Politika zasebnosti družbe Medifit

Politika zasebnosti družbe Medifit
September 17, 2019 admin

POLITIKA ZASEBNOSTI
družbe Medifit

RAZLIČICA v2.1 Z DNE 17. 9. 2019


Medifit d.o.o. (v nadaljevanju Medifit) vas želi obvestiti o načinu zbiranja, uporabe in posredovanja podatkov, ki smo jih pridobili od vas ali o vas in jih obdelujemo kot upravljavec osebnih podatkov. 

Ta Politika zasebnosti opisuje naše prakse v zvezi s podatki o uporabnikih, zbranimi prek različnih storitev, kot so spletne strani, produkti podjetja in druge storitve v okviru dejavnosti družbe (skupaj imenovane »storitve družbe« ali »produkti družbe«).

1. člen

Podatki, ki jih zbiramo

Zbiranje podatkov poteka na naslednje načine:

  • avtomatično pridobivanje med uporabo naših storitev: neosebni podatki (podatke o napravi ali druge dnevniške podatke – angl. log data) in osebni podatki (naslov IP naprave);
  • pridobivanje zgolj, če nam podatke izrecno sporočite: osebni podatki, ki jih sami vpišete ob izpolnjevanju obrazcev na naših spletnih straneh (kot npr. ime, priimek, elektronski naslov, kontaktni telefon, vaše sporočilo za prejemnika obrazca idr.).

Posredovanje osebnih podatkov ni pogoj za uporabo storitev družbe, razen ko je to nujno potrebno za zagotavljanje teh storitev (npr. povratni stik družbe s posameznikom zahteva vnos vsaj enega kontaktnega podatka posameznika).

Podatke zbiramo, da lahko uporabnikom zagotovimo boljše storitve, ki vključujejo zagotavljanje podpore uporabnikom, odgovore na povpraševanja, celovitejše izboljšanje uporabniške izkušnje na naših spletnih straneh ali v naših aplikacijah, avtomatično prilagoditev prikaza zaznani strojni opremi, zagotavljanje vsebin, ki jih smatrate kot zanimive in relevantne, vključno z oglaševalskimi in trženjskimi sporočili, merjenje in izboljšave storitev družbe. Zato v sklopu pridobivanja podatkov izvajamo avtomatizirano sprejemanje odločitev, zaradi katerega lahko programsko (tj. brez ročne interakcije) razvrščamo uporabnike v segmente glede na njihove pretekle akcije, s čimer jim lahko ponudimo bolj personalizirano izkušnjo pri uporabi naših produktov in storitev.

2. člen

Piškotki

Piškotki so niz podatkov, ki so shranjeni v vašem brskalniku (na vaši napravi) in omogočajo našim spletnim stranem ali aplikacijam prepoznavanje vaše naprave, ko naslednjič obiščete spletno stran ali uporabite aplikacijo. Čas shranjevanja piškotkov v vašem brskalniku opredeljuje naslednja tabela piškotkov, ki jih uporabljajo spletna mesta družbe Medifit:

Ime piškotka Domena Namen Trajanje
piškotka
Obvezni
PH_HPXY_CHECK . Uporaba varnostnega sistema za preprečevanje t.i. bruteforce napadov in ne omogoča identifikacije posameznega uporabnika. seja da
OAID .kranj.cakalnedobe.si Razlikovanje obiskovalcev prek lastnega sistema oglaševanja. 1 leto da
* .intercom.io Zagotavljanje podpore uporabnikom naših aplikacij. 2 leti da
* ma.medifit.si Podpora izpolnjevanju obrazcev in avtomatizaciji prek orodja Mautic, ki v celoti deluje na naših lastnih strežnikih. 1 leto da
_ga . Razlikovanje obiskovalcev prek storitve Google Analytics. Podatke uporabljamo za izboljšavo uporabniške izkušnje. 2 leti ne
_gat . Razlikovanje obiskovalcev prek storitve Google Analytics. Podatke uporabljamo za izboljšavo uporabniške izkušnje. 1 minuta ne
_gid . Omejevanje števila zahtevkov storitve Google Analytics. 24 ur ne

3. člen

Rešitve za izvajalce zdravstvenih storitev in partnerje

3.1. Prejem povpraševanj za samoplačniške storitve

V primeru, da želi izvajalec zdravstvenih storitev ali partner vzpostaviti sistem prejema povpraševanj za samoplačniške storitve prek produktov družbe Medifit, mu bo to omogočeno na osnovi vzpostavljenega pisnega dogovora, skladno s splošnimi pogoji uporabe dotičnega produkta družbe.

