Безпека
Безпечне ведення практики для психологів — як PR-TOP захищає дані клієнтів
Оновлено: липень 2026 · Перевірено командою PR-TOP
PR-TOP шифрує всі дані клієнтів на рівні застосунку до запису в базу даних, зберігає все на серверах у ЄС, перевіряє згоду клієнта на кожному маршруті API та фіксує всі дії в незмінному журналі аудиту. Щоденник, сесії, нотатки, вправи та SOS-сповіщення — в єдиному зашифрованому просторі.
Що «безпека» означає у веденні практики
Більшість застосунків для нотаток і EHR покладаються на шифрування на рівні бази даних або транспорту. Це означає, що ваш хмарний провайдер — і будь-хто, хто отримав доступ до бази даних, — може читати записи клієнтів у відкритому вигляді. PR-TOP використовує інший підхід: кожен фрагмент даних класу A (записи щоденника клієнта, транскрипти сесій, приватні нотатки психолога, AI-резюме) шифрується на рівні застосунку за допомогою AES перед записом у базу даних. Сама база зберігає лише зашифрований текст.
Окрім шифрування, «безпека» в PR-TOP означає обов'язкову перевірку згоди клієнта на кожному маршруті API. Щоденник клієнта не можна прочитати — навіть психологу, що створив робочий простір, — якщо клієнт явно не надав згоду через Telegram-бот. Згоду можна відкликати будь-якої миті, і після відкликання доступ блокується негайно. Ця архітектура відповідає вимогам статті 9 GDPR до чутливих даних про здоров'я.
Кожна дія читання, запису та видалення клієнтських даних фіксується в журналі аудиту, доступному лише для додавання. Психологи можуть переглянути повну історію: хто, до яких даних, коли і з якої IP-адреси звертався — це вимога багатьох наглядових органів у ЄС та страховиків професійної відповідальності.
Докладніше: архітектура шифрування та документація журналу аудиту.
Канал для клієнтів: щоденник, вправи та SOS у Telegram
Безпечна платформа для ведення практики корисна лише тоді, коли клієнти можуть взаємодіяти з нею в захищеному середовищі. Клієнтський інтерфейс PR-TOP — Telegram-бот: застосунок, яким більшість клієнтів у ЄС, СНД та LATAM і так користуються щодня. Клієнти надсилають голосові повідомлення, текстові записи та короткі відеокліпи між сесіями. Весь вміст щоденника шифрується перед збереженням; психолог бачить його в кабінеті лише після того, як клієнт надав згоду.
Психологи призначають вправи з багатомовної бібліотеки прямо через кабінет або через бот. Бот доставляє завдання клієнтам, відстежує виконання та відображає результати в хронології сесій психолога. Не потрібен окремий вебзастосунок для клієнтів, процедур скидання паролів і чутливих даних у звичайній електронній пошті.
Кризове реагування вбудоване в платформу. Клієнт може надіслати SOS в один дотик із Telegram; PR-TOP маршрутизує сповіщення через усі налаштовані канали (сповіщення в кабінеті, email, SMS за потреби) та відкриває відстежуваний життєвий цикл ескалації, щоб нічого не було втрачено. Повна історія SOS є частиною зашифрованого та проаудованого запису клієнта.
Шифрування та захист даних
PR-TOP поділяє дані на два класи. Дані класу A — записи щоденника, транскрипти сесій, AI-резюме, приватні нотатки психолога — шифруються на рівні застосунку за допомогою AES перед записом у SQLite. Дані класу B — часові мітки, ідентифікатори сесій, метадані — зберігаються у вигляді контрольованого відкритого тексту для ефективних запитів без розкриття вмісту.
Завантажені аудіо- та відеофайли сесій зберігаються з непрозорими випадковими ідентифікаторами. Потокове відтворення потребує підписаного токена доступу з обмеженим терміном дії, тому вгадування URL файлу не надає доступу. Завдання транскрипції Whisper виконуються на тій самій інфраструктурі в ЄС; аудіо не передається стороннім сервісам транскрипції, якщо тільки оператор не налаштував це явно.
Рівень AI налаштовується: психологи можуть обрати, який LLM-провайдер генерує резюме сесій. Контент клієнтів не надсилається жодному AI-провайдеру, доки психолог явно не запросить резюме, і цей запит фіксується в журналі аудиту.
