Politika privatnosti

Politika privatnosti za sDoktor aplikaciju

Uprava društva SKVID d.o.o. preuzima odgovornost za uspostavu, provedbu i kontinuirano unapređenje sustava zaštite osobnih podataka te osigurava dostupnost potrebnih resursa za njegovu provedbu.

Trgovačko društvo SKVID d.o.o. posvećeno je zaštiti privatnosti i sigurnosti osobnih podataka korisnika sDoktor komunikacijske platforme. Obradu podataka provodimo sukladno Uredbi (EU) 2016/679 (GDPR) i važećim zakonima Republike Hrvatske.
Obrada osobnih podataka provodi se sukladno načelima zakonitosti, poštenosti i transparentnosti, ograničenja svrhe, smanjenja količine podataka, točnosti, ograničenja pohrane te integriteta i povjerljivosti.

SKVID d.o.o., Jalševečka cesta 40, 10040 Zagreb, djeluje kao:
- voditelj obrade u odnosu na identifikacijske i tehničke podatke korisnika
- izvršitelj obrade u odnosu na komunikacijski sadržaj, sukladno članku 28. GDPR-a.

Ova Politika privatnosti objašnjava koje podatke obrađujemo, u koje svrhe, na kojem pravnom temelju te kako ih štitimo.

Ova Politika odnosi se isključivo na obradu podataka putem sDoktor platforme i ne obuhvaća obradu podataka koju zdravstvene ustanove provode u vlastitim informacijskim sustavima.

 

  1. Što je sDoktor?


sDoktor je digitalna komunikacijska platforma koja omogućuje razmjenu informacija i sadržaja između korisnika i odabranih zdravstvenih djelatnika.

Platforma ne provodi sadržajnu ili medicinsku klasifikaciju podataka te nije sustav za vođenje službene medicinske dokumentacije. Odluku o pravnoj prirodi sadržaja i rokovima njegove pohrane donosi isključivo voditelj obrade.


 


2. Koje podatke obrađujemo?

Za korištenje sDoktor aplikacije prikupljamo i obrađujemo isključivo: 

2.1 Identifikacijski podaci korisnika
    - ime i prezime,
    - telefonski broj,
    - adresa, poštanski broj i grad.

Ovi podaci obrađuju se radi omogućavanja korištenja platforme.

2.2 Komunikacijski sadržaj
- tekstualne poruke,
- korisnički učitane datoteke (npr. slike, PDF i drugi formati).

SKVID d.o.o. ne provodi sadržajnu analizu komunikacijskog sadržaja te isti obrađuje isključivo u tehničke svrhe pružanja usluge (pohrana, enkripcija, sigurnosna zaštita).

Ovaj sadržaj razmjenjuje se između korisnika i odabranog zdravstvenog djelatnika.

2.3 Tehnički podaci

  • zapisi o pristupu sustavu (sigurnosni logovi)

Obrada se provodi radi osiguranja sigurnosti i stabilnosti sustava.

3. Pravna osnova obrade
Osobni podaci obrađuju se na temelju:

  • čl. 6 (1)(b) GDPR – izvršavanje ugovora (korištenje platforme),
  • čl. 9 (2)(h) GDPR – obrada zdravstvenih podataka od strane zdravstvenog djelatnika ili pod njegovom odgovornošću u svrhu pružanja zdravstvene skrbi,
    čl. 28 GDPR – SKVID djeluje kao izvršitelj obrade u odnosu na sadržaj komunikacije,
  • čl. 6 (1)(f) GDPR – legitimni interes radi osiguranja sigurnosti sustava i sprječavanja zlouporaba.

Zdravstvene ustanove ili samostalni zdravstveni djelatnici djeluju kao voditelji obrade u odnosu na podatke razmijenjene putem platforme.

Dostava identifikacijskih podataka nužna je za sklapanje i izvršavanje ugovora o korištenju platforme. Bez tih podataka nije moguće otvoriti korisnički račun.
 

4. Automatizirano donošenje odluka
Platforma ne koristi automatizirano donošenje odluka niti profiliranje u smislu članka 22. GDPR-a.


5. Tko ima pristup podacima?
Pristup podacima omogućen je isključivo u opsegu nužnom za izvršavanje ugovornih obveza i sukladno načelu najmanjih privilegija. Pristup komunikacijskom sadržaju imaju:

  • korisnik (pacijent),
  • odabrana zdravstvena ustanova ili zdravstveni djelatnik (voditelj obrade).

Administratorski pristup unutar SKVID-a:

  • strogo je ograničen,
  • zaštićen je višefaktorskom autentikacijom (MFA),
  • podliježe audit logiranju.

SKVID može koristiti pouzdane podizvršitelje isključivo unutar Europske unije, uz primjenu odgovarajućih ugovornih i tehničkih mjera zaštite podataka.

Podaci se ne koriste u marketinške svrhe.

