Zásady ochrany osobných údajov - GDPR

1. AKÉ OSOBNÉ ÚDAJE ZHROMAŽĎUJEME A SPRACÚVAME?

Rozsah spracúvaných údajov závisí od toho, či ste u nás registrovaný ako poskytovateľ zdravotnej starostlivosti (lekár/ambulancia), alebo ste pacientom, ktorému naša platforma pomáha spravovať termíny preventívnych prehliadok.

A. Osobné údaje, ktoré nám priamo poskytujete

Zhromažďujeme údaje, ktoré dobrovoľne zadáte do systému pri registrácii, vytváraní profilu ambulancie alebo pri používaní rezervačného formulára. Ide najmä o:

• Identifikačné údaje: Meno, priezvisko
  Kontaktné údaje: Telefónne číslo (nevyhnutné pre doručovanie SMS pozvánok), e-mailová adresa (pre potvrdenie rezervácií a komunikáciu).
• Prístupové údaje: Používateľské meno a šifrované heslo.
• Údaje o zákonných zástupcoch: V prípade maloletých pacientov spracúvame meno a kontaktné údaje rodiča alebo iného zákonného zástupcu.

B. Osobitné kategórie osobných údajov (Citlivé údaje)

Vzhľadom na povahu našej Služby spracúvame údaje o zdraví v zmysle Článku 9 GDPR. Tieto údaje požívajú najvyšší stupeň ochrany:

• Rodné číslo: Spracúvané v súlade so zákonom č. 18/2018 Z. z. výhradne za účelom jednoznačnej identifikácie pacienta v systéme zdravotnej starostlivosti a pre potreby evidencie preventívnych prehliadok.
• Zdravotné záznamy o prevencii: Dátum poslednej preventívnej prehliadky, informácie o absolvovaní povinného alebo odporúčaného očkovania.
• Druh výkonu: Informácia o tom, na aký typ vyšetrenia (všeobecné, zubné, pediatrické) je pacient pozývaný.
• Poznámky k pacientovi: Špecifické organizačné pokyny lekára viazané k zdravotnému stavu alebo termínu vyšetrenia.

C. Údaje o maloletých osobách

Naša platforma je určená aj pre pediatrické ambulancie. Spracúvame údaje o deťoch (vrátane údajov o očkovaní a prehliadkach) výhradne na základe poverenia od ambulancie, ktorá je v pozícii prevádzkovateľa zdravotnej dokumentácie. SMS komunikácia a správa termínov prebieha vždy cez registrovaný kontakt na zákonného zástupcu.

D. Technické údaje zhromažďované automaticky

Keď navštívite našu webovú aplikáciu, automaticky zaznamenávame určité informácie pre účely bezpečnosti a diagnostiky:

• Logovacie údaje: IP adresa (anonymizovaná alebo v rámci bezpečnostných logov), typ internetového prehliadača, nastavenia jazyka, čas a dátum prístupu.
• Identifikátory zariadenia: Informácie o operačnom systéme a type zariadenia, z ktorého k aplikácii pristupujete.
• Cookies a podobné technológie: Používame nevyhnutné (technické) súbory cookies, ktoré zabezpečujú funkčnosť systému a udržanie prihlásenia. Nepoužívame marketingové cookies tretích strán bez vášho výslovného súhlasu.

E. Údaje získané od tretích strán

V prípade, že ambulancia využíva funkciu hromadného importu pacientov, získavame údaje priamo od vášho ošetrujúceho lekára (poskytovateľa zdravotnej starostlivosti). V tomto vzťahu spoločnosť Effective management, s.r.o. vystupuje ako Sprostredkovateľ, ktorý spracúva údaje podľa pokynov lekára v súlade so Zmluvou o spracúvaní osobných údajov.

Poznámka k zákonnosti: Všetky vyššie uvedené údaje sú nevyhnutné na dosiahnutie účelu platformy – t. j. efektívnej automatizácie preventívnej starostlivosti a predchádzania zanedbaniu povinných zdravotných výkonov. Bez poskytnutia týchto údajov nie je možné Službu v plnom rozsahu poskytovať.

2. ÚČEL A PRÁVNY ZÁKLAD SPRACÚVANIA OSOBNÝCH ÚDAJOV

Vaše osobné údaje spracúvame len v nevyhnutnom rozsahu a na konkrétne vymedzené účely. Na každú operáciu spracúvania máme platný právny základ v zmysle Článku 6 a Článku 9 Nariadenia GDPR.

A. Účely spracúvania (Prečo údaje potrebujeme?)

1. Poskytovanie Služieb a správa rezervácií: Hlavným účelom je automatizácia pozývania na preventívne prehliadky a očkovania a prevádzka online rezervačného systému. Bez spracovania týchto údajov by sme vám nemohli zaslať SMS pozvánku ani umožniť rezerváciu termínu.
2. Komunikácia a podpora: Spracúvame vaše kontaktné údaje, aby sme mohli odpovedať na vaše otázky, riešiť technické problémy alebo potvrdiť zmeny v termínoch.
3. Zabezpečenie ochrany zdravia: Monitoring dôležitých zdravotných termínov (prevencia, očkovanie) priamo napomáha k včasnému záchytu ochorení a dodržiavaniu povinných zdravotných plánov.
4. Bezpečnosť a integrita systému: Vaše údaje (najmä technické logy) používame na detekciu kybernetických útokov, predchádzanie podvodom a zabezpečenie stability infraštruktúry.
5. Plnenie zákonných povinností: Uchovávanie určitých údajov nám ukladá legislatíva SR (napr. daňové a účtovné predpisy v prípade fakturácie služieb ambulanciám).

