1. Общие положения
BONROI («мы», «Компания») управляет платформой медицинского консьержа healwith, которая помогает иностранным пациентам получать медицинскую помощь в Республике Корея. healwith не является медицинским учреждением и не оказывает услуги по диагностике или лечению.
Настоящая Политика регулируется прежде всего Законом Республики Корея о защите персональных данных (PIPA), Законом о медицинском обслуживании и Законом о поддержке зарубежного развития систем здравоохранения и привлечения иностранных пациентов. В применимых случаях она также учитывает требования законодательства страны вашего проживания (например, Общий регламент ЕС по защите данных (GDPR), Закон Республики Казахстан 94-V ЗРК, Федеральный закон Российской Федерации 152-ФЗ и др.). Уведомления, относящиеся к конкретным юрисдикциям, приведены в отдельных разделах ниже.
Мы бережно относимся к персональным данным всех пользователей независимо от их гражданства или места проживания и обрабатываем их в соответствии с применимым законодательством.
2. Оператор персональных данных
Фирменное наименование: BONROI (сервис: healwith)
Форма деятельности: индивидуальный предприниматель
Представитель: JUYOUNG KANG
Регистрационный номер предприятия: 463-35-00902
Регистрационный номер организации по привлечению иностранных пациентов: A-2026-01-02-06761 (действителен с 2026-03-11 по 2029-03-10, выдан мэром города Сеул)
Юридический адрес: Room 613, 385 Gangseo-ro, Gangseo-gu, Seoul, Republic of Korea
Контакт: +82-10-4772-1075 (международный) · 070-7500-7795 (внутренний)
Эл. почта: admin@healwith.co.kr
Часы работы: Пн-Пт 09:00-18:00 KST (кроме государственных праздников Республики Корея)
3. Собираемые персональные данные
【Обязательные】
· Имя, дата рождения, пол, гражданство, номер паспорта (для оформления визы и регистрации в больнице)
· Контактные данные (эл. почта, телефон, ID мессенджера)
· Адрес проживания (для поддержки пребывания)
· Данные опекуна/сопровождающего (для несовершеннолетних или пожилых пациентов)
【Чувствительные данные — отдельное согласие】
· Диагноз, история болезни, текущие симптомы, принимаемые лекарства
· Медицинские справки, результаты обследований, снимки (рентген, КТ, МРТ и др.)
· Сведения о медицинском и туристическом страховании
· Сведения об инвалидности (для поддержки доступности)
【Автоматически собираемые】
· IP-адрес, файлы cookie, журналы сессий, записи использования сервиса
· Сведения об устройстве (ОС, браузер, модель), приблизительное геоположение (на уровне страны; точное местоположение — только с согласия)
【Связанные с оплатой】
· Платёжные данные обрабатываются через платёжного агента (PG). Компания не хранит полный номер карты.
4. Цели сбора и использования персональных данных
a. Идентификация и подтверждение личности пользователя
b. Подбор медицинского учреждения, запись на приём, поддержка по визе и пребыванию
c. Предоставление медицинским учреждениям информации о лечении на основании согласия пользователя
d. Услуги перевода, транспорта и проживания
e. Обработка платежей и выставление квитанций или налоговых счетов-фактур
f. Обработка жалоб и обращений, поддержка клиентов
g. Повышение качества сервиса, статистический анализ, реагирование на инциденты безопасности
h. Исполнение установленных законом обязанностей
5. Обработка чувствительных данных (PIPA §23 / GDPR ст. 9)
healwith обрабатывает «информацию о состоянии здоровья», которая относится к чувствительным данным согласно PIPA §23 и к особой категории персональных данных согласно статье 9 GDPR. Такие данные собираются и используются только при наличии вашего явного, отдельного согласия.
Чувствительные данные используются исключительно в целях подбора медицинского учреждения и надлежащей координации помощи и передаются медицинским учреждениям только в объёме вашего согласия.
Вы вправе отказать в согласии на обработку чувствительных данных; такой отказ может ограничить возможность пользоваться услугами медицинского подбора.