Технічні подробиці: архітектура шифрування →
Управління згодами та контроль аудиту
Згода — ключове поняття в PR-TOP. У кожного клієнта є запис про згоду, що зберігається разом із його профілем. Перш ніж маршрут API класу A поверне дані, API перевіряє наявність чинної згоди. Якщо клієнт відкликав згоду — або якщо вона ніколи не була надана — маршрут повертає порожню відповідь, а не помилку. Це робить перевірку згоди тестованою та перевіряємою.
Журнал аудиту фіксує кожну подію доступу до даних: який психолог, до якого запису клієнта, яка дія (читання/запис/видалення), часова мітка та IP-адреса джерела. Логи доступні лише для додавання — їх не можна змінити або видалити через стандартний потік застосунку. Психологи можуть експортувати повний журнал аудиту по клієнту в рамках відповіді на запит суб'єкта даних за GDPR.
Видалення акаунту — це повне стирання: всі зашифровані дані класу A, записи про згоди, записи аудиту та завантажені файли видаляються з сервера. Генерується квитанція про видалення з криптографічним хешем, щоб у психолога був доказ знищення даних для регуляторних цілей.
Дивіться також: журнал аудиту → відповідність GDPR →
Хостинг у ЄС та суверенітет даних
PR-TOP розміщений виключно на інфраструктурі Hetzner в Європейському союзі. Дані клієнтів не передаються хмарним провайдерам у США, CDN з хостингом у США або аналітичним сервісам у США. Аналітичний рівень використовує self-hosted екземпляр Umami — без cookies, GDPR-сумісний і під контролем оператора — замість Google Analytics або Mixpanel.
Доповнення до договору про обробку даних (DPA) доступне за замовчуванням для всіх платних планів. Психологи в державах — членах ЄС можуть посилатися на DPA у власній документації з обробки даних для клієнтів. Оператор також може розмістити весь стек PR-TOP на власному сервері в ЄС, і тоді дані взагалі не залишать його інфраструктуру.
Це важливо для психологів, що працюють за контрактами національних органів охорони здоров'я, шкільних консультантів, що підпадають під правила управління даними місцевих органів влади, та будь-яких практик, зареєстрованих у наглядових органах ЄС, які перевіряють резиденцію даних.
Докладніше: суверенітет даних та хостинг у ЄС →
PR-TOP vs незахищені альтернативи
| Функція | PR-TOP | Звичайний застосунок для нотаток | US EHR (хостинг у США) | Google/Dropbox |
|---|---|---|---|---|
| Хостинг | Лише ЄС (Hetzner) | Варіюється — часто США або змішаний | Дата-центри у США | Дата-центри у США |
| Модель шифрування | AES на рівні застосунку для даних класу A | Лише транспорт (TLS) | Рівень БД або лише TLS | At-rest (ключі у провайдера) |
| Щоденник клієнта / Telegram-бот | Вбудовано — голос, текст, відео | Поза межами продукту | Рідко; без інтеграції з Telegram | Поза межами продукту |
| Вправи | Багатомовна бібліотека + кастомні; призначаються через бот | Поза межами продукту | Іноді; окремий модуль | Поза межами продукту |
| SOS / кризові сповіщення | SOS клієнта в один дотик → мультиканальне сповіщення | Поза межами продукту | Іноді; лише телефон/пейджер | Поза межами продукту |
| Контроль згод | На рівні API — блокує читання без згоди | У кращому разі вручну | Варіюється; на основі форм | Немає |
| Журнал аудиту | Незмінний, лише для додавання, що експортується | Немає або базовий журнал активності | Зазвичай є; варіюється | Лише журнал активності (Google Workspace) |
| GDPR DPA | Включено за замовчуванням (платні плани) | Рідко надається | Лише SCC (юрособа у США) | Стандартні умови; EU SCC |
| AI-нотатки сесій | Так — налаштовувані провайдери, транскрипція Whisper | Іноді | Так — LLM з хостингом у США | Ні |
| Self-hosting | Так — весь стек на вашому сервері у ЄС | Рідко | Ні | Ні |
| Мови | EN / RU / UK / ES | Зазвичай лише англійська | Зазвичай лише англійська | Лише UI; без клінічної i18n |
| Аналітика | Self-hosted Umami — без cookies, GDPR-сумісно | Google Analytics або аналог | Варіюється |
Порівняння засноване на публічно доступній інформації станом на липень 2026 року. «Звичайний застосунок для нотаток» — Notion, Bear, Obsidian та аналоги, що використовуються для клінічних нотаток.