Prejem povpraševanj za samoplačniške storitve poteka prek elektronske pošte. Omogočeno bo samo v primeru, da uporablja izvajalec zdravstvenih storitev ali partner strežnik za elektronsko pošto, ki podpira varno šifrirano povezavo TLS. V nasprotnem primeru mu povpraševanja ne bodo posredovana, saj v sklopu pošiljanja povpraševanj za samoplačniške storitve ne podpiramo t.i. oportunistične povezave, temveč zgolj povezavo TLS.

Dodatno mora izvajalec zdravstvenih storitev ali partner podati pisno izjavo, da se njihovi odjemalci za elektronsko pošto povezujejo do njihovega poštnega strežnika izključno prek varne šifrirane povezave.

3.2. Prejem eNapotnice iz javnega sistema eNaročanja

V primeru, da bo izvajalcu zdravstvenih storitev posredovana eNapotnica iz javnega sistema eNaročanja prek enega izmed produktov družbe Medifit, bo to izvedeno prek obstoječih javno dostopnih nacionalnih informacijskih sistemov. Povezava do teh sistemov bo izvedena prek javno objavljenih vmesnikov API z uporabo najbolj varne šifrirane povezave, ki jo nacionalni informacijski sistem še dopušča. Izvajalec bo eNapotnico prejel prek ustaljenih načinov, tj. v obstoječi informacijski sistem.

3.3. Informacijski sistemi za izvajalce zdravstvenih storitev in partnerje

Za uporabnike drugih produktov družbe Medifit, informacijskih sistemov za izvajalce zdravstvenih storitev in partnerje, npr. TPA (angl. Third-party Administrators), veljajo splošni pogoji dotičnega produkta.

4. člen

Rešitve za obiskovalce spletnih mest

Obrazci za izvedbo povpraševanja ali naročanja, ki so lahko del enega izmed produktov družbe Medifit, so vgrajeni na ločeni spletni domeni, na kateri ni prisotnih piškotkov tretjih ponudnikov (third-party cookies) in nobenih sledilnih tehnologij (Google Analytics, Facebook Pixel, orodja fingerprinting idr.). 

Povezava s spletnega brskalnika do strežnika je šifrirana z uporabo protokola TLS. Posredovanje povpraševanja od strežnika do izvajalca je prav tako izvedeno prek povezave TLS, podatki pa se torej nikoli ne prenašajo v nešifrirani obliki.

4.1. Oddaja povpraševanj za samoplačniške storitve

Pri oddaji povpraševanja za samoplačniške storitve vaših podatkov ne shranjujemo, temveč jih po prenosu k izvajalcu trajno izbrišemo brez možnosti povrnitve. V procesu pošiljanja se zgolj začasno predpomnijo za obdobje 1 ure. 

Vsi uporabljeni strežniki se nahajajo na območju Evropske unije, s podizvajalci pa imamo sklenjene pogodbe o obdelavi osebnih podatkov.

4.2. Oddaja eNapotnice v javni sistem eNaročanja

Oddaja eNapotnice poteka tako, da se podatki vnesejo v naš spletni obrazec in nato z našega strežnika prek varne šifrirane povezave posredujejo v javni sistem eNaročanja, brez da bi ob tem vaše podatke pri nas shranili. Povezava do sistema eNaročanja bo izvedena prek javno objavljenih vmesnikov API z uporabo najbolj varne šifrirane povezave, ki jo nacionalni informacijski sistem še dopušča. Izvajalec bo eNapotnico prejel prek ustaljenih načinov, tj. v obstoječi informacijski sistem.

V kolikor ste ob zaključku procesa oddaje eNapotnice pozvani k naknadni oddaji ocene o opravljeni storitvi (tj. po tem ko bo storitev zaključena), lahko obdelujemo vaš elektronski naslov, termin in naziv zdravstvene storitve, vendar zgolj, če nam to izrecno dovolite.

4.3. Neposredno trženje prek elektronske pošte

Medifit za namene neposrednega trženja uporablja izključno osebne podatke, v zvezi s katerimi ste glede neposrednega trženja podali predhodno soglasje, kot so ime in priimek, elektronski naslov ali kontaktni telefon. Podatke, zbrane iz javno dostopnih virov, obdelujemo v skladu z veljavnimi predpisi. Elektronsko pošto pošiljamo skladno s 5. členom te Politike zasebnosti. 

Medifit za namene neposrednega trženja svojih storitev poslovnim partnerjem občasno pošilja promocijski material ali obvestila, ki se nanašajo na storitve družbe. Če boste označili, da želite prejemati naše novice, boste vključeni v ustrezno skupino. V kolikor obvestil ne želite več prejemati, lahko spremenite nastavitve. Vsa odpiranja spletnih strani iz prejetega promocijskega materiala ter klike v elektronski pošti z novicami beležimo. V primeru, da kliknete na povezavo v elektronski pošti, dogodek ustrezno zabeležimo in označimo, s katerega kanala (vir klika, npr. email kampanja) izvira, tako da lahko povežemo akcijo z vašim elektronskim naslovom.