B. Právny základ spracúvania (Čo nás k tomu oprávňuje?)

V zmysle platnej legislatívy sa opierame o tieto právne základy:

• Plnenie zmluvy (Článok 6 ods. 1 písm. b) GDPR): Spracúvanie je nevyhnutné na to, aby sme vám dodali dohodnutú Službu (napr. vytvorenie konta ambulancie, spracovanie rezervácie pacienta).
• Poskytovanie zdravotnej starostlivosti (Článok 9 ods. 2 písm. h) GDPR): V prípade citlivých údajov o zdraví (termíny prehliadok, očkovania) spracúvame údaje na účely poskytovania zdravotnej starostlivosti alebo riadenia systémov a služieb zdravotnej starostlivosti.
• Zákonná povinnosť (Článok 6 ods. 1 písm. c) GDPR): Ak spracovanie vyžaduje osobitný zákon (napr. archivácia účtovných dokladov).
• Oprávnený záujem (Článok 6 ods. 1 písm. f) GDPR): Najmä pri zabezpečovaní bezpečnosti našej platformy a prevencii zneužitia Služieb.
• Súhlas (Článok 6 ods. 1 písm. a) GDPR): V špecifických prípadoch, ak sa rozhodnete udeliť súhlas (napr. pri odoberaní noviniek, ak by sme ich zaviedli, alebo pri marketingových aktivitách). Súhlas môžete kedykoľvek odvolať.

C. Postavenie Sprostredkovateľa vs. Prevádzkovateľa

Je dôležité poznamenať, že v kontexte pacientskych údajov vystupuje vaša ambulancia/lekár ako Prevádzkovateľ (osoba zodpovedná za vašu zdravotnú dokumentáciu) a naša spoločnosť Effective management, s.r.o. ako Sprostredkovateľ. To znamená, že údaje spracúvame výhradne na základe pokynov lekára a prísnej Zmluvy o spracúvaní osobných údajov, ktorá garantuje ich ochranu.

Sekcia 3 je z hľadiska kredibility kľúčová. Tu vysvetlíme, že vaše riešenie nie je len „nejaký web“, ale infraštruktúra s úrovňou zabezpečenia, ktorú pacienti a lekári vyžadujú. Zapracoval som izoláciu databáz, šifrovanie a podrobné údaje o Hetzneri.

3. TECHNICKÉ A ORGANIZAČNÉ OPATRENIA, BEZPEČNOSŤ A SUBDODÁVATELIA

Bezpečnosť údajov je základným pilierom platformy Preventivky.app. Naša infraštruktúra je navrhnutá tak, aby spĺňala najprísnejšie požiadavky na ochranu citlivých zdravotných údajov a predchádzala akémukoľvek neoprávnenému prístupu, strate alebo poškodeniu dát.

A. Architektúra a izolácia dát (Multi-Tenancy)

Na rozdiel od bežných webových aplikácií používame model striktnej logickej izolácie.

• Samostatné databázy: Každá ambulancia (klient) má v našom systéme pridelenú vlastnú, logicky oddelenú databázu. To znamená, že údaje pacientov jednej ambulancie sú fyzicky a logicky izolované od údajov iných ambulancií.
• Zero-Shared Access: Neexistuje riziko krížového úniku dát medzi jednotlivými poskytovateľmi zdravotnej starostlivosti.

B. Šifrovanie na úrovni bankových štandardov

• Data at Rest (Uložené údaje): Všetky osobné údaje a informácie o zdravotnom stave sú na našich serveroch šifrované pomocou pokročilého štandardu AES-256. Aj v prípade fyzického prístupu k úložisku sú dáta bez dešifrovacieho kľúča nečitateľné.
• Data in Transit (Prenos údajov): Akákoľvek komunikácia medzi zariadením používateľa (lekára alebo pacienta) a našimi servermi je chránená šifrovaným protokolom TLS 1.3 (Transport Layer Security) s využitím silných certifikátov.

C. Hosting a fyzická bezpečnosť (Hetzner Online GmbH)

Naše systémy bežia na infraštruktúre popredného európskeho poskytovateľa, ktorý garantuje, že údaje nikdy neopúšťajú územie Európskej únie.

• Poskytovateľ: Hetzner Online GmbH
• Sídlo: Industriestr. 25, 91710 Gunzenhausen, Nemecko
• Lokalita serverov: Nemecko (datacentrá Norimberg a Falkenstein)
• Certifikácia: Datacentrá Hetzner sú držiteľmi certifikátu ISO 27001, čo je medzinárodne uznávaný štandard pre systémy riadenia informačnej bezpečnosti. Tento certifikát potvrdzuje existenciu prísnych kontrol fyzického prístupu, protipožiarnej ochrany, záložného napájania a monitoringu 24/7.
• Viac o ochrane údajov u subdodávateľa: Zásady ochrany osobných údajov Hetzner

D. Kontrola prístupu a auditovanie

• Viacfaktorová autentifikácia (MFA): Prístup do administrátorského rozhrania a k správe infraštruktúry je chránený povinným viacstupňovým overením.
• Princíp minimálnych oprávnení: Prístup k údajom majú len preverené osoby a len v rozsahu nevyhnutnom na technickú údržbu systému.
• Logovanie a monitoring: Každý pokus o prístup k citlivým dátam je automaticky zaznamenávaný (logovaný). Systém nepretržite monitoruje podozrivé aktivity a v reálnom čase blokuje potenciálne kybernetické hrozby (DDoS útoky, SQL injection a pod.).

