Ochrana osobních údajů

1. Správce osobních údajů

Správcem osobních údajů je Martin Šabata (dále jen „Správce"), provozovatel služby Sdílená ordinace dostupné na adrese sdilenaordinace.cz.

Správce nemá povinnost jmenovat pověřence pro ochranu osobních údajů (DPO). Pro veškeré záležitosti týkající se ochrany osobních údajů kontaktujte: info@sdilenaordinace.cz.

2. Kategorie zpracovávaných údajů

2.1. Ordinace a zdravotnická zařízení

Kategorie údajů	Konkrétní údaje
Identifikační	Název zařízení, IČO, IČZ (identifikační číslo zdravotnického zařízení), adresa
Kontaktní	Jméno kontaktní osoby, email, telefon
Odbornostní	Typ odbornosti, region působení
Smluvní	Historie poptávek, realizovaných zástupů, hodnocení
Fakturační	Fakturační adresa, bankovní spojení

2.2. Lékaři

Kategorie údajů	Konkrétní údaje
Identifikační	Jméno, příjmení, datum narození
Kontaktní	Email, telefon, adresa
Profesní	Číslo licence ČLK, specializační osvědčení, profesní pojištění, IČO (pokud fakturuje jako OSVČ)
Lokalizační	Region dostupnosti, preferované dojezdové vzdálenosti
Provozní	Historie záskoků, hodnocení, dostupnost

2.3. Uživatelé webové aplikace

Kategorie údajů	Konkrétní údaje
Přihlašovací	Email, heslo (hashované bcrypt), role v systému
Provozní	IP adresa, čas přihlášení, auditní log akcí
Soubory (Zdravotní trezor)	Nahrané soubory (šifrované AES-256), metadata souborů

2.4. Kontaktní formulář

Kategorie údajů	Konkrétní údaje
Identifikační	Jméno, email
Obsahové	Typ (ordinace/lékař), odbornost, region, text zprávy
Technické	IP adresa, čas odeslání

2.5. Monitoring krevního tlaku

Kategorie údajů	Konkrétní údaje
Identifikační	Email pacienta
Zdravotní	Naměřené hodnoty krevního tlaku a tepové frekvence, datum a čas měření

2.6. Analytika webových stránek

Na stránkách sdilenaordinace.cz používáme vlastní analytický systém, který:

• Nepoužívá cookies
• Neukládá IP adresy (pouze anonymizovaný denní hash)
• Zaznamenává: navštívenou stránku, referrer, typ zařízení, prohlížeč, rozlišení obrazovky, jazyk
• Data nelze spojit s konkrétní osobou

3. Účely zpracování a právní základ

Účel	Právní základ (GDPR)	Doba uchovávání
Koordinace lékařských záskoků	Čl. 6 odst. 1 písm. b) – plnění smlouvy	Po dobu spolupráce + 3 roky
Ověření kvalifikace lékařů	Čl. 6 odst. 1 písm. f) – oprávněný zájem	Po dobu registrace v databázi
Komunikace s uživateli	Čl. 6 odst. 1 písm. b) – plnění smlouvy	Po dobu spolupráce + 1 rok
Zdravotní trezor	Čl. 6 odst. 1 písm. b) + čl. 9 odst. 2 písm. a) – smlouva + souhlas	Po dobu trvání služby + 30 dní
Monitoring krevního tlaku	Čl. 9 odst. 2 písm. a) – výslovný souhlas	Po dobu trvání monitoringu + 1 rok
Kontaktní formulář	Čl. 6 odst. 1 písm. f) – oprávněný zájem	6 měsíců
Fakturace a účetnictví	Čl. 6 odst. 1 písm. c) – zákonná povinnost	5 let (zákon o účetnictví)
Analytika webu	Čl. 6 odst. 1 písm. f) – oprávněný zájem	12 měsíců (anonymizovaná data)

4. Příjemci osobních údajů

Osobní údaje neprodáváme ani nepronajímáme třetím stranám. Údaje sdílíme pouze v nezbytném rozsahu:

4.1. Nezbytné sdílení pro službu

• Mezi ordinací a lékařem: Kontaktní údaje a informace nezbytné pro realizaci zástupu
• Zdravotní pojišťovny: Informace o zástupu lékaře (v rozsahu stanoveném smlouvou s pojišťovnou)

4.2. Zpracovatelé (technické zajištění)

Zpracovatel	Účel	Umístění dat
Contabo GmbH	Webhosting, server	EU (Německo)
Google LLC	Email (Gmail API – OAuth 2.0)	EU/US (Standard Contractual Clauses)
Impossible Cloud GmbH	Zdravotní trezor (S3 úložiště)	EU (Německo)
Let's Encrypt	SSL certifikáty	US (veřejná služba)

Se všemi zpracovateli jsou uzavřeny smlouvy o zpracování osobních údajů dle čl. 28 GDPR nebo jsou využívány standardní smluvní doložky pro mezinárodní přenosy.

5. Předávání údajů do třetích zemí

Primárně zpracováváme údaje v rámci EU/EHP. V případě služeb Google LLC (Gmail API) mohou být údaje přenášeny do USA na základě standardních smluvních doložek (Standard Contractual Clauses) dle čl. 46 odst. 2 písm. c) GDPR.