Докладніше про безпеку PR-TOP
Архітектура шифрування
Як AES на рівні застосунку захищає дані класу A від розкриття через базу даних.
Відповідність GDPR
Правові підстави, права суб'єктів даних, DPA, потоки згод та квитанції про видалення.
Незмінний журнал аудиту
Журнал доступу лише для додавання, що експортується для запитів суб'єктів даних та аудитів.
Хостинг у ЄС та суверенітет даних
Хостинг лише на Hetzner у ЄС, self-hosting, жодних передач даних у США, аналітика без cookies.
Поширені запитання
Чим PR-TOP безпечніший за зберігання нотаток у Google Drive або Notion?
Google Drive і Notion використовують шифрування at-rest, при якому ключі зберігаються у хмарного провайдера — судовий запит, витік або неправильно налаштований доступ можуть розкрити дані у відкритому вигляді. PR-TOP шифрує дані класу A (записи щоденника, транскрипти, нотатки, резюме) на рівні застосунку до запису в базу даних, тому сам сервер ніколи не зберігає розшифрований контент клієнтів. Доступ також обмежений згодами, і кожне читання фіксується в незмінному журналі аудиту. Ні Google Drive, ні Notion не забезпечують GDPR-сумісного контролю згод або журналу аудиту, придатного для медичних даних.
Чи відповідає PR-TOP GDPR для психологів у ЄС?
PR-TOP створений з пріоритетом GDPR: хостинг лише у ЄС (Hetzner), DPA доступне за замовчуванням на платних планах, перевірка згод на рівні API, повний експорт даних і видалення на запит, аналітика без cookies на self-hosted Umami. Платформа не використовує Google Analytics, Facebook Pixel або інші сторонні трекери. Психологи в державах — членах ЄС можуть посилатися на DPA у власній документації контролера. Self-hosting також підтримується для практик, що працюють під суворими правилами управління даними національних органів охорони здоров'я.
Які дані PR-TOP шифрує, а які — ні?
PR-TOP ділить дані на клас A і клас B. Дані класу A — записи щоденника клієнта, аудіо/відео сесій, транскрипти, AI-резюме та приватні нотатки психолога — шифруються на рівні застосунку за допомогою AES перед записом у базу даних. Дані класу B — ідентифікатори сесій, часові мітки, метадані плану та маршрутизації — зберігаються у вигляді контрольованого відкритого тексту для ефективних запитів. Контент класу A ніколи не записується в базу даних у відкритому вигляді.
Що відбувається, коли клієнт відкликає згоду?
Відкликання згоди набирає чинності негайно. Кожен маршрут API, що повертає дані класу A, перед відповіддю перевіряє наявність чинного запису про згоду. Якщо згоду відкликано, маршрут повертає порожню відповідь — без помилки, без даних. Подія відкликання фіксується в журналі аудиту. Психолог усе ще бачить, що запис клієнта існує, і може отримати доступ до метаданих класу B, але весь зашифрований контент недоступний до повторного надання згоди.
Чи надсилає PR-TOP дані клієнтів до OpenAI або інших AI-провайдерів?
Лише за явним запитом. AI-резюме сесій та чернетки нотаток генеруються, коли психолог натискає «Створити резюме» — жодного автоматичного фонового оброблення не відбувається. Запит, використаний провайдер і відповідь фіксуються в журналі аудиту. AI-провайдер налаштовується: практики з суворими вимогами до резиденції даних можуть налаштувати локально розгорнуту модель або провайдера з ЄС замість провайдера за замовчуванням. Контент щоденника клієнта ніколи не передається AI-провайдеру без навмисної дії психолога.
Чи можна спробувати PR-TOP без банківської картки?
Так. PR-TOP має безкоштовний тариф Trial: зашифрований кабінет, Telegram-бот для клієнтів, щоденник, вправи та SOS доступні для обмеженої кількості клієнтів. Картка не потрібна, автоматичного переходу на платний план немає — ви переходите на нього лише за власним рішенням. У будь-який момент можна вивантажити дані й піти без прив'язки.
Почніть вести практику безпечно
Налаштування безкоштовного Trial займає близько десяти хвилин. Без банківської картки. Ви отримуєте зашифрований кабінет, Telegram-бот для клієнтів, щоденник, вправи та SOS для обмеженої кількості клієнтів. Вивантажте дані й підіть будь-коли — без прив'язки.