6. Срок хранения и использования
Мы удаляем персональные данные без промедления после достижения цели их сбора, за исключением случаев, когда их хранение требуется по закону.
【Хранение в силу закона】
· Записи о договорах/отзыве: 5 лет (Закон о защите прав потребителей в электронной торговле §6)
· Записи об оплате и поставке: 5 лет
· Записи о жалобах потребителей и спорах: 3 года
· Записи о входе в систему: 3 месяца (Закон о защите тайны связи §15-2)
· Медицинские записи, хранимые больницами: 10 лет (Закон о медицинском обслуживании §22). Примечание: healwith не хранит копии медицинских записей; оригиналы ведутся больницей.
【Хранение в зависимости от цели】
· Данные учётной записи: до закрытия учётной записи (неактивные учётные записи архивируются через 1 год)
· Чувствительные медицинские данные: удаляются сразу после завершения услуги консьержа, если только не сохраняются до 3 лет по явному запросу пользователя
· Данные о согласии на маркетинг: до отзыва согласия
7. Передача третьим лицам
На основании вашего согласия мы передаём персональные данные следующим третьим лицам:
【Медицинские учреждения】
· Получатели: корейские больницы и клиники, выбранные вами и согласованные с вами
· Цель: медицинская консультация, запись на приём, планирование лечения
· Состав данных: имя, дата рождения, контактные данные, номер паспорта, диагноз, симптомы, медицинские записи
· Срок хранения: согласно установленным законом обязанностям каждого учреждения (как правило, 10 лет)
【Визовые агентства】
· Получатели: партнёрские визовые агентства (при наличии согласия)
· Состав данных: копия паспорта, пригласительное письмо, график поездки
· Цель: оформление медицинской визы (C-3-3, G-1)
【Страховые компании】
· Получатели: партнёры по туристическому/международному страхованию (при наличии согласия)
· Цель: поддержка при подаче страховых требований
Вы вправе отказаться от передачи третьим лицам с учётом ограничений в предоставлении услуг.
8. Трансграничная передача данных (PIPA §28-8 / GDPR ст. 44-49)
В силу характера нашего сервиса — помощи зарубежным пациентам в получении медицинской помощи в Корее — мы передаём персональные данные из страны вашего проживания в Республику Корея. Отдельные операционные данные также могут передаваться в другие юрисдикции.
【Получатели и юрисдикции】
· Партнёрские больницы в Корее (в медицинских целях)
· Облачная инфраструктура: Vercel Inc. (США), Supabase Inc. (США)
· Аналитика: Google Ireland Ltd. (GA4, Ирландия)
· Инструменты поддержки клиентов: [подлежит уточнению]
【Цели и состав данных】
· Больницы: то же, что в разделе 7
· Облако/аналитика: данные учётной записи, журналы, идентификаторы cookie
【Срок хранения】 Согласно политике и договорным условиям каждого получателя.
【Ваши права】 Вы вправе отказаться от передачи, однако, поскольку передача необходима для оказания услуги, отказ делает использование сервиса невозможным.
【Меры защиты】
· Передача из ЕС в Корею: в соответствии с решением Европейской комиссии об адекватности уровня защиты в Корее от декабря 2021 года (Решение 2022/254) такая передача возможна без отдельных SCC при условии, что данные обрабатываются в Корее под надзором PIPC.
· Прочие передачи: мы обеспечиваем выполнение получателем обязанностей по защите персональных данных посредством Стандартных договорных положений или эквивалентных договорных и технических мер защиты (шифрование, псевдонимизация).
· В отношении Казахстана: просим ознакомиться с положениями об обязанности локализации в разделе 15.
9. Поручение обработки персональных данных (PIPA §26)
Мы поручаем обработку персональных данных следующим обработчикам на основании договора:
· Supabase Inc. — хостинг базы данных (США)
· Vercel Inc. — хостинг веб-приложения (США)
· Google LLC — аутентификация (OAuth), аналитика, карты (США/Ирландия)
· [Платёжный агент — подлежит уточнению] — обработка платежей
· [Сервис рассылки — подлежит уточнению] — отправка электронной почты
· [ИИ-перевод — подлежит уточнению] — перевод (при согласии пользователя)
Договоры обязывают обработчиков соблюдать обязанности по защите данных, запрет на использование сверх заявленных целей, а также технические и организационные меры защиты. Мы регулярно осуществляем контроль за обработчиками.