E. Zálohovanie a obnova dát

Pre prípad neočakávaných udalostí vykonávame pravidelné šifrované zálohy všetkých dát. Zálohy sú ukladané v geograficky oddelených lokalitách v rámci Nemecka, aby bola zaručená kontinuita Služieb aj v prípade lokálneho výpadku datacentra (Disaster Recovery).

3. TECHNICKÉ, ORGANIZAČNÉ OPATRENIA A BEZPEČNOSŤ INFRAŠTRUKTÚRY

Bezpečnosť informácií a ochrana citlivých zdravotných údajov sú základným pilierom platformy Preventivky.app. Implementovali sme viacúrovňovú bezpečnostnú stratégiu, ktorá kombinuje pokročilé technické riešenia, striktné organizačné procesy a spoluprácu s certifikovanými európskymi partnermi.

3.1. Technická architektúra a izolácia dát (Multi-Tenancy)

Na rozdiel od bežných monolitických systémov je naša platforma postavená na princípe striktnej logickej a databázovej izolácie:

• Izolované databázy: Každá ambulancia (klient) využíva vlastnú, logicky oddelenú databázu. Tento prístup eliminuje riziko „Cross-Tenant“ úniku dát – údaje pacientov jednej ambulancie nie sú za žiadnych okolností technicky prístupné cez rozhranie inej ambulancie.
• Aplikačná bariéra: Prístup k dátam je riadený na úrovni aplikačnej logiky, ktorá striktne overuje oprávnenia pri každej požiadavke (Request-level authorization).

3.2. Komplexné šifrovanie a ochrana integrity

Dáta sú chránené v každej fáze ich životného cyklu:

• Šifrovanie v pokoji (Data at Rest): Všetky osobné údaje, rodné čísla a zdravotné záznamy uložené na produkčných serveroch, ako aj v zálohách, sú šifrované pomocou priemyselného štandardu AES-256 (Advanced Encryption Standard). Dešifrovacie kľúče sú spravované oddelene od dátových úložísk.
• Šifrovanie počas prenosu (Data in Transit): Akákoľvek komunikácia medzi zariadením používateľa (lekár, sestra, pacient) a platformou je šifrovaná protokolom TLS 1.3 (Transport Layer Security) s využitím silných šifier a 2048-bitových (alebo vyšších) certifikátov.
• Ochrana hesiel: Používateľské heslá nikdy neukladáme v čitateľnej podobe. Používame moderné hašovacie algoritmy (napr. Argon2 alebo bcrypt) s unikátnou „soľou“ pre každé heslo, čo poskytuje ochranu proti útokom typu Rainbow Tables a Brute Force.

3.3. Hostingová infraštruktúra a fyzická bezpečnosť

Všetky systémy Preventivky.app sú prevádzkované výhradne na území Európskej únie v certifikovaných datacentrách nášho strategického partnera:

• Poskytovateľ: Hetzner Online GmbH
• Sídlo: Industriestr. 25, 91710 Gunzenhausen, Nemecko
• Lokality serverov: Norimberg a Falkenstein, Nemecko (EÚ)
• Certifikácia podľa ISO 27001: Naša infraštruktúra beží v prostredí, ktoré je držiteľom medzinárodného certifikátu ISO 27001 pre manažment informačnej bezpečnosti.
• Fyzická ochrana: Datacentrá sú chránené nepretržitým kamerovým monitoringom, biometrickou kontrolou prístupu, protipožiarnymi systémami a záložnými zdrojmi energie (UPS a dieselové generátory).
• Zásady ochrany u partnera: Podrobné informácie o bezpečnosti subdodávateľa nájdete na: https://www.hetzner.com/legal/privacy-policy.

3.4. Subdodávatelia a spracovatelia (Transparency)

Pri poskytovaní našich služieb využívame ďalších špecializovaných partnerov (Sprostredkovateľov), s ktorými máme uzatvorené Zmluvy o spracúvaní osobných údajov (DPA):

• SMS operátori: Pre doručovanie SMS pozvánok. Subdodávateľovi je odovzdané výhradne telefónne číslo a nevyhnutný text správy. Tieto údaje sú u operátora uchovávané len po dobu nevyhnutnú na technické doručenie správy.
• E-mailové systémy: Používané na odosielanie technických notifikácií a potvrdení rezervácií. E-mailová komunikácia je navrhnutá tak, aby neobsahovala nadbytočné citlivé údaje.

3.5. Prístupové mechanizmy a personálna bezpečnosť

• Viacfaktorová autentifikácia (MFA): Administratívny prístup k serverom, databázam a riadiacim systémom platformy je vyhradený úzkemu okruhu preverených technických pracovníkov a je podmienený povinným použitím MFA.
• Princíp minimálnych privilégií (Least Privilege): Prístupové práva sú udeľované len v rozsahu nevyhnutnom pre výkon konkrétnej technickej činnosti.
• Logovanie a audit: Všetky prístupy k citlivým pacientskym údajom a zmeny v systéme sú logované v auditných záznamoch, ktoré sú chránené proti dodatočnej úprave.
• Záväzok mlčanlivosti: Každá osoba, ktorá prichádza do styku s technickou infraštruktúrou, je viazaná prísnou zákonnou a zmluvnou mlčanlivosťou o všetkých skutočnostiach, o ktorých sa dozvie pri prevádzke systému.

