ZAŠTITA OSOBNIH PODATAKA
Informacije o obradi osobnih podataka
Uvodne odredbe
Ovaj dokument pruža transparentne, potpune i ažurne informacije o obradi osobnih podataka u okviru korištenja sDoktor aplikacijskih rješenja, koja obuhvaćaju:
· mobilne aplikacije za pacijente
· web aplikacije za liječnike
· tehničke i komunikacijske infrastrukture koju pruža SKVID d.o.o.
Dokument definira:
· kategorije podataka koje se obrađuju,
· uloge i odgovornosti voditelja obrade i izvršitelja,
· prava korisnika prema GDPR-u,
· tehničke i organizacijske mjere zaštite,
· razliku u obradi podataka između korisnika mobilne aplikacije i korisnika web aplikacije.
Ovaj dokument sastavljen je sukladno Uredbi (EU) 2016/679 (“GDPR”) i važećim propisima Republike Hrvatske.
Ovaj dokument predstavlja javno dostupni informativni sažetak sustava zaštite osobnih podataka u okviru sDoktor platforme te je usklađen s Politikom privatnosti, Ugovorom o obradi osobnih podataka (DPA) i internom Procjenom učinka na zaštitu podataka (DPIA).
1. PODACI O VODITELJU OBRADE
SKVID d.o.o.
Jalševečka cesta 40, 10040 Zagreb
OIB: 27197549120
E-mail: zastitapodataka@skvid.hr
SKVID je voditelj obrade isključivo za:
Zdravstvene ustanove i samostalni zdravstveni djelatnici djeluju kao voditelji obrade u odnosu na komunikacijski sadržaj i podatke razmijenjene s pacijentima putem platforme.
SKVID nije voditelj obrade sadržaja komunikacije. SKVID djeluje kao izvršitelj obrade u dijelu pružanja tehničke infrastrukture za prijenos i pohranu, bez redovne poslovne obrade sadržaja i bez uvida, osim iznimno radi održavanja i sigurnosti uz kontrolirane i evidentirane pristupe.
Odnosi između SKVID-a i zdravstvenih ustanova detaljno su uređeni Ugovorom o obradi osobnih podataka (DPA) sukladno članku 28. GDPR-a.
2. TEMELJNA NAČELA ZAŠTITE PODATAKA
SKVID primjenjuje sljedeća temeljna načela GDPR-a:
1. Smanjenje količine podataka – obrađujemo samo podatke nužne za identifikaciju i sigurnost sustava;
2. Ograničena svrha – podaci se koriste samo za pružanje funkcionalnosti aplikacije;
3. Integritet i povjerljivost – sadržaj komunikacije je šifriran, a pristup je ograničen i kontroliran sukladno internim sigurnosnim procedurama;
4. Transparentnost – korisnicima jasno predstavljamo način obrade podataka;
5. Sigurnost obrade – primjenjujemo organizacijske i tehničke mjere u skladu s najboljom praksom industrije.
Sustav sDoktor razvijen je i održavan sukladno načelima zaštite podataka u fazi dizajna i prema zadanim postavkama (privacy by design and by default), sukladno članku 25. GDPR-a.
3. KATEGORIJE PODATAKA KOJE SE OBRAĐUJU
3.1 SKVID obrađuje identifikacijske i tehničke podatke nužne za funkcioniranje sustava, uključujući broj mobilnog telefona kao primarni identifikator korisnika, te podatke koje korisnik unosi prilikom registracije (npr. ime, prezime, adresa), kao i sigurnosne zapise (logove).
Komunikacijski sadržaj (poruke i privici) pohranjuje se na infrastrukturi SKVID-a, pri čemu SKVID djeluje isključivo kao izvršitelj obrade, bez određivanja svrhe i sredstava obrade tog sadržaja.
SKVID nema redovan poslovni uvid u sadržaj komunikacije. Tehnički pristup moguć je isključivo u iznimnim situacijama radi održavanja sustava, sigurnosnog nadzora ili otklanjanja tehničkih poteškoća, uz strogo ograniče, kontroliran i evidentiran pristup.
3.2. Podaci korisnika web aplikacije (liječnika)
SKVID obrađuje:
SKVID ne obrađuje podatke o pacijentima u vlastite poslovne svrhe niti provodi sadržajnu analizu komunikacije između liječnika i pacijenata.
Liječnik je jedini voditelj obrade podataka koje razmjenjuje s pacijentima.
3.3 Podaci pretplatnika (ugovorne zdravstvene ustanove)
SKVID obrađuje:
4. SVRHA I PRAVNA OSNOVA OBRADE
4.1 Omogućavanja korištenja aplikacije
Pravna osnova: čl. 6. st. 1. točka b) – izvršenje ugovora
Obuhvaća:
4.2 Tehnička sigurnost sustava
Pravna osnova: čl. 6. st. 1. točka f) – legitimni interes
Obuhvaća:
4.3 Korisnička podrška
Pravna osnova: čl. 6. st. 1. točka b)
Obuhvaća obradu tehničkih podataka potrebnih (bez pristupa sadržaju komunikacije).
4.4 Statistička obrada (anonimizirano)
Pravna osnova: čl. 6. st. 1. točka f)
Obuhvaća agregirane podatke o korištenju aplikacije.
5. POHRANA PODATAKA
Podaci se pohranjuju uz primjenu enkripcije, kontroliranih prava pristupa i višeslojnih sigurnosnih mehanizama.
Svi podaci pohranjuju se isključivo u Republici Hrvatskoj (Europska unija). Ne provode se prijenosi osobnih podataka u treće zemlje niti međunarodne organizacije.
5.1 Upravljanje sigurnosnim incidentima
U slučaju povrede osobnih podataka, SKVID d.o.o. postupa sukladno internim procedurama upravljanja sigurnosnim incidentima te bez nepotrebnog odgađanja obavještava voditelja obrade radi ispunjenja obveza iz članka 33. i 34. GDPR-a.
Pristup podacima ograničen je na ovlaštene osobe uz primjenu načela najmanjih privilegija (least privilege).
6. RAZDOBLJE ČUVANJA PODATAKA
SKVID čuva podatke za koje je voditelj obrade:
Sadržaji komunikacije pohranjuju se na infrastrukturi SKVID-a, pri čemu SKVID djeluje kao izvršitelj obrade i postupa sukladno uputama voditelja obrade.
Rok čuvanja komunikacijskog sadržaja određuje voditelj obrade sukladno vlastitim regulatornim obvezama.
7. PRAVA KORISNIKA PREMA GDPR-u
Korisnik ima pravo:
Za ostvarivanje prava korisnik kontaktira službenika za zaštitu podataka.
Zahtjevi se obrađuju bez nepotrebnog odgađanja, a najkasnije u roku od 30 dana sukladno članku 12. GDPR-a.
8. KONTAKT
Službenik za zaštitu podataka
E-mail: zastitapodataka@skvid.hr
Poštom: SKVID d.o.o.,
Jalševečka cesta 40
10040 Zagreb (uz naznaku: “Za službenika za zaštitu osobnih podataka”)
Ovaj dokument podliježe periodičnoj reviziji, a najmanje jednom godišnje, radi usklađivanja s regulatornim zahtjevima, tehnološkim promjenama i razvojem sigurnosnih standarda.