10. Права субъекта данных
Вы можете осуществлять следующие права:
· Запрос сведений о ходе обработки персональных данных и требование о приостановлении обработки (PIPA §35, §37)
· Доступ к персональным данным (§35)
· Требование об исправлении и удалении персональных данных (§36)
· Отзыв согласия (§37)
· Право на возражение против автоматизированного решения (§37-2)
· Право на возмещение вреда (§39)
Вы можете осуществить указанные права, обратившись по адресу admin@healwith.co.kr или к ответственному за защиту персональных данных (DPO), указанному в разделе 14 настоящей Политики. Мы принимаем меры в течение 10 дней.
Вы также можете подать заявление или обращение об урегулировании спора в Комиссию по защите персональных данных Республики Корея:
· Комиссия по защите персональных данных: 182 (без кода), www.privacy.go.kr
· Комитет по урегулированию споров о персональных данных: 1833-6972, www.kopico.go.kr
11. Персональные данные детей младше 14 лет (PIPA §22-2)
healwith может получать запросы консьержа, касающиеся несовершеннолетних пациентов (например, при детской онкологии). В таких случаях мы требуем подтверждённого согласия законного представителя (родителя/опекуна).
Законные представители вправе в любое время потребовать доступа, исправления, удаления или приостановления обработки персональных данных несовершеннолетнего. Мы реагируем без промедления.
12. Меры обеспечения безопасности персональных данных
Мы применяем следующие меры защиты:
· Организационные: назначение ответственного за защиту данных, периодическое обучение, минимизация прав доступа
· Технические: шифрование (TLS 1.3 при передаче, AES-256 при хранении), системы предотвращения вторжений, управление обновлениями безопасности
· Физические: контроль доступа в зоны обработки данных
· Реагирование на инциденты: уведомление надзорных органов и субъектов данных в течение 72 часов после утечки
14. Ответственный за защиту персональных данных (DPO / CPO)
Имя: JUYOUNG KANG
Должность: представитель (по совместительству — согласно PIPA §31 Республики Корея и ст. 37 GDPR)
Эл. почта: admin@healwith.co.kr
Телефон: +82-10-4772-1075 (международный) · 070-7500-7795 (внутренний)
Вы можете напрямую обращаться к ответственному за защиту данных по любым вопросам, жалобам или требованиям о защите прав в сфере персональных данных. Мы отвечаем в течение 10 рабочих дней.
15. Дополнительное уведомление для жителей Казахстана
Настоящий раздел содержит дополнительные сведения, предусмотренные Законом Республики Казахстан «О персональных данных и их защите» (№ 94-V ЗРК, 2013, с изменениями 2015 и 2022 годов) и соответствующими подзаконными актами.
【Явное согласие на трансграничную передачу (статья 16)】
В силу характера данного сервиса по содействию иностранным пациентам в получении медицинской помощи в Корее ваши персональные данные передаются в Республику Корея. Статья 16 законодательства Казахстана допускает трансграничную передачу на основании явного письменного согласия субъекта данных. При подаче заявки на использование сервиса вы явно соглашаетесь с нижеследующим посредством положений настоящей Политики о трансграничной передаче и отдельного флажка согласия:
· Страна передачи: Республика Корея
· Получатели: выбранные вами партнёрские больницы в Корее, поставщики облачных услуг (Vercel Inc., Supabase Inc.)
· Передаваемые данные: собираемые данные раздела 3 и чувствительные данные раздела 5
· Цель передачи: оказание услуг медицинского консьержа
【Уведомление о локальном хранении (статья 12)】
Статья 12 законодательства Казахстана предусматривает первичное хранение персональных данных граждан Казахстана на территории Казахстана. В настоящее время Компания осуществляет деятельность на правовом основании механизма явного согласия согласно статье 16 выше и, по мере роста сервиса, рассматривает внедрение структуры локального первичного хранения через казахстанских облачных партнёров (таких как QazCloud, Yandex Cloud Kazakhstan). О существенных изменениях мы незамедлительно сообщим путём обновления настоящей Политики.
【Отдельное согласие на чувствительные (медицинские) данные (статьи 8, 9)】
Согласно законодательству Казахстана, чувствительные данные требуют согласия, получаемого способом, поддающимся проверке в письменной форме или посредством электронной подписи (ЭЦП, интеграция с eGov). Компания фиксирует согласие на основе электронного флажка вместе с отметкой времени, IP-адресом и идентификатором пользователя, обеспечивая доказательственную силу, равноценную письменной форме. Устное согласие не собирается.
【Государственный и официальный языки】
Настоящая Политика предоставляется одновременно на казахском (государственном) и русском (официальном) языках. Вы можете выбрать предпочитаемый язык; в случае расхождения в толковании между переводами для целей юридической силы в Республике Корея приоритет имеет корейская версия.
【Надзорные органы】
· Комитет по информационной безопасности (при КНБ)
· Министерство цифрового развития, инноваций и аэрокосмической промышленности
【Обращения и споры】
Вы можете обратиться по контактным данным, указанным в разделе 19 настоящей Политики, либо подать иск в суд или надзорный орган по месту вашего проживания.
15-2. Автоматизированные решения (PIPA §37-2)
Компания использует алгоритм подбора на основе ИИ для рекомендации подходящих вам медицинских учреждений. Это может являться «автоматизированным решением» согласно статье 37-2 Закона о защите персональных данных.
【Элементы автоматизированной обработки】
· Подбор медицинских отделений на основе симптомов и диагноза
· Рекомендация рейтинга больниц на основе прошлых случаев лечения и доступности языковой поддержки
· Автоматическое формирование пакетов с учётом срока пребывания и бюджета
【Ваши права】
· Требование разъяснения результата автоматизированного решения
· Отказ от автоматизированного решения и требование пересмотра человеком
· Указанные требования направляются по адресу admin@healwith.co.kr или контактному лицу DPO в разделе 14
Окончательное медицинское решение обязательно должно приниматься на основании заключения медицинских специалистов. Рекомендации ИИ носят справочный характер и не являются диагностикой или лечением.
16. Дополнительное уведомление для жителей ЕС/ЕЭЗ (GDPR)
Если применяется GDPR, гарантируются следующие права:
· Право на доступ (ст. 15), исправление (ст. 16), удаление (ст. 17), ограничение (ст. 18), переносимость (ст. 20), возражение (ст. 21), а также в отношении автоматизированного принятия решений (ст. 22).
· Данные особой категории (о здоровье, ст. 9) обрабатываются только на основании явного согласия.
· Трансграничная передача (ст. 44-49) осуществляется на основании Стандартных договорных положений в применимых случаях.
· Вы можете подать жалобу в национальный орган по защите данных вашей страны.
· Представитель в ЕС: [подлежит назначению согласно ст. 27 при ориентации на рынок ЕС]
17. Дополнительное уведомление для жителей России
Федеральный закон Российской Федерации 152-ФЗ требует, чтобы первоначальный сбор персональных данных граждан России осуществлялся на территории Российской Федерации.
healwith отдельно оценивает порядок соблюдения данного требования. Пользуясь сервисом, жители России подтверждают и явно выражают согласие с настоящими условиями.
Надзорный орган: Роскомнадзор.
18. Изменения настоящей Политики
О существенных изменениях мы уведомляем через объявления сервиса и по электронной почте не менее чем за 7 дней до вступления в силу (за 30 дней — в случае неблагоприятных изменений).
Текущая версия: 2.0.0 (вступила в силу 2026-04-20).
19. Контакты
Вопросы по защите персональных данных и общие вопросы: admin@healwith.co.kr
Адрес: Room 613, 385 Gangseo-ro, Gangseo-gu, Seoul, Republic of Korea
Телефон: +82-10-4772-1075 (международный) · 070-7500-7795 (внутренний)
Часы работы: Пн-Пт 09:00-18:00 KST