3.6. Lokalizácia dát a odmietnutie prenosu do tretích krajín

• EÚ/EHP Only: Garantujeme, že všetky osobné údaje sú spracúvané a uchovávané výhradne v Nemecku (EÚ).
• Bez prenosu do USA: Naša platforma nevyužíva cloudové služby amerických spoločností, ktoré by mohli viesť k prenosu zdravotných údajov do jurisdikcií mimo EÚ (v zmysle rozsudku Schrems II). Vyhýbame sa používaniu externých analytických nástrojov (napr. Google Analytics) v častiach aplikácie, kde sa pracuje s osobnými údajmi.

3.7. Kontinuita prevádzky a riešenie incidentov

• Zálohovanie (Disaster Recovery): Vykonávame pravidelné šifrované zálohovanie dát, ktoré sú ukladané v geograficky oddelených lokalitách v rámci EÚ. Systém je testovaný na rýchlu obnovu dát v prípade totálneho výpadku jedného z datacentier.
• Incident Management: Máme vypracovaný interný plán reakcie na bezpečnostné incidenty. V prípade porušenia ochrany osobných údajov sa zaväzujeme:
  1. Informovať Úrad na ochranu osobných údajov SR do 72 hodín od zistenia incidentu.
  2. Bezodkladne informovať dotknutú ambulanciu (lekára) a v prípade vysokého rizika aj dotknuté osoby (pacientov).
• Monitoring bezpečnosti: Používame automatizované systémy na detekciu prienikov (IDS/IPS), ktoré v reálnom čase blokujú podozrivé aktivity, ako sú pokusy o SQL injection alebo DDoS útoky.

4. KEDY A S KÝM ZDIEĽAME VAŠE OSOBNÉ ÚDAJE? (KATEGÓRIE PRÍJEMCOV)

Vaše osobné údaje považujeme za dôverné. Spoločnosť Effective management, s.r.o. nikdy nepredáva, neprenajíma ani neobchoduje s vašimi osobnými ani zdravotnými údajmi na marketingové účely tretích strán.

Vaše údaje sprístupňujeme výhradne v nasledujúcich situáciách a nasledujúcim kategóriám príjemcov, a to vždy za prísnych bezpečnostných podmienok:

A. Poskytovatelia zdravotnej starostlivosti (Vzťah Pacient – Lekár)

Z podstaty fungovania služby Preventivky.app dochádza k vzájomnému zdieľaniu údajov medzi vami (pacientom) a vašou ambulanciou (poskytovateľom zdravotnej starostlivosti):

• Keď sa objednávate: Údaje, ktoré zadáte do rezervačného formulára (meno, kontaktné údaje, dôvod návštevy), sú v reálnom čase sprístupnené konkrétnej ambulancii, u ktorej si termín rezervujete.
• Správa ambulancie: Oprávnený zdravotnícky personál (lekár, sestra) má prístup k vašim údajom v rozsahu potrebnom na manažment vášho termínu a zdravotnej dokumentácie.

B. Zmluvní sprostredkovatelia (Technickí dodávatelia)

Na zabezpečenie funkčnosti platformy využívame starostlivo vybraných dodávateľov (Sprostredkovateľov). Tieto subjekty majú prístup k údajom len v nevyhnutnom rozsahu, na obmedzený čas a výhradne na účely, ktoré sme im určili. S každým sprostredkovateľom máme uzavretú písomnú Zmluvu o spracúvaní osobných údajov (DPA), ktorá ich zaväzuje k mlčanlivosti a dodržiavaniu GDPR.

Ide o nasledujúce kategórie príjemcov:

1. Poskytovatelia cloudovej infraštruktúry a hostingu: (Hetzner Online GmbH) – pre fyzické uloženie a beh databáz (viď Sekcia 3).
2. Poskytovatelia telekomunikačných služieb (SMS brány): Pre doručovanie SMS kódov, pripomienok a pozvánok. Týmto partnerom je poskytnuté iba telefónne číslo a obsah správy.
3. Poskytovatelia IT podpory a vývoja: V ojedinelých prípadoch, pri riešení kritických chýb alebo údržbe systému, môžu mať preverení vývojári prístup k logom alebo diagnostickým dátam (pod prísnou NDA - Dohodou o mlčanlivosti).
4. Poskytovatelia účtovných a právnych služieb: Pre plnenie našich zákonných povinností (fakturácia ambulanciám, právne zastúpenie).

C. Zákonné povinnosti a orgány verejnej moci

Vaše údaje môžeme sprístupniť tretím stranám, ak sa domnievame v dobrej viere, že je to nevyhnutné na:

• Splnenie zákonnej povinnosti: Ak nás k tomu vyzve súd, prokuratúra, orgány činné v trestnom konaní alebo iný príslušný orgán štátnej správy (napr. Úrad na ochranu osobných údajov) na základe platného právneho predpisu SR.
• Ochrana práv: Na uplatňovanie alebo obhajobu našich právnych nárokov v súdnom alebo správnom konaní.

D. Prevody podnikov (M&A)

V prípade, že by spoločnosť Effective management, s.r.o. prešla fúziou, akvizíciou, alebo by došlo k predaju celej spoločnosti či jej časti, vaše údaje môžu byť súčasťou prevedených aktív. V takom prípade vás budeme vopred informovať a nový subjekt bude povinný dodržiavať tieto Zásady ochrany osobných údajov v rovnakom rozsahu.

E. Čo nezdieľame

• Žiadne sociálne siete: Naša aplikácia neobsahuje "trackovacie pixely" sociálnych sietí (Facebook Pixel, TikTok atď.), ktoré by odosielali informácie o vašom zdravotnom stave reklamným platformám.
• Žiadne poisťovne a banky: Údaje nezdieľame so zdravotnými poisťovňami ani finančnými inštitúciami bez vášho výslovného a samostatného pokynu (napr. ak by v budúcnosti funkcia vyžadovala priame prepojenie, vyžiadame si nový súhlas).

