в надзорный орган страны проживания. Полный список — на сайте Европейского комитета по защите данных (EDPB):

https://www.edpb.europa.eu/about-edpb/board/members_en

Например:

  • Литва — Valstybinė duomenų apsaugos inspekcija (VDAI)
  • Латвия — Datu valsts inspekcija (DVI)
  • Эстония — Andmekaitse Inspektsioon (AKI)
  • Германия — Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
  • Ирландия — Data Protection Commission (DPC)

Связанные документы