Наш підхід до захисту даних
Kornify побудований з принципом privacy-by-design. Захист даних пацієнтів та клінік закладений в архітектуру платформи з самого початку, а не додається як окрема функція. Ми відповідаємо вимогам Регламенту (ЄС) 2016/679 (GDPR) та готові підтвердити це документально.
Де зберігаються дані
Вся база даних розміщена на серверах Supabase у Франкфурті (Німеччина, ЄС). Дані клінік та пацієнтів не покидають Європейський Союз. Supabase має сертифікацію SOC 2 Type 2 та підписаний DPA відповідно до вимог GDPR.
Шифрування
Дані у сховищі захищені шифруванням AES-256. Усі з'єднання між клієнтом та сервером захищені протоколом TLS. Паролі зберігаються у хешованому вигляді (scrypt) та ніколи не передаються у відкритому вигляді.
Ізоляція даних клінік
Кожна клініка має унікальний ідентифікатор (clinic_id). Дані однієї клініки фізично ізольовані від даних іншої. Система контролю доступу на рівні бази даних гарантує, що жоден користувач не може отримати доступ до даних іншої клініки. Рольова модель (власник, адміністратор, лікар) обмежує доступ всередині клініки.
Голосовий AI та конфіденційність
Голосовий AI-асистент працює через Retell AI. Ми налаштували систему так, що записи розмов не зберігаються на серверах Retell AI — вони автоматично видаляються протягом 10 хвилин після обробки. Передача даних у США здійснюється на підставі Стандартних Договірних Положень ЄС (SCCs). Retell AI має сертифікації SOC 2 Type 1 та Type 2.
Субпроцесори
Supabase Inc. — хостинг бази даних, Франкфурт, Німеччина (ЄС), DPA підписано. Retell AI Inc. — голосовий AI-асистент, США, SCCs підписано, записи видаляються через 10 хвилин. Resend Inc. — доставка email-повідомлень, DPA підписано. Ми повідомляємо клініки за 30 днів до зміни субпроцесорів.
Права суб'єктів даних
Ми підтримуємо реалізацію всіх прав за GDPR: право на доступ (ст. 15), виправлення (ст. 16), видалення (ст. 17), обмеження обробки (ст. 18), перенесення (ст. 20), заперечення (ст. 21). Клініка як контролер даних може надіслати запит, і ми виконаємо його протягом 30 днів.
Видалення даних
Клініка може запросити повне видалення всіх своїх даних у будь-який момент. Ми виконуємо запит на видалення протягом 48 годин. При розірванні договору дані зберігаються 90 днів для можливості експорту, після чого видаляються безповоротно.
Повідомлення про порушення
У разі порушення безпеки даних ми повідомляємо відповідний наглядовий орган протягом 72 годин (ст. 33 GDPR) та клініку протягом 48 годин. Якщо порушення створює високий ризик для прав пацієнтів, ми повідомляємо також суб'єктів даних (ст. 34 GDPR).
Договір обробки даних (DPA)
Кожна клініка, яка використовує Kornify, має DPA відповідно до ст. 28 GDPR. DPA визначає: категорії даних, які обробляються; технічні та організаційні заходи безпеки; правила залучення субпроцесорів; процедури видалення даних. Для отримання копії DPA зверніться на hello@kornify.ai.
Контакт
З питань захисту даних та GDPR: hello@kornify.ai