Sekcia 5 musí byť v súlade s princípom minimalizácie uchovávania (GDPR). Musíme jasne rozlíšiť, ako dlho držíte dáta kým je služba aktívna, ako dlho musíte držať faktúry (zákon) a čo sa stane so zálohami.

---

5. AKO DLHO UCHOVÁVAME VAŠE INFORMÁCIE? (RETENČNÉ DOBY)

Vaše osobné údaje uchovávame len po dobu, ktorá je nevyhnutne potrebná na splnenie účelov definovaných v týchto Zásadách, alebo po dobu, ktorú nám ukladajú platné právne predpisy Slovenskej republiky.

Pri určovaní doby uchovávania sa riadime nasledujúcimi pravidlami a lehotami:

A. Počas trvania zmluvného vzťahu (Aktívne využívanie Služby)

Osobné a zdravotné údaje uchovávame v aktívnej databáze po celú dobu trvania zmluvného vzťahu medzi ambulanciou (poskytovateľom zdravotnej starostlivosti) a spoločnosťou Effective management, s.r.o., resp. kým má používateľ aktívne konto.

• Účel: Zabezpečenie funkčnosti rezervačného systému, histórie termínov a cyklického pozývania na preventívne prehliadky.

B. Po ukončení poskytovania Služieb

Ak dôjde k ukončeniu zmluvy s ambulanciou alebo k zrušeniu konta:

1. Ochranná lehota: Údaje ponechávame v systéme po dobu 30 dní od ukončenia zmluvy, aby sme umožnili ambulancii exportovať svoje dáta (prenositeľnosť údajov) alebo obnoviť službu v prípade omylu.
2. Výmaz dát: Po uplynutí tejto lehoty sú všetky zdravotné a osobné údaje pacientov z našich produkčných databáz trvalo vymazané alebo nevratne anonymizované (zbavené väzby na konkrétnu osobu), pokiaľ zákon nevyžaduje inak.

C. Zákonné archivačné lehoty (Legislatívne požiadavky)

Niektoré údaje musíme uchovávať dlhšie, pretože nám to ukladá zákon:

• Účtovné a daňové doklady: Fakturačné údaje ambulancií (IČO, DIČ, kontaktná osoba, história platieb) sme povinní archivovať po dobu 10 rokov podľa zákona č. 431/2002 Z. z. o účtovníctve.
• Právne nároky: Základné identifikačné údaje a logy o poskytnutí služby môžeme uchovávať po dobu premlčacích lehôt (spravidla 3 až 4 roky) na účely preukazovania plnenia zmluvy alebo obhajoby v prípade právnych sporov.

D. Technické logy a zálohy

• Bezpečnostné logy: Technické záznamy o prístupoch do systému (IP adresy, časy prihlásenia) uchovávame po dobu 12 mesiacov za účelom vyšetrovania bezpečnostných incidentov a ochrany pred kybernetickými útokmi.
• Zálohy (Backups): Z dôvodu Disaster Recovery (obnovy po havárii) sa údaje nachádzajú v šifrovaných zálohách systému. Tieto zálohy sú cyklicky prepisované. Údaje vymazané z produkčnej databázy zmiznú zo záloh automaticky v priebehu 30 dní (retenčný cyklus zálohovania).

E. Spôsob likvidácie údajov

Keď uplynie doba uchovávania a neexistuje žiadny iný právny dôvod na spracúvanie:

• Digitálne údaje: Sú bezpečne vymazané (digitálna skartácia) alebo prepísané tak, aby ich nebolo možné obnoviť.
• Fyzické nosiče: Ak by existovali (čo v našom prípade nie je bežné), sú skartované certifikovaným spôsobom.

6. AKÉ SÚ VAŠE PRÁVA? (PRÁVA DOTKNUTEJ OSOBY)

V súlade s Nariadením GDPR a Zákonom č. 18/2018 Z. z. o ochrane osobných údajov máte nad svojimi údajmi plnú kontrolu. Nižšie uvádzame prehľad vašich práv a spôsob, ako si ich môžete uplatniť.

A. Prehľad vašich práv

Ako dotknutá osoba máte právo:

1. Právo na prístup (Článok 15 GDPR): Máte právo získať od nás potvrdenie o tom, či spracúvame vaše osobné údaje. Ak áno, máte právo získať prístup k týmto údajom a informácie o účele spracúvania, kategóriách údajov a príjemcoch.
2. Právo na opravu (Článok 16 GDPR): Ak sú vaše údaje nepresné alebo neúplné (napr. zmena telefónneho čísla, preklep v mene), máte právo požiadať o ich okamžitú opravu alebo doplnenie.
3. Právo na vymazanie („Právo na zabudnutie“) (Článok 17 GDPR): Máte právo požiadať o vymazanie vašich údajov, ak:
   • Už nie sú potrebné na účely, na ktoré boli získané.
   • Odvoláte svoj súhlas (ak sa spracovanie zakladá na súhlase).
   • Upozornenie: Toto právo nie je absolútne. Nemôžeme vymazať údaje, ktoré sme povinní uchovávať na základe zákona (napr. zdravotná dokumentácia v ambulancii alebo fakturačné údaje).
4. Právo na obmedzenie spracúvania (Článok 18 GDPR): Máte právo žiadať, aby sme dočasne obmedzili spracúvanie vašich údajov (napr. kým overíme ich správnosť, alebo ak namietate proti ich výmazu a žiadate ich uchovanie pre právne nároky).
5. Právo na prenosnosť údajov (Článok 20 GDPR): Máte právo získať svoje údaje, ktoré ste nám poskytli, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte (napr. CSV alebo XML) a preniesť ich k inému prevádzkovateľovi.
6. Právo namietať (Článok 21 GDPR): Máte právo kedykoľvek namietať proti spracúvaniu vašich osobných údajov, ktoré sa vykonáva na základe nášho oprávneného záujmu.
7. Právo odvolať súhlas (Článok 7 GDPR): Ak spracúvame údaje na základe vášho súhlasu, máte právo ho kedykoľvek odvolať. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním.

