RAZLIČICA v3.0 – 10. 12. 2024
Družba Medifit d.o.o. (v nadaljevanju Medifit) v tem dokumentu opredeljuje načine zbiranja, uporabe in posredovanja osebnih podatkov.
Ta Politika zasebnosti opisuje naše prakse v zvezi s podatki o uporabnikih, zbranimi prek različnih storitev, kot so spletne strani, produkti podjetja in druge storitve v okviru dejavnosti družbe (skupaj imenovane »storitve družbe« ali »produkti družbe«).
1. člen
Podatki, ki jih zbiramo
Kot upravljavec zbiramo osebne podatke na naslednje načine:
- avtomatično pridobivanje med uporabo naših spletnih strani: neosebni podatki (podatke o napravi ali drugi dnevniški podatki – angl. log data) in osebni podatki (naslov IP naprave); v skladu s členi 6(1)(a) GDPR, 6(1)(b) GDPR in 6(1)(f) GDPR;
- neposredno zbiranje podatkov od vas, ko nam jih sporočite sami: kontaktni podatki naših partnerjev, osebni podatki, vneseni v produkte družbe (kot npr. ime, priimek, elektronski naslov, kontaktni telefon, sporočilo za prejemnika obrazca idr.), v skladu s členi 6(1)(b) GDPR in 6(1)(f) GDPR;
- zbiranje in obdelava podatkov v okviru izvajanja zdravstvenih storitev naše poslovne enote PE Medical, v skladu s 6(1)(b) GDPR, 6(1)(c) in 9(2)(h) GDPR.
Posredovanje osebnih podatkov ni pogoj za uporabo storitev družbe, razen ko je to nujno potrebno za izvajanje naše storitve.
Podatke zbiramo, da lahko uporabnikom zagotovimo izvajanje storitve, kar vključuje zagotavljanje podpore uporabnikom, odgovore na povpraševanja, celovitejše izboljšanje uporabniške izkušnje na naših spletnih straneh ali v naših aplikacijah, avtomatično prilagoditev prikaza zaznani strojni opremi, zagotavljanje vsebin, ki jih smatrate kot zanimive in relevantne, vključno z oglaševalskimi in trženjskimi sporočili, merjenje in izboljšave storitev družbe, ter izvajanje zdravstvenih storitev v PE Medifit Medical.
V sklopu pridobivanja podatkov lahko izvajamo avtomatizirano sprejemanje odločitev, zaradi katerega lahko programsko (tj. brez ročne interakcije) razvrščamo uporabnike v segmente glede na njihove pretekle akcije, s čimer jim lahko ponudimo bolj personalizirano izkušnjo pri uporabi naših produktov in storitev.
2. člen
Spletne strani in piškotki
Piškotki so niz podatkov, ki so shranjeni v vašem brskalniku (na vaši napravi) in omogočajo našim spletnim stranem ali aplikacijam prepoznavanje vaše naprave, ko naslednjič obiščete spletno stran ali uporabite aplikacijo.
Naše spletne strani uporabljajo tehnološko rešitev, s katero uporabniku predstavijo obvezne in neobvezne piškotke ter slednje po strinjanju uporabnika namestijo v brskalnik. Uporabnik se lahko z neobveznimi piškotki ne strinja in mu v tem primeru ne bodo nameščeni. Spisek piškotkov je odvisen od posamezne spletne strani, kot prikazano na v “consent-bannerju” spletne strani.
Spletne strani lahko vsebujejo tudi obrazce (npr. za izvedbo povpraševanja), ki so vgrajeni na ločeni spletni domeni, na kateri ni prisotnih piškotkov tretjih ponudnikov (third-party cookies) in nobenih sledilnih tehnologij (Google Analytics, Facebook Pixel, orodja fingerprinting idr.). Povezava s spletnega brskalnika do strežnika je šifrirana z uporabo protokola TLS. Posredovanje povpraševanja od strežnika do izvajalca je prav tako izvedeno prek povezave TLS, podatki pa se torej nikoli ne prenašajo v nešifrirani obliki.