4.4. Neposredno trženje prek socialnih omrežij

Sledenja uporabnikom z uporabo tehnologij Facebook Pixel, Facebook Conversion Tracking ipd. ne izvajamo.

Če boste sami označili, da želite biti obveščeni o naših ali promocijah naših partnerjev prek socialnih omrežij (npr. Facebook), bomo vaš račun na omenjenem socialnem omrežju vključili v skupino uporabnikov, ki jim lahko pošiljamo promocijske vsebine. Vašega računa na socialnem omrežju ne moremo identificirati, temveč lahko zgolj poskrbimo, da vas doseže promocijska vsebina v sklopu skupine uporabnikov, ki jim pošljemo tovrstna sporočila.

5. člen

Posredovanje podatkov v zunanje sisteme

5.1. Pošiljanje transakcijske elektronske pošte (Mailgun)

Za pošiljanje avtomatiziranih elektronskih (email) sporočil uporabljamo storitev ponudnika Mailgun Technologies. 

S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement), uporabljamo pa izključno njihove strežnike znotraj teritorija Evropske unije (EU).

Varnost povezave je zagotovljena z uporabo ustrezno kompleksnega API ključa in povezave TLS, dodatno pa je vzpostavljen mehanizem omejevanja dostopa nepooblaščenih IP naslovov klicočih strežnikov. Pri pošiljanju elektronske pošte sta v uporabi zapisa SPF in DKIM.

S ponudnikom imamo individualno dogovorjene skrajšane čase hrambe poslanih elektronskih sporočil:

  • 1 uro, če gre za sporočila iz aplikacij, ki lahko vsebujejo posebne vrste osebnih podatkov,
  • 1 dan, če gre za druga elektronska sporočila. 

Po navedenem času so vsa poslana elektronska sporočila trajno in nepovratno zavržena. Dostop do dnevnikov poslanih elektronskih sporočil, ki je potreben zgolj v primerih odkrivanja morebitnih napak pri delovanju sistemov, ima izključno ožje vodstvo družbe Medifit, za dostop pa je uporabljena dodatna zaščita z dvostopenjsko avtentikacijo (2FA). 

5.2. Pošiljanje trženjske elektronske pošte (MailerLite)

Za pošiljanje trženjskih elektronskih (email) sporočil uporabljamo storitev ponudnika MailerLite. 

S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement), uporabljamo pa izključno njihove strežnike znotraj teritorija Evropske unije (EU).

Varnost povezave je zagotovljena z uporabo ustrezno kompleksnih prijavnih poverilnic in povezave TLS.  Pri pošiljanju elektronske pošte sta v uporabi zapisa SPF in DKIM.

5.3. Pošiljanje sporočil SMS (2Mobile)

Za pošiljanje avtomatiziranih sporočil SMS uporabljamo storitev ponudnika 2Mobile d.o.o.. 

S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement), uporabljamo pa izključno njihove strežnike znotraj teritorija Evropske unije (EU).

Varnost povezave je zagotovljena z uporabo ustrezno kompleksne avtorizacijske glave in povezave TLS.

Podjetje Medifit daje ponudniku pošiljanja sporočil SMS pravico do uporabe, shranjevanja in reproduciranja sporočil SMS le za namen zagotavljanja poti za pošiljanje naslovnikom.

5.4. Fizično gostovanje lastne strežniške infrastrukture (SRC)

Za gostovanje naše lastne strežniške infrastrukture uporabljamo storitev ponudnika SRC d.o.o.. 

S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement), uporabljamo pa izključno njihove strežnike v Sloveniji. 

5.5. Gostovanje “deljenih” navideznih strežnikov (Domenca)

Za deljeno gostovanje (angl. shared hosting) uporabljamo storitev ponudnika Domenca d.o.o.. 

S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement), uporabljamo pa izključno njihove strežnike v Sloveniji. 

5.6. Hramba varnostnih kopij (Amazon)

Za hrambo varnostnih kopij uporabljamo storitev Amazon Web Services (AWS) ponudnika Amazon S.a.r.L. 

S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement), uporabljamo pa izključno njihove strežnike znotraj teritorija Evropske unije (EU).

Varnost povezave je zagotovljena z uporabo ustrezno kompleksnega para API ključev in povezave TLS.

Vse podatke pred prenosom ustrezno šifriramo in tako zagotavljamo njihovo neprepoznavnost v primeru nepooblaščenega dostopa. 

5.7. Podpora uporabnikom (Intercom)

Za podporo uporabnikom uporabljamo storitev ponudnika Intercom. 

S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement). Prenos podatkov v sklopu komunikacija prek tega orodja se v državo zunaj Evropske Unije (v tem primeru Združene države Amerike) izvaja v popolni skladnosti s Splošno uredbo o varstvu podatkov (GDPR). Ponudnik Intercom je vključen v okvir “EU-US Privacy Shield”, ki zagotavlja vse temeljne pravice državljanom EU, katerih osebni podatki se v komercialne namene prenašajo v Združene države Amerike. 

Varnost povezave je zagotovljena z uporabo povezave TLS, identifikacija uporabnikov pa poteka prek obstoječih mehanizmov same spletne aplikacije, kjer je orodje v uporabi. 

6. člen

Hramba podatkov

Vaše podatke bomo hranili za obdobje, ki je potrebno za uresničitev namenov, zaradi katerih so podatki zbrani in ki so navedeni v tej Politiki zasebnosti oziroma v Splošnih pogojih uporabe dotičnega produkta družbe, razen v primeru, ko bi bilo daljše obdobje hrambe potrebno ali dovoljeno v skladu z veljavnimi predpisi s področja varstva osebnih podatkov.

Podatke hranimo izključno v sistemih, opisanih v 5. členu te Politike zasebnosti.

Vaše podatke v skladu s pravili stroke ščitimo pred izgubo, uničenjem, ponarejanjem, manipuliranjem ali neavtoriziranim dostopom.

7. člen

Posebne vrste osebnih podatkov

Posebne vrste osebnih podatkov so zlasti podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc, ki se vodijo na podlagi zakona, ki ureja prekrške; posebne vrste osebnih podatkov so tudi biometrične značilnosti, če je z njihovo uporabo mogoče določiti posameznika v zvezi s kakšno od prej navedenih okoliščin.

Predlagamo vam, da nam ne posredujete ali nam razkrivate kakršnih koli posebnih vrst osebnih podatkov v sklopu trženjskega komuniciranja z družbo.

V kolikor se v naših produktih obdelujejo posebne vrste osebnih podatkov, se slednji obdelujejo skladno s splošnimi pogoji uporabe dotičnega produkta družbe.

8. člen

Pravica do dopolnitve, popravka,
blokiranja, izbrisa in ugovora

Vezano na obdelavo vaših osebnih podatkov imate naslednje pravice:

  • pravico do dostopa do osebnih podatkov (pravico imate zahtevati informacijo o tem, ali obdelujemo vaše osebne podatke; v primeru, da osebne podatke obdelujemo, lahko zahtevate dostop do njih in določene informacije o obdelavi, npr. o namenu obdelave osebnih podatkov, o vrstah zadevnih osebnih podatkov, predvidenem obdobju hrambe osebnih podatkov, informacije o viru podatkov…);
  • pravico do popravka netočnih ali nepopolnih podatkov;
  • pravico zahtevati omejitev obdelave;
  • pravico do izbrisa osebnih podatkov, če so izpolnjeni pogoji iz 17. člena Uredbe GDPR (pravica do izbrisa npr. ne velja v primeru, ko smo zakonsko dolžni hraniti vaše osebne podatke ali pa je obdelava potrebna za obrambo pravnih zahtevkov),
  • pravico do prenosa osebnih podatkov (pravico imate zahtevati, da vam vaše osebne podatke, ki ste nam jih posredovali, izpišemo in posredujemo v strukturirani, splošno uporabljani in strojno berljivi obliki oziroma jih posredujemo drugemu upravljavcu);
  • pravico do ugovora.

Vaše pravice uresničujete tako, da nam pisno zahtevo pošljete na elektronski naslov dpo@medifit.si 

Na vašo zahtevo bomo odgovorili brez nepotrebnega odlašanja in najpozneje v 30 dneh od prejema zahteve.

Če menite, da se vaši osebni podatki obdelujejo v nasprotju z veljavnimi predpisi, ki urejajo varstvo osebnih podatkov, imate pravico do vložitve pritožbe pri Informacijskem pooblaščencu RS (Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana, elektronski naslov gp.ip@ip-rs.si).

9. člen

Spremembe Politike zasebnosti

Medifit lahko to Politiko zasebnosti spremeni. Za informacijo o tem, kdaj je bila Politika zasebnosti nazadnje spremenjena, prosimo, da pogledate datum objave tega dokumenta. Kakršnakoli sprememba velja od dneva javne objave spremenjene Politike zasebnosti na spletnih straneh družbe Medifit.

10. člen

Datum začetka veljave

Ta Politika zasebnosti začne veljati z dnem objave na spletnih straneh družbe Medifit.

11. člen

Kontaktni podatki

Podatki o upravljavcu:

Medifit d.o.o.
Tržaška cesta 116
1000 Ljubljana
Telefon: 0641 911 44

Pišete nam lahko na elektronski naslov: dpo@medifit.si


V Ljubljani, dne 17. 9. 2019


MEDIFIT
Medifit d.o.o.

Direktor
Anže Polanec