B. Špecifikum pri zdravotných údajoch (Rola Sprostredkovateľa)

Je dôležité rozumieť, že v prípade spracúvania údajov pre potreby ambulancie (rezervácie, zdravotné záznamy) vystupuje spoločnosť Effective management, s.r.o. ako Sprostredkovateľ a vaša ambulancia (lekár) ako Prevádzkovateľ.

• Ak požiadate o uplatnenie práv (napr. výmaz alebo opravu zdravotného záznamu), vašu žiadosť budeme primárne koordinovať s vaším lekárom, ktorý je vlastníkom zdravotnej dokumentácie a rozhoduje o nej.

C. Automatizované individuálne rozhodovanie

Naša platforma vykonáva automatizované spracovanie (napr. automatický výpočet termínu ďalšej preventívnej prehliadky na základe veku a poisťovne). Toto spracovanie však nemá pre vás negatívne právne účinky (naopak, slúži na ochranu vášho zdravia) a vždy podlieha možnosti ľudského zásahu zo strany lekára.

D. Ako si uplatniť svoje práva?

Svoje práva si môžete uplatniť nasledujúcimi spôsobmi:

• Online formulárom: Na stránke http://www.preventivky.app/gdpr
• E-mailom: Zaslaním žiadosti na adresu gdpr@preventivky.app
• Poštou: Na adresu sídla spoločnosti: Effective management, s.r.o., Kmeťova 24, 949 01 Nitra.

E. Lehoty a overenie totožnosti

• Bezpečnosť: Aby sme zabránili úniku údajov neoprávnenej osobe, môžeme vás pri podaní žiadosti požiadať o dodatočné overenie vašej totožnosti.
• Lehota na vybavenie: Na vašu žiadosť odpovieme bez zbytočného odkladu, najneskôr však do jedného mesiaca od jej doručenia. V prípade zložitých žiadostí môžeme túto lehotu predĺžiť o ďalšie dva mesiace (o čom vás budeme informovať).

F. Právo podať sťažnosť

Ak sa domnievate, že spracúvaním vašich osobných údajov boli porušené vaše práva alebo nariadenie GDPR, máte právo podať sťažnosť dozornému orgánu, ktorým je v Slovenskej republike:

Úrad na ochranu osobných údajov Slovenskej republiky Hraničná 12 820 07 Bratislava 27 Web: https://dataprotection.gov.sk/uoou/

7. OCHRANA ÚDAJOV MALOLETÝCH A ZRANITEĽNÝCH OSÔB

Vzhľadom na to, že platforma Preventivky.app je primárne určená aj pre ambulancie všeobecných lekárov pre deti a dorast (pediatrov), venujeme mimoriadnu pozornosť ochrane údajov osôb mladších ako 18 rokov.

Spracúvanie údajov maloletých pacientov podlieha najprísnejším bezpečnostným štandardom a riadi sa nasledujúcimi pravidlami:

7.1. Rola zákonného zástupcu (Rodič ako kontaktná osoba)

Naša platforma je navrhnutá tak, aby digitálne neinteragovala priamo s deťmi mladšími ako 16 rokov.

• Komunikácia: Všetky automatizované SMS pozvánky, pripomienky termínov a notifikácie týkajúce sa zdravotného stavu dieťaťa sú odosielané výhradne na telefónne číslo a e-mail zákonného zástupcu (rodiča, poručníka alebo pestúna), ktoré je evidované v zdravotnej dokumentácii ambulancie.
• Žiadny priamy marketing: Vedome nezhromažďujeme osobné údaje od detí za účelom marketingu, profilovania alebo predaja tovaru.

7.2. Rozsah spracúvaných údajov dieťaťa

Údaje o maloletom dieťati spracúvame len v rozsahu, ktorý je nevyhnutný na poskytnutie zdravotnej starostlivosti a ktorý nám poskytol pediater alebo zákonný zástupca:

• Identifikačné údaje: Meno, priezvisko, rodné číslo (nevyhnutné pre identifikáciu v systéme očkovania a preventívnych prehliadok).
• Zdravotné údaje: Dátum narodenia (kľúčový pre výpočet termínov povinných prehliadok), záznamy o absolvovaných a plánovaných očkovaniach, história preventívnych prehliadok.

7.3. Právny základ spracúvania údajov detí

Spracúvanie údajov maloletých vykonávame v pozícii Sprostredkovateľa na základe poverenia od poskytovateľa zdravotnej starostlivosti (vášho pediatra), ktorý je Prevádzkovateľom.

• Spracúvanie je nevyhnutné na účely preventívneho pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnostiky, poskytovania zdravotnej starostlivosti alebo liečby (článok 9 ods. 2 písm. h) GDPR).
• V prípade využívania služieb informačnej spoločnosti (napr. online rezervácia) sa súhlas so spracovaním údajov dieťaťa mladšieho ako 16 rokov považuje za zákonný iba vtedy, ak ho vyjadril alebo schválil jeho zákonný zástupca.

7.4. Výkon práv v mene dieťaťa

Ako rodič alebo zákonný zástupca máte právo uplatňovať všetky práva dotknutej osoby v mene svojho dieťaťa (viď Sekcia 6 „Aké sú vaše práva?“).

• Máte právo požiadať o výpis údajov, ktoré o vašom dieťati v systéme evidujeme.
• Máte právo na opravu chybných údajov (napr. ak systém vypočítal nesprávny termín očkovania z dôvodu chyby v dátume narodenia).
• Žiadosti týkajúce sa zdravotnej dokumentácie (napr. výmaz údajov) musia byť konzultované priamo s ošetrujúcim lekárom, nakoľko sa na ne vzťahujú zákonné archivačné lehoty podľa zákona o zdravotnej starostlivosti.

7.5. Bezpečnostné poistky

• Adolescenti (16 – 18 rokov): V prípade starších mladistvých, ktorí môžu navštevovať lekára samostatne, systém umožňuje (po dohode s ambulanciou a rodičom) zasielať pripomienky priamo na číslo pacienta, ak to je v súlade s internými predpismi ambulancie a legislatívou.
• Ochrana pred zneužitím: Ak zistíme, že sa do nášho systému zaregistrovalo dieťa mladšie ako 16 rokov bez vedomia rodičov a poskytlo svoje osobné údaje, podnikneme kroky na okamžité vymazanie týchto údajov a zrušenie konta.

8. POUŽÍVANIE SÚBOROV COOKIES A SLEDOVACÍCH TECHNOLÓGIÍ

Preventivky.app nie je reklamný priestor, ale bezpečný nástroj, a preto nepoužíva invazívne sledovanie.
Naša platforma pristupuje k súkromiu používateľov podľa filozofie „Privacy First“ (Súkromie na prvom mieste). Uvedomujeme si citlivosť zdravotných údajov, a preto sa zásadne líšime od bežných komerčných webových stránok – nesledujeme vaše správanie na internete za účelom reklamy.

V tejto sekcii vysvetľujeme, aké technológie používame a prečo sú nevyhnutné pre fungovanie aplikácie.

8.1. Čo sú súbory Cookies?

Cookies sú malé textové súbory, ktoré webová stránka ukladá do vášho prehliadača (počítača alebo mobilného zariadenia) pri jej prehliadaní. Tieto súbory umožňujú systému „zapamätať si“ vaše úkony a preferencie (napríklad prihlásenie, jazyk, veľkosť písma) na určitý čas, aby ste ich nemuseli zadávať opakovane.

8.2. Kategórie Cookies, ktoré používame

Na platforme Preventivky.app využívame výhradne Technické (Nevyhnutné) Cookies.

Tieto cookies sú kľúčové pre technickú prevádzku našich Služieb a bezpečnosť vašich údajov. Bez týchto súborov by aplikácia nemohla správne fungovať (napríklad by vás po každom kliknutí odhlásila). Podľa zákona o elektronických komunikáciách na ich používanie nepotrebujeme váš súhlas, nakoľko sú nevyhnutné na poskytnutie služby, ktorú ste si vyžiadali.

Konkrétne účely technických cookies:

• Autentifikácia a Identifikácia: Identifikujú vás po prihlásení, aby ste mohli prezerať svoje zabezpečené údaje (tzv. Session ID).
• Bezpečnosť (CSRF Protection): Pomáhajú chrániť pred útokmi typu Cross-Site Request Forgery (podvrhnutie požiadavky), čím zabraňujú neoprávnenému odoslaniu formulárov vo vašom mene.
• Vyvažovanie záťaže (Load Balancing): Zabezpečujú distribúciu prevádzky na serveroch pre plynulý chod aplikácie.

8.3. Čo NEPOUŽÍVAME (Zákaz marketingového sledovania)

Pre zachovanie maximálnej dôvery a anonymity garantujeme, že naša aplikácia neobsahuje:

• Žiadne reklamné cookies tretích strán: Nepoužívame služby ako Google Ads Remarketing, Facebook Pixel, TikTok Pixel ani LinkedIn Insight Tag. Informácie o vašom zdravotnom stave alebo návšteve lekára nie sú nikdy zdieľané s reklamnými sieťami.
• Žiadne analytické cookies spojené s profilovaním: Nesledujeme vašu históriu prehliadania na iných webových stránkach.

8.4. Signály „Do-Not-Track“ (DNT) a Global Privacy Control

Niektoré webové prehliadače umožňujú zapnúť funkciu „Do-Not-Track“ (DNT) alebo „Global Privacy Control“ (GPC), ktorá vysiela signál, že si neželáte byť sledovaní naprieč webovými stránkami.

• Naše stanovisko: Keďže naša platforma zo svojho princípu nevykonáva žiadne sledovanie správania používateľov pre reklamné účely (tracking), technicky tieto signály nespracovávame – jednoducho preto, že vaše súkromie rešpektujeme automaticky, bez ohľadu na nastavenie prehliadača.

8.5. Správa nastavení Cookies vo vašom prehliadači

Väčšina prehliadačov je nastavená tak, aby cookies prijímala automaticky. Máte však plnú kontrolu nad tým, ako sa s nimi nakladá:

• Môžete nastaviť prehliadač tak, aby odmietal všetky cookies alebo aby vás upozornil, keď sa cookie odosiela.
• Už uložené cookies môžete kedykoľvek vymazať v nastaveniach histórie prehliadača.

Upozornenie: Ak sa rozhodnete zablokovať všetky cookies (vrátane tých nevyhnutných technických), naša webová aplikácia nebude fungovať správne. Nebudete sa môcť prihlásiť do svojho konta a rezervačný proces môže byť nefunkčný, pretože systém nebude schopný overiť vašu identitu počas jednotlivých krokov.

9. AKTUALIZÁCIA A ZMENY TÝCHTO ZÁSAD

Ochrana súkromia nie je jednorazový úkon, ale neustály proces. Vyhradzujeme si právo tieto Zásady ochrany osobných údajov kedykoľvek upraviť alebo aktualizovať, aby sme reflektovali zmeny v našich Službách, technologický pokrok alebo nové legislatívne požiadavky (napr. zmeny v zákone o zdravotnej starostlivosti alebo nové usmernenia EÚ).

9.1. Kedy dochádza k zmene?

K aktualizácii tohto dokumentu pristupujeme najmä vtedy, ak:

• Zavádzame nové funkcie aplikácie, ktoré vyžadujú spracúvanie iného typu údajov.
• Dôjde k zmene našich subdodávateľov (napr. zmena poskytovateľa hostingu alebo SMS brány).
• Vstúpi do platnosti nová legislatíva, ktorá mení pravidlá ochrany údajov na Slovensku alebo v EÚ.
• Zvyšujeme bezpečnostné štandardy a chceme ich transparentne popísať.

9.2. Ako vás budeme informovať?

Záleží nám na transparentnosti, preto rozlišujeme medzi drobnými úpravami a podstatnými zmenami:

• Nepodstatné zmeny (Kozmetické úpravy): Ak ide o opravy gramatiky, preformátovanie textu alebo drobné vysvetlenia, ktoré nemajú vplyv na vaše práva, aktualizujeme len „Dátum poslednej aktualizácie“ uvedený v záhlaví tohto dokumentu. Odporúčame vám, aby ste si tieto Zásady pravidelne prečítali.
• Podstatné zmeny (Materiálne zmeny): Ak plánujeme zmenu, ktorá by mohla mať významný dopad na vaše súkromie (napríklad zmena účelu spracúvania alebo pridanie novej kategórie príjemcov údajov), budeme vás informovať aktívnym spôsobom v dostatočnom predstihu pred účinnosťou zmien.
  • Pre registrovaných lekárov: Zaslaním e-mailu na kontaktnú adresu ambulancie.
  • Pre pacientov/používateľov: Zobrazením výrazného oznámenia (pop-up okna alebo bannera) priamo v aplikácii Preventivky.app pri vašej najbližšej návšteve.

9.3. Účinnosť zmien a súhlas

Aktualizovaná verzia Zásad ochrany osobných údajov nadobúda účinnosť dňom jej zverejnenia (uvedeným ako „Posledná aktualizácia“). Pokračovaním v používaní našich Služieb (napr. prihlásením sa do aplikácie, vytvorením novej rezervácie) po dátume účinnosti zmien potvrdzujete, že ste sa s novým znením oboznámili a beriete ho na vedomie.

Ak s novými podmienkami nesúhlasíte, máte právo prestať Služby využívať a požiadať o vymazanie svojho konta (v súlade so Sekciou 6).

9.4. Archív starších verzií

Pre zachovanie právnej istoty uchovávame predchádzajúce verzie týchto Zásad. Ak potrebujete vidieť znenie platné k určitému dátumu v minulosti (napr. pre právne účely), môžete nás kontaktovať a radi vám ho sprístupníme.

10. KONTAKTNÉ ÚDAJE A PODÁVANIE SŤAŽNOSTÍ

Sme tu pre vás. Ak máte akékoľvek otázky, pripomienky alebo nejasnosti týkajúce sa týchto Zásad ochrany osobných údajov, alebo ak si chcete uplatniť svoje práva popísané v Sekcii 6, neváhajte nás kontaktovať.

Našu agendu ochrany údajov sme centralizovali, aby sme zabezpečili rýchle a odborné vybavenie každej požiadavky.

10.1. Identifikácia prevádzkovateľa

Subjektom zodpovedným za spracúvanie vašich osobných údajov (Prevádzkovateľom) pri prevádzke platformy Preventivky.app je:

Obchodné meno: Effective management, s.r.o. Sídlo: Kmeťova 24, 949 01 Nitra Štát: Slovenská republika IČO: 54216702

10.2. Ako nás kontaktovať

Pre komunikáciu ohľadom GDPR sme zriadili vyhradené komunikačné kanály. Prosíme, aby ste citlivé zdravotné údaje neposielali v predmete e-mailu.

• E-mail: gdpr@preventivky.app (Primárny kontakt pre rýchlu odozvu)
• Webový formulár: http://www.preventivky.app/gdpr (Pre oficiálne uplatnenie práv dotknutej osoby)
• Poštová adresa: Zaslaním písomnej žiadosti na adresu sídla uvedenú vyššie s označením „DO RÚK: GDPR“.

10.3. Právo podať sťažnosť dozornému orgánu

Robíme maximum pre to, aby sme vaše údaje chránili. Ak by ste však napriek tomu mali pocit, že s vašimi údajmi nezaobchádzame v súlade so zákonom, alebo ak nie ste spokojní s vybavením vašej žiadosti, máte právo podať sťažnosť (návrh na začatie konania o ochrane osobných údajov) dozornému orgánu.

Na Slovensku je týmto orgánom:

Úrad na ochranu osobných údajov Slovenskej republiky Adresa: Hraničná 12, 820 07 Bratislava 27 Web: https://dataprotection.gov.sk/uoou/ E-mail: statny.dozor@pdp.gov.sk