3. člen
Posredovanje podatkov v zunanje sisteme
V tej Politiki zasebnosti navajamo (pod)obdelovalce osebnih podatkov, s katerimi sodelujemo pri izvajanju naših storitev za naročnike, kot sledi po podpoglavjih tega člena. Vsi (pod)obdelovalci niso vključeni v vse produkte, zato jih v spodnji tabeli navajamo po produktih.
| Produkt | asistent | eAmbulanta | ePosvet | ambulanta.si ČakaneDobe.si | eZdravnik.si | Halo Doktor & Zdravnik na daljavo & Dr. Merkur | Vtičnik za naročanje fizičnih oseb | Preventivni.si | Poštni seznami |
| (Pod)obdelovalec | Splošni pogoji | Splošni pogoji | Pravila obdelave | Splošni pogoji (ČakalneDobe.si) | Splošni pogoji | Halo Doktor Zdravnik na daljavo | Splošni pogoji | Splošni pogoji | |
| 3.1. Mailgun | da | da | da | da | ne | da | da | da | da |
| 3.2. MailerLite | ne | ne | ne | ne | ne | ne | ne | ne | da |
| 3.3. 2Mobile | da | da | da | ne | ne | da | da | da | ne |
| 3.4. SRC | da | da | da | ne | ne | da | da | da | ne |
| 3.5. Webtasy, d.o.o. | ne | ne | ne | da | da | ne | da | ne | ne |
| 3.6. AWS (Europe) | da | da | da | ne | ne | da | da | da | ne |
| 3.7. Intercom | da | da | ne | ne | ne | da | ne | da | ne |
| 3.8. Onesignal | da | ne | ne | ne | ne | ne | ne | ne | ne |
| 3.9. Agora | ne | da | glej 3.9 | ne | ne | da | ne | ne | ne |
| 3.10. Google | ne | ne | ne | ne | ne | ne | da | ne | ne |
| 3.11. Aircall | ne | da | ne | ne | ne | ne | ne | ne | ne |
| 3.12. Dropbox SIgn | ne | ne | ne | ne | ne | ne | ne | ne | ne |
| 3.13 Pošta Slovenije | ne | glej 3.13 | ne | ne | ne | ne | ne | ne | ne |
3.1. Pošiljanje transakcijske elektronske pošte (Mailgun)
Za pošiljanje avtomatiziranih elektronskih (email) sporočil uporabljamo storitev ponudnika Mailgun Technologies, ki ima sedež družbe v ZDA.
S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement), uporabljamo pa izključno njihove strežnike znotraj teritorija Evropske unije (EU).
Varnost povezave je zagotovljena z uporabo ustrezno kompleksnega API ključa in povezave TLS, dodatno pa je vzpostavljen mehanizem omejevanja dostopa nepooblaščenih IP naslovov klicočih strežnikov. Pri pošiljanju elektronske pošte sta v uporabi zapisa SPF in DKIM.
S ponudnikom imamo individualno dogovorjene skrajšane čase hrambe poslanih elektronskih sporočil:
- 1 uro, če gre za sporočila iz aplikacij, ki lahko vsebujejo posebne vrste osebnih podatkov,
- 1 dan, če gre za druga elektronska sporočila.
Po navedenem času so vsa poslana elektronska sporočila trajno in nepovratno zavržena. Dostop do dnevnikov poslanih elektronskih sporočil, ki je potreben zgolj v primerih odkrivanja morebitnih napak pri delovanju sistemov, imajo izključno s strani direktorja družbe Medifit pooblaščene osebe, za dostop pa je uporabljena dodatna zaščita z dvostopenjsko avtentikacijo (2FA).
3.2. Pošiljanje trženjske elektronske pošte (MailerLite)
Za pošiljanje trženjskih elektronskih (email) sporočil uporabljamo storitev ponudnika MailerLite, ki ima sedež družbe v ZDA.
S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement), uporabljamo pa izključno njihove strežnike znotraj teritorija Evropske unije (EU).
Varnost povezave je zagotovljena z uporabo ustrezno kompleksnih prijavnih poverilnic in povezave TLS. Pri pošiljanju elektronske pošte sta v uporabi zapisa SPF in DKIM.
3.3. Pošiljanje sporočil SMS (2Mobile)
Za pošiljanje avtomatiziranih sporočil SMS uporabljamo storitev ponudnika 2Mobile d.o.o., ki ima sedež družbe v Sloveniji.
S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement), uporabljamo pa izključno njihove strežnike znotraj teritorija Evropske unije (EU).
Varnost povezave je zagotovljena z uporabo ustrezno kompleksne avtorizacijske glave in povezave TLS.
Podjetje Medifit daje ponudniku pošiljanja sporočil SMS pravico do uporabe, shranjevanja in reproduciranja sporočil SMS le za namen zagotavljanja poti za pošiljanje naslovnikom.
3.4. Fizično gostovanje lastne strežniške infrastrukture (SRC)
Za gostovanje naše lastne strežniške infrastrukture uporabljamo storitev ponudnika SRC d.o.o., ki ima sedež družbe v Sloveniji.
S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement), uporabljamo pa izključno njihove strežnike v Sloveniji.
3.5. Gostovanje “deljenih” navideznih strežnikov (Webtasy, d.o.o.)
Za deljeno gostovanje (angl. shared hosting) uporabljamo storitev ponudnika Webtasy, d.o.o., ki ima sedež družbe v Sloveniji.
S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement), uporabljamo pa izključno njihove strežnike v Sloveniji.
3.6. Hramba varnostnih kopij (Amazon Web Services EMEA SARL)
Za hrambo varnostnih kopij uporabljamo storitev Amazon Web Services (AWS) ponudnika Amazon Web Services, Inc. (EMEA), s sedežem v EU.
S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement), uporabljamo pa izključno njihove strežnike znotraj teritorija Evropske unije (EU).
Varnost povezave je zagotovljena z uporabo ustrezno kompleksnega para API ključev in povezave TLS.
Vse podatke pred prenosom ustrezno šifriramo in tako zagotavljamo njihovo neprepoznavnost v primeru nepooblaščenega dostopa.
3.7. Podpora uporabnikom (Intercom)
Za podporo uporabnikom naših storitev uporabljamo storitev ponudnika Intercom, ki ima sedež družbe v ZDA.
S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement). Prenos podatkov v sklopu komunikacije prek tega orodja v državo zunaj Evropske Unije (v tem primeru Združene države Amerike) temelji na uporabi standardnih pogodbenih določil (angl. Standard Contractual Clauses – SCCs) med upravljavcem in obdelovalcem.
Varnost povezave je zagotovljena z uporabo povezave TLS, identifikacija uporabnikov pa poteka prek obstoječih mehanizmov same spletne aplikacije, kjer je orodje v uporabi.
3.8. Potisna sporočila (OneSignal)
Za pošiljanje potisnih sporočil (push notifications) uporabnikom naših rešitev uporabljamo storitev ponudnika OneSignal, ki ima sedež v ZDA. Potisna sporočila pošiljamo le registriranim uporabnikom naših rešitev, tj. kot transakcijska sporočila. Tržnih potisnih sporočil ne pošiljamo.
S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement). Prenos podatkov v sklopu komunikacije prek tega orodja v državo zunaj Evropske Unije (v tem primeru Združene države Amerike) temelji na uporabi standardnih pogodbenih določil (angl. Standard Contractual Clauses – SCCs) med upravljavcem in obdelovalcem, kar je določeno v popolni skladnosti z 28. členom Splošne uredbe o varstvu osebnih podatkov (GDPR).
Varnost povezave je zagotovljena z uporabo povezave TLS.
3.9. ePosvet prek zvočnega ali avdiovizualnega klica (Agora)
Za izvedbo ePosveta (zvočni ali avdiovizualni klic), ki ga zagotavljamo za naše naročnike, uporabljamo storitev ponudnika Agora. Inc, ki ima sedež družbe v ZDA.
S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement). Prenos podatkov v sklopu komunikacije prek tega orodja v državo zunaj Evropske Unije (v tem primeru Združene države Amerike) temelji na uporabi standardnih pogodbenih določil (angl. Standard Contractual Clauses – SCCs) med upravljavcem in obdelovalcem, kar je določeno v popolni skladnosti z 28. členom Splošne uredbe o varstvu osebnih podatkov (GDPR).
Varnost povezave je zagotovljena z uporabo povezave TLS, identifikacija uporabnikov pa poteka prek obstoječih mehanizmov same spletne aplikacije, kjer je orodje v uporabi.
3.10. Google
Za režijsko-administrativna opravila uporabljamo storitev Google Workspace ponudnika Google Ireland Limited, ki ni neposredno uporabljen v sklopu nobenega izmed naših produktov.
Dodatno uporabljamo Googlovo storitev reCAPTCHA, ki je del Google Developer Console, s katero preprečujemo strojno izpolnjevanje obracev v sklopu tehnološke rešitve vmesnika za naročanje.
S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement, ki temelji na uporabi standardnih pogodbenih določil (angl. Standard Contractual Clauses – SCCs) med upravljavcem in obdelovalcem, kar je določeno v popolni skladnosti z 28. členom Splošne uredbe o varstvu osebnih podatkov (GDPR). Uporabljamo ponudnikove strežnike znotraj teritorija Evropske unije (EU).
3.11. Telefonija (Aircall)
Za izvajanje telefonskih klicev s strankami omogočamo uporabnikom naših rešitev uporabo storitve ponudnika Aircall, ki ima sedež družbe v ZDA.
S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement). Prenos podatkov v sklopu komunikacije prek tega orodja v državo zunaj Evropske Unije (v tem primeru Združene države Amerike) temelji na uporabi standardnih pogodbenih določil (angl. Standard Contractual Clauses – SCCs) med upravljavcem in obdelovalcem, kar je določeno v popolni skladnosti z 28. členom Splošne uredbe o varstvu osebnih podatkov (GDPR).
Varnost povezave je zagotovljena z uporabo povezave TLS.
3.12. Dropbox Sign
Za elektronsko podpisovanje pogodb uporabljamo storitev Dropbox Sign ponudnika JN Projects,, ki ni neposredno uporabljen v sklopu nobenega izmed naših produktov.
S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement, ki temelji na uporabi standardnih pogodbenih določil (angl. Standard Contractual Clauses – SCCs) med upravljavcem in obdelovalcem, kar je določeno v popolni skladnosti z 28. členom Splošne uredbe o varstvu osebnih podatkov (GDPR).
3.13. eArhiv / Pošta Slovenije
Za storitev zagotavljanja e-hrambe digitalnega dokumentarnega in arhivskega gradiva uporabljamo storitev eArhiv ponudnika Pošta Slovenije.
S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement), uporabljamo pa izključno njihove strežnike znotraj teritorija Evropske unije (EU).
Ponudnik zagotavlja, da se e-hramba zajetih dokumentov izvaja skladno z Zakonom o varstvu dokumentarnega in arhivskega gradiva ter arhivih (ZVDAGA). Ponudnik zagotavlja, da pri izvajanju storitev dosledno izpolnjuje zakonodajne zahteve na tem področju.
4. člen
Hramba podatkov
Podatke hranimo izključno v sistemih, opisanih v 3. členu te Politike zasebnosti.
Vaše podatke bomo hranili za obdobje, ki je potrebno za uresničitev namenov, zaradi katerih so podatki zbrani in ki so navedeni v tej Politiki zasebnosti oziroma v Splošnih pogojih uporabe dotičnega produkta družbe, razen v primeru, ko bi bilo daljše obdobje hrambe potrebno ali dovoljeno v skladu z zakonom.
Vaše podatke v skladu s pravili stroke ščitimo pred izgubo, uničenjem, ponarejanjem, manipuliranjem ali neavtoriziranim dostopom.
5. člen
Posebne vrste osebnih podatkov
Posebne vrste osebnih podatkov so zlasti podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc, ki se vodijo na podlagi zakona, ki ureja prekrške; posebne vrste osebnih podatkov so tudi biometrične značilnosti, če je z njihovo uporabo mogoče določiti posameznika v zvezi s kakšno od prej navedenih okoliščin. Posebne vrste osebnih podatkov kot upravljavec obdelujemo v okviru izvajanja zdravstvenih storitev PE Medifit Medical.
Predlagamo vam, da nam ne posredujete ali nam razkrivate kakršnih koli posebnih vrst osebnih podatkov v sklopu trženjskega komuniciranja z družbo.
V kolikor se v naših produktih obdelujejo posebne vrste osebnih podatkov, se slednji obdelujejo skladno s splošnimi pogoji uporabe dotičnega produkta družbe.
6. člen
Pravica do dopolnitve, popravka,
blokiranja, izbrisa in ugovora
Vezano na obdelavo vaših osebnih podatkov imate naslednje pravice:
- pravico do dostopa do osebnih podatkov (pravico imate zahtevati informacijo o tem, ali obdelujemo vaše osebne podatke; v primeru, da osebne podatke obdelujemo, lahko zahtevate dostop do njih in določene informacije o obdelavi, npr. o namenu obdelave osebnih podatkov, o vrstah zadevnih osebnih podatkov, predvidenem obdobju hrambe osebnih podatkov, informacije o viru podatkov…);
- pravico do popravka netočnih ali nepopolnih podatkov;
- pravico zahtevati omejitev obdelave;
- pravico do izbrisa osebnih podatkov, če so izpolnjeni pogoji iz 17. člena Uredbe GDPR (pravica do izbrisa npr. ne velja v primeru, ko smo zakonsko dolžni hraniti vaše osebne podatke ali pa je obdelava potrebna za obrambo pravnih zahtevkov),
- pravico do prenosa osebnih podatkov (pravico imate zahtevati, da vam vaše osebne podatke, ki ste nam jih posredovali, izpišemo in posredujemo v strukturirani, splošno uporabljani in strojno berljivi obliki oziroma jih posredujemo drugemu upravljavcu);
- pravico do ugovora.
Vaše pravice uresničujete tako, da nam pisno zahtevo pošljete na elektronski naslov dpo@medifit.si
Na vašo zahtevo bomo odgovorili brez nepotrebnega odlašanja in najpozneje v 30 dneh od prejema zahteve.
Če menite, da se vaši osebni podatki obdelujejo v nasprotju z veljavnimi predpisi, ki urejajo varstvo osebnih podatkov, imate pravico do vložitve pritožbe pri Informacijskem pooblaščencu RS (Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana, elektronski naslov gp.ip@ip-rs.si).
7. člen
Spremembe Politike zasebnosti
Medifit lahko to Politiko zasebnosti spremeni. Za informacijo o tem, kdaj je bila Politika zasebnosti nazadnje spremenjena, prosimo, da pogledate datum objave tega dokumenta. Kakršnakoli sprememba velja od dneva javne objave spremenjene Politike zasebnosti na spletnih straneh družbe Medifit.
8. člen
Datum začetka veljave
Ta Politika zasebnosti začne veljati z dnem objave na spletnih straneh družbe Medifit.
9. člen
Kontaktni podatki
Podatki o upravljavcu:
Medifit d.o.o.
Tržaška cesta 116
1000 Ljubljana
Telefon: 0641 911 44
Pišete nam lahko na elektronski naslov: dpo@medifit.si
V Ljubljani, dne 10. 12. 2024
MEDIFIT
Medifit d.o.o.
Direktor
dr. Anže Polanec