Politika privatnosti

Politika privatnosti za sDoktor aplikaciju

Uprava društva SKVID d.o.o. preuzima odgovornost za uspostavu, provedbu i kontinuirano unapređenje sustava zaštite osobnih podataka te osigurava dostupnost potrebnih resursa za njegovu provedbu. 
Trgovačko društvo SKVID d.o.o. posvećeno je zaštiti privatnosti i sigurnosti osobnih podataka korisnika sDoktor komunikacijske platforme. Obradu podataka provodimo sukladno Uredbi (EU) 2016/679 (GDPR) i važećim zakonima Republike Hrvatske.
Obrada osobnih podataka provodi se sukladno načelima zakonitosti, poštenosti i transparentnosti, ograničenja svrhe, smanjenja količine podataka, točnosti, ograničenja pohrane te integriteta i povjerljivosti.

SKVID d.o.o., Jalševečka cesta 40, 10040 Zagreb, djeluje kao:
- voditelj obrade u odnosu na identifikacijske i tehničke podatke korisnika
- izvršitelj obrade u odnosu na komunikacijski sadržaj, sukladno članku 28. GDPR-a.

Ova Politika privatnosti objašnjava koje podatke obrađujemo, u koje svrhe, na kojem pravnom temelju te kako ih štitimo.
Ova Politika odnosi se isključivo na obradu podataka putem sDoktor platforme i ne obuhvaća obradu podataka koju zdravstvene ustanove provode u vlastitim informacijskim sustavima.

1. Što je sDoktor?

sDoktor je digitalna komunikacijska platforma koja omogućuje razmjenu informacija i sadržaja između korisnika i odabranih zdravstvenih djelatnika.
Platforma ne provodi sadržajnu ili medicinsku klasifikaciju podataka te nije sustav za vođenje službene medicinske dokumentacije. Odluku o pravnoj prirodi sadržaja i rokovima njegove pohrane donosi isključivo voditelj obrade.

2. Koje podatke obrađujemo?
Za korištenje sDoktor aplikacije prikupljamo i obrađujemo isključivo:

2.1 Identifikacijski podaci korisnika
    - ime i prezime,
    - telefonski broj,
    - adresa, poštanski broj i grad.

Ovi podaci obrađuju se radi omogućavanja korištenja platforme.

2.2 Komunikacijski sadržaj
- tekstualne poruke,
- korisnički učitane datoteke (npr. slike, PDF i drugi formati).

SKVID d.o.o. ne provodi sadržajnu analizu komunikacijskog sadržaja te isti obrađuje isključivo u tehničke svrhe pružanja usluge (pohrana, enkripcija, sigurnosna zaštita).
Ovaj sadržaj razmjenjuje se između korisnika i odabranog zdravstvenog djelatnika.

2.3 Tehnički podaci

  • zapisi o pristupu sustavu (sigurnosni logovi)
    Obrada se provodi radi osiguranja sigurnosti i stabilnosti sustava.

3. Pravna osnova obrade
Osobni podaci obrađuju se na temelju:

  • čl. 6 (1)(b) GDPR – izvršavanje ugovora (korištenje platforme),
  • čl. 9 (2)(h) GDPR – obrada zdravstvenih podataka od strane zdravstvenog djelatnika ili pod njegovom odgovornošću u svrhu pružanja zdravstvene skrbi,
    čl. 28 GDPR – SKVID djeluje kao izvršitelj obrade u odnosu na sadržaj komunikacije,
  • čl. 6 (1)(f) GDPR – legitimni interes radi osiguranja sigurnosti sustava i sprječavanja zlouporaba.

Detaljna procjena legitimnog interesa dokumentirana je u internom LIA dokumentu.

Zdravstvene ustanove ili samostalni zdravstveni djelatnici djeluju kao voditelji obrade u odnosu na podatke razmijenjene putem platforme.
Dostava identifikacijskih podataka nužna je za sklapanje i izvršavanje ugovora o korištenju platforme. Bez tih podataka nije moguće otvoriti korisnički račun.
 

4. Automatizirano donošenje odluka
Platforma ne koristi automatizirano donošenje odluka niti profiliranje u smislu članka 22. GDPR-a.


5.. Tko ima pristup podacima?
Pristup podacima omogućen je isključivo u opsegu nužnom za izvršavanje ugovornih obveza i sukladno načelu najmanjih privilegija. Pristup komunikacijskom sadržaju imaju:

  • korisnik (pacijent),
  • odabrana zdravstvena ustanova ili zdravstveni djelatnik (voditelj obrade).

Administratorski pristup unutar SKVID-a:

  • strogo je ograničen,
  • zaštićen je višefaktorskom autentikacijom (MFA),
  • podliježe audit logiranju.

SKVID d.o.o. trenutno ne koristi podizvršitelje u obradi osobnih podataka u okviru sDoktor platforme. U slučaju angažiranja podizvršitelja, isti će biti odabrani isključivo unutar Europske unije uz primjenu odgovarajućih ugovornih i tehničkih mjera zaštite podataka.
Podaci se ne koriste u marketinške svrhe.

6.Koliko dugo čuvamo podatke?
Osobni podaci čuvaju se sukladno unaprijed definiranim retencijskim rokovima, ovisno o vrsti podataka i ulozi SKVID d.o.o. u obradi. Detaljni rokovi definirani su važećom Tablicom retencije i postupaka brisanja osobnih podataka.

6.1 Korisnički račun (identifikacijski podaci)
Identifikacijski podaci korisnika čuvaju se tijekom trajanja ugovornog odnosa, odnosno dok je korisnički račun aktivan.
U slučaju zahtjeva za brisanjem računa, provodi se deaktivacija računa te uklanjanje podataka iz aktivnog korisničkog prikaza sukladno definiranoj proceduri brisanja, osim ako je daljnje čuvanje nužno radi ispunjenja zakonskih obveza.

6.2 Komunikacijski sadržaj (poruke i privici)
Komunikacijski sadržaj obrađuje se u svojstvu izvršitelja obrade te se čuva tijekom trajanja ugovornog odnosa s voditeljem obrade (zdravstvenom ustanovom ili zdravstvenim djelatnikom).
Po prestanku ugovornog odnosa provodi se automatizirano, trajno i nepovratno brisanje podataka sukladno internim postupcima i uputama voditelja obrade.

6.3 Glasovne poruke
Glasovne poruke zaprimljene putem telefonskog sustava čuvaju se najdulje 30 dana od dana zaprimanja.
Centralna pohrana glasovnih poruka ograničena je na najviše 30 dana, nakon čega se podaci automatizirano i nepovratno brišu sukladno internoj proceduri.

6.4 Log zapisi (sigurnosni)
Sigurnosni i tehnički zapisi čuvaju se 3 mjeseca radi osiguranja sigurnosti sustava, sprječavanja zlouporaba i ispunjenja regulatornih obveza.
Obrada se temelji na legitimnom interesu sukladno članku 6(1)(f) GDPR-a.
Brisanje se provodi automatiziranom rotacijom logova uz ograničen i auditiran pristup.


6.5 Sigurnosne kopije (backup)
Sigurnosne kopije podataka čuvaju se u razdoblju od 30 do 90 dana sukladno internoj politici sigurnosnih kopija.
Nakon isteka roka podaci se automatski brišu ili prepisuju (overwrite) u skladu s definiranim sigurnosnim standardima.

 

7. Brisanje računa
Korisnik može zatražiti brisanje računa putem mobilne aplikacije odabirom opcije „Obriši korisnički račun“. U slučaju brisanja računa:

  • račun se deaktivira,
  • identifikacijski podaci uklanjaju se iz aktivnog korisničkog prikaza,
  • komunikacijski sadržaj zadržava se sukladno obvezama voditelja obrade i važećim retencijskim rokovima.

Brisanje korisničkog računa ne utječe na obvezu čuvanja medicinske dokumentacije od strane zdravstvene ustanove sukladno posebnim propisima.

Sustav ne podržava selektivno brisanje pojedinačnih poruka radi očuvanja integriteta komunikacijskog zapisa.
Po prestanku ugovornog odnosa s voditeljem obrade podaci se trajno i nepovratno brišu sukladno internim postupcima.

8. Sigurnost podataka
U slučaju povrede osobnih podataka, SKVID d.o.o. postupa sukladno utvrđenim internim procedurama upravljanja sigurnosnim incidentima te bez odgode obavještava voditelja obrade radi ispunjenja obveza iz čl. 33. i 34. GDPR-a.
Primjenjujemo tehničke i organizacijske mjere sukladno procjeni rizika i načelu razmjernosti, uključujući:

  • enkripciju u prijenosu (TLS 1.2/1.3),
  • enkripciju u mirovanju,
  • mrežnu segmentaciju,
  • višefaktorsku autentikaciju (MFA),
  • centralizirano logiranje,
  • redovito testiranje sigurnosnih kopija.

Svi sustavi nalaze se u Republici Hrvatskoj (EU). Podaci se ne prenose u treće zemlje.
Sustav je razvijen i održavan sukladno načelima zaštite podataka u fazi dizajna i prema zadanim postavkama (privacy by design and by default).
Sigurnosne mjere podliježu redovitom internom preispitivanju i kontinuiranom unapređenju sukladno razvoju prijetnji i regulatornih zahtjeva.

9. Prava korisnika
Korisnici imaju pravo na:

  • pristup podacima
  • ispravak podataka
  • ograničenje obrade
  • brisanje računa
  • pravo na prenosivost podataka
  • pravo na prigovor obradi
  • podnošenje pritužbe nadzornom tijelu - Agenciji za zaštitu osobnih podataka (AZOP), Ulica Metela Ožegovića 16, 10000 Zagreb, www.azop.hr

Za sva pitanja vezana uz zaštitu osobnih podataka i ostvarivanje prava ispitanika, možete se obratiti službeniku za zaštitu podataka (DPO):
E-mail: zastitapodataka@skvid.hr
Zahtjevi se mogu uputiti putem kontakta navedenog u nastavku. Zahtjevi se obrađuju bez nepotrebnog odgađanja, a najkasnije u roku od 30 dana sukladno članku 12. GDPR-a.

10. Kontakt
Za pitanja vezana uz zaštitu podataka možete se obratiti:

SKVID d.o.o.
Jalševečka cesta 40
10040 Zagreb
e-mail: zastitapodataka@skvid.hr
Službenik za zaštitu podataka djeluje neovisno i izvještava izravno upravi društva, sukladno članku 38. GDPR-a.

11. Izmjene politike
Ova Politika privatnosti može se povremeno ažurirati radi usklađivanja s regulatornim zahtjevima, tehnološkim promjenama ili organizacijskim unapređenjima. Važeća verzija uvijek je dostupna putem službenih komunikacijskih kanala društva.

Cookie policy