6. Koliko dugo čuvamo podatke?
Podaci se čuvaju:

  • identifikacijski podaci – tijekom trajanja korisničkog računa,
  • komunikacijski sadržaj – sukladno odluci voditelja obrade, a ako rok nije definiran, primjenjuje se zadani rok naveden u točki 6.1.,
  • log zapisi – 3 mjeseca,
  • sigurnosne kopije – 30–90 dana.

SKVID d.o.o. ne određuje rokove čuvanja medicinske dokumentacije te postupa isključivo prema uputama voditelja obrade.

Detaljni rokovi čuvanja definirani su internom politikom retencije.


6.1 Upravljanje životnim ciklusom podataka

Podaci se obrađuju kroz jasno definirane faze životnog ciklusa: prikupljanje, aktivna obrada, arhiviranje i brisanje. Sustav omogućuje tehničko razdvajanje aktivne i arhivske pohrane uz kontrolirani pristup i auditabilnost.

Sustav omogućuje voditelju obrade (zdravstvenoj ustanovi) definiranje roka čuvanja komunikacijskog sadržaja (poruke i privici) sukladno njegovim zakonskim obvezama i internim pravilima.

Ako voditelj obrade ne definira poseban rok, primjenjuje se zadani rok čuvanja od 24 mjeseca od posljednje zabilježene komunikacijske aktivnosti u okviru pojedinog razgovora, uz dodatnih 90 dana arhivske pohrane radi završetka tehničkih ciklusa sigurnosnih kopija, nakon čega se sadržaj nepovratno briše ili anonimizira.

7. Brisanje računa

Sustav ne podržava brisanje pojedinačnih poruka nakon slanja.

U slučaju brisanja korisničkog računa:

  • identifikacijski podaci uklanjaju se iz aktivnog korisničkog prikaza,
  • račun se deaktivira,
  • komunikacijski sadržaj ostaje dostupan voditelju obrade sukladno čl. 17 st. 3 GDPR-a.

Pristup takvom sadržaju ograničen je i auditiran.
U slučaju prestanka suradnje s voditeljem obrade, SKVID d.o.o. postupa sukladno ugovoru o obradi podataka (DPA) te omogućuje izvoz ili brisanje podataka prema izboru voditelja obrade.

Sustav ne podržava selektivno brisanje pojedinačnih poruka radi očuvanja integriteta komunikacijskog zapisa između pacijenta i liječnika.

Na zahtjev voditelja obrade moguće je brisanje cjelokupnog komunikacijskog zapisa ili deaktivacija/anonimizacija korisničkog računa sukladno definiranoj politici zadržavanja podataka.

8. Sigurnost podataka
U slučaju povrede osobnih podataka, SKVID d.o.o. postupa sukladno utvrđenim internim procedurama upravljanja sigurnosnim incidentima te bez odgode obavještava voditelja obrade radi ispunjenja obveza iz čl. 33. i 34. GDPR-a.
Primjenjujemo tehničke i organizacijske mjere sukladno procjeni rizika i načelu razmjernosti, uključujući:

  • enkripciju u prijenosu (TLS 1.2/1.3),
  • enkripciju u mirovanju,
  • mrežnu segmentaciju,
  • višefaktorsku autentikaciju (MFA),
  • centralizirano logiranje,
  • redovito testiranje sigurnosnih kopija.

Svi sustavi nalaze se u Republici Hrvatskoj (EU). Podaci se ne prenose u treće zemlje.

Sustav je razvijen i održavan sukladno načelima zaštite podataka u fazi dizajna i prema zadanim postavkama (privacy by design and by default).

Sigurnosne mjere podliježu redovitom internom preispitivanju i kontinuiranom unapređenju sukladno razvoju prijetnji i regulatornih zahtjeva.

9. Prava korisnika
Korisnici imaju pravo na:

  • pristup podacima
  • ispravak podataka
  • ograničenje obrade
  • brisanje računa
  • pravo na prenosivost podataka
  • pravo na prigovor obradi
  • podnošenje pritužbe nadzornom tijelu - Agenciji za zaštitu osobnih podataka (AZOP), Ulica Metela Ožegovića 16, 10000 Zagreb, www.azop.hr

Za sva pitanja vezana uz zaštitu osobnih podataka i ostvarivanje prava ispitanika, možete se obratiti službeniku za zaštitu podataka (DPO):
E-mail: zastitapodataka@skvid.hr

Zahtjevi se mogu uputiti putem kontakta navedenog u nastavku. Zahtjevi se obrađuju bez nepotrebnog odgađanja, a najkasnije u roku od 30 dana sukladno članku 12. GDPR-a.

10. Kontakt
Za pitanja vezana uz zaštitu podataka možete se obratiti:

SKVID d.o.o.
Jalševečka cesta 40
10040 Zagreb
e-mail: zastitapodataka@skvid.hr
Službenik za zaštitu podataka djeluje neovisno i izvještava izravno upravi društva, sukladno članku 38. GDPR-a.

11. Izmjene politike
Ova Politika privatnosti može se povremeno ažurirati radi usklađivanja s regulatornim zahtjevima, tehnološkim promjenama ili organizacijskim unapređenjima. Važeća verzija uvijek je dostupna putem službenih komunikacijskih kanala društva

Cookie policy