6. Zabezpečení osobních údajů

Pro ochranu osobních údajů používáme následující technická a organizační opatření:

6.1. Technická opatření

• Šifrování dat: AES-256 pro data v klidu, TLS 1.3 pro přenos
• Hashování hesel: bcrypt s náhodným saltem
• Přístupové tokeny: Kryptograficky bezpečné, časově omezené
• Auditní log: Záznam všech operací s údaji
• Pravidelné zálohy: Šifrované zálohy 4× denně do EU datacenter
• Firewall a monitoring: Aktivní ochrana serveru
• Izolace dat: Každý uživatel Zdravotního trezoru má izolovaný bucket

6.2. Organizační opatření

• Přístupy řízené rolemi (role-based access control)
• Princip minimálních oprávnění
• Pravidelná aktualizace systémů a závislostí
• Postupy pro řešení bezpečnostních incidentů

7. Vaše práva

Jako subjekt údajů máte podle GDPR tato práva:

7.1. Právo na přístup (čl. 15 GDPR)

Máte právo získat potvrzení, zda zpracováváme vaše osobní údaje, a pokud ano, právo na přístup k těmto údajům a informacím o zpracování.

7.2. Právo na opravu (čl. 16 GDPR)

Máte právo na opravu nepřesných osobních údajů a na doplnění neúplných údajů.

7.3. Právo na výmaz (čl. 17 GDPR)

Máte právo požádat o výmaz osobních údajů, pokud:

• Údaje již nejsou potřebné pro účely, pro které byly zpracovávány
• Odvoláte souhlas a neexistuje jiný právní základ
• Vznesete námitku proti zpracování
• Údaje byly zpracovány protiprávně

Právo na výmaz se neuplatní, pokud je zpracování nezbytné pro plnění zákonné povinnosti (účetnictví) nebo pro určení, výkon nebo obhajobu právních nároků.

7.4. Právo na omezení zpracování (čl. 18 GDPR)

Máte právo na omezení zpracování, pokud popíráte přesnost údajů, zpracování je protiprávní, nebo jste vznesli námitku.

7.5. Právo na přenositelnost údajů (čl. 20 GDPR)

Máte právo obdržet své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu (JSON nebo CSV).

7.6. Právo vznést námitku (čl. 21 GDPR)

Máte právo vznést námitku proti zpracování založenému na oprávněném zájmu. Po vznesení námitky údaje nebudeme dále zpracovávat, pokud neprokážeme závažné oprávněné důvody.

7.7. Právo odvolat souhlas

Pokud je zpracování založeno na souhlasu (monitoring krevního tlaku, Zdravotní trezor – zdravotní data), máte právo souhlas kdykoli odvolat. Odvolání nemá vliv na zákonnost zpracování před odvoláním.

7.8. Právo podat stížnost

Máte právo podat stížnost u dozorového úřadu:

8. Uplatnění práv

Pro uplatnění jakéhokoli práva nás kontaktujte:

• Email: info@sdilenaordinace.cz
• Písemně: Martin Šabata, Velešovice 33, 683 01 Velešovice

Na vaši žádost odpovíme do 30 dní. V odůvodněných případech může být lhůta prodloužena o další 2 měsíce, o čemž vás budeme informovat.

Pro ověření totožnosti můžeme požádat o dodatečné informace.

9. Cookies

Webové stránky sdilenaordinace.cz nepoužívají cookies třetích stran.

Používáme pouze localStorage v prohlížeči pro:

• Preference jazyka: klíč preferredLanguage (hodnota: „cs" nebo „en")
• Preference tématu: klíč theme (hodnota: „light" nebo „dark")

Tyto údaje jsou uloženy výhradně ve vašem prohlížeči, nepřenášejí se na server a můžete je kdykoli smazat v nastavení prohlížeče.

10. Automatizované rozhodování

10.1. Systém automaticky páruje lékaře s ordinacemi na základě algoritmu (odbornost, region, dostupnost, hodnocení).

10.2. Toto párování není automatizovaným rozhodováním ve smyslu čl. 22 GDPR – konečné rozhodnutí o zástupu vždy činí lidský koordinátor a obě strany musí souhlasit.

10.3. Monitoring krevního tlaku automaticky vyhodnocuje rizikové hodnoty, ale neposkytuje lékařskou diagnózu. Jedná se o technickou pomůcku pro sledování trendů.

11. Bezpečnostní incidenty

V případě porušení zabezpečení osobních údajů:

• Oznámíme incident ÚOOÚ do 72 hodin od zjištění (čl. 33 GDPR)
• Pokud porušení představuje vysoké riziko, informujeme dotčené subjekty bez zbytečného odkladu (čl. 34 GDPR)
• Přijmeme opatření k minimalizaci dopadu
• Zaznamenáme incident a přijatá opatření do auditního logu

12. Změny tohoto dokumentu

Tento dokument může být průběžně aktualizován. O podstatných změnách budeme informovat emailem nebo oznámením na webových stránkách minimálně 14 dní předem.

Aktuální verze je vždy dostupná na adrese sdilenaordinace.cz/gdpr/.