← MEDORA

Zmluva o spracúvaní osobných údajov (DPA)

podľa čl. 28 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR)

Verzia 1.2 — 7. júla 2026

Zmluvné strany

Prevádzkovateľ (Controller)

Prevádzkovateľom je registrovaný Používateľ služby MEDORA (lekár / poskytovateľ zdravotnej starostlivosti), identifikovaný údajmi, ktoré uviedol pri registrácii účtu — najmä obchodné meno / meno a priezvisko, IČO, sídlo / adresa ambulancie a e-mail. Tieto údaje sú vedené v účte Používateľa a tvoria neoddeliteľnú súčasť tejto DPA. (ďalej len „Prevádzkovateľ" alebo „Lekár")

Sprostredkovateľ (Processor)

ÚdajHodnota
Obchodné menoNongriat s. r. o.
IČO57637091
DIČ2122861895
Zapísaná vObchodný register Mestského súdu Bratislava III, oddiel: Sro, vložka č. 199810/B
SídloKošická 4980/14, 821 09 Bratislava – mestská časť Ružinov, Slovenská republika
E-mailinfo@medora.sk
Webhttps://medora.sk

(ďalej len „Sprostredkovateľ" alebo „MEDORA"); spolu ďalej len „Zmluvné strany".


Článok 1 — Predmet zmluvy

1.1. Táto Zmluva o spracúvaní osobných údajov (ďalej len „DPA") sa uzatvára v súlade s čl. 28 nariadenia (EÚ) 2016/679 (GDPR) a § 34 zákona č. 18/2018 Z.z. o ochrane osobných údajov.

1.2. Predmetom tejto DPA je úprava práv a povinností Zmluvných strán pri spracúvaní osobných údajov pacientov Prevádzkovateľa prostredníctvom služby MEDORA.

1.3. Táto DPA je neoddeliteľnou súčasťou Všeobecných obchodných podmienok (VOP) služby MEDORA a nadobúda účinnosť registráciou účtu Prevádzkovateľa v službe MEDORA.

Článok 2 — Rozsah a účel spracúvania

2.1 Účel spracúvania

Sprostredkovateľ spracúva osobné údaje výlučne na nasledujúce účely:

2.2 Povaha spracúvania

2.3 Doba spracúvania

Sprostredkovateľ spracúva osobné údaje po dobu trvania zmluvného vzťahu (poskytovanie služby MEDORA Prevádzkovateľovi). Po ukončení zmluvy postupuje podľa článku 9.

Článok 3 — Kategórie osobných údajov a dotknutých osôb

3.1 Kategórie osobných údajov

KategóriaKonkrétne údajeKlasifikácia GDPRŠifrovanie
Zdravotné údajeAudiozáznamy (dočasné, len v pamäti), prepisy rozhovorov, korigované prepisy, lekárske správy, extrahované diagnózy a liekyOsobitná kategória (čl. 9)AES-256-GCM, kľúč „medical", HKDF per hodnota
Identifikačné údaje pacientovMeno, priezvisko, telefónne číslo, e-mailBežné osobné údajeAES-256-GCM, kľúč „pii", HKDF per hodnota

3.2 Kategórie dotknutých osôb

Článok 4 — Povinnosti Sprostredkovateľa

Sprostredkovateľ sa zaväzuje (čl. 28 ods. 3 GDPR):

4.1 Spracúvanie podľa pokynov (písm. a))

Spracúvať osobné údaje výlučne na základe zdokumentovaných pokynov Prevádzkovateľa, vrátane pokynov týkajúcich sa prenosu údajov do tretích krajín. Ak je Sprostredkovateľ povinný spracúvať údaje na základe práva EÚ alebo SR, informuje o tom Prevádzkovateľa pred spracúvaním (pokiaľ to právo nezakazuje).

4.2 Dôvernosť (písm. b))

Zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali k mlčanlivosti alebo aby podliehali zákonnej povinnosti mlčanlivosti.

4.3 Bezpečnosť spracúvania (písm. c))

Prijať všetky opatrenia požadované podľa čl. 32 GDPR, najmä:

OpatrenieImplementácia
Šifrovanie v pokojiAES-256-GCM, 3 oddelené master kľúče (auth/pii/medical), HKDF-SHA256 derivácia per hodnota, kryptografická agilita
Šifrovanie pri prenoseTLS 1.3 (Let's Encrypt), Nginx reverse proxy; všetky externé API (Soniox STT, OVH LLM, Stripe) cez TLS
AutentifikáciaArgon2id + HMAC-SHA256 pepper, dvojfaktorové overenie (TOTP MFA) na zapnutie pre lekárov a personál, JWT s rotáciou
Riadenie prístupuRolové oprávnenia (owner/staff), admin len cez SSH tunel
Ochrana infraštruktúryDocker hardening (cap_drop ALL, no-new-privileges, read-only rootfs, non-root)
Webová bezpečnosťCSP nonce-based, CSRF ochrana, rate limiting (DB-backed)
DLP ochranaSanitizácia LLM vstupov, sandwich defense, strip_output_tags
AuditSecurityLogger (JSON Lines, SIEM-ready), append-only audit log, žiadne osobné údaje v logoch

4.4 Sub-sprostredkovatelia (písm. d))

a) Prevádzkovateľ udeľuje všeobecné písomné povolenie na zapojenie ďalších sub-sprostredkovateľov podľa článku 6 tejto DPA.

b) Sprostredkovateľ informuje Prevádzkovateľa o akejkoľvek zamýšľanej zmene v zozname sub-sprostredkovateľov najmenej 30 dní vopred, čím poskytne Prevádzkovateľovi možnosť namietať proti zmene.

4.5 Pomoc prevádzkovateľovi — práva dotknutých osôb (písm. e))

Pomáhať Prevádzkovateľovi primeranými technickými a organizačnými opatreniami pri plnení povinností reagovať na žiadosti dotknutých osôb podľa kapitoly III GDPR (prístup, oprava, vymazanie, obmedzenie, prenosnosť, námietka). Sprostredkovateľ zabezpečuje export údajov vo formáte JSON do 72 hodín, vymazanie na žiadosť Prevádzkovateľa a zobrazenie/úpravu údajov cez webové rozhranie.

4.6 Pomoc prevádzkovateľovi — DPIA a konzultácie (písm. f))

Pomáhať Prevádzkovateľovi pri plnení povinností podľa čl. 32 – 36 GDPR, vrátane posúdenia vplyvu na ochranu údajov (DPIA) a prípadnej konzultácie s dozorným orgánom.

4.7 Vymazanie alebo vrátenie údajov (písm. g))

Po ukončení poskytovania služby na základe rozhodnutia Prevádzkovateľa vymazať všetky osobné údaje alebo ich vrátiť Prevádzkovateľovi a vymazať existujúce kópie, pokiaľ právo EÚ alebo SR nevyžaduje uchovávanie. Postup: (1) export údajov vo formáte JSON do 72 hodín; (2) po uplynutí exportovej lehoty alebo na výslovnú žiadosť vymazanie podľa retenčnej politiky (prepisy a správy do 7 dní); (3) faktúračné údaje uchovávané v zákonnej lehote 10 rokov podľa zákona č. 431/2002 Z.z.

4.8 Audit a kontrola (písm. h))

Poskytnúť Prevádzkovateľovi všetky informácie potrebné na preukázanie plnenia povinností podľa čl. 28 GDPR a umožniť audity vrátane inšpekcií. Sprostredkovateľ sprístupní na žiadosť aktuálne DPIA, technickú dokumentáciu bezpečnostných opatrení, informácie o sub-sprostredkovateľoch a audit logy (bez osobných údajov pacientov).

Článok 5 — Povinnosti Prevádzkovateľa

5.1 Informačná povinnosť voči pacientom

a) Informovať pacientov o spracúvaní ich osobných údajov prostredníctvom AI systému MEDORA v súlade s čl. 13 a 14 GDPR.

b) Informovať pacientov o používaní systémov umelej inteligencie v súlade s čl. 50 nariadenia (EÚ) 2024/1689 (EU AI Act).

c) Zvoliť vhodný spôsob informovania pacienta o spracúvaní údajov prostredníctvom AI systému MEDORA — ústne pri návšteve alebo vlastným písomným informačným dokumentom.

d) Ak na informovanie pacienta použije písomný informačný formulár, uchovávať ho v súlade so svojimi povinnosťami podľa zákona č. 576/2004 Z.z.

5.2 Právny základ

a) Zabezpečiť, aby existoval platný právny základ pre spracúvanie osobných údajov pacientov, a to čl. 9 ods. 2 písm. h) GDPR — poskytovanie zdravotnej starostlivosti.

b) Dodržiavať podmienky spracúvania zdravotných údajov podľa § 16 ods. 2 písm. h) zákona č. 18/2018 Z.z.

5.3 Presnosť údajov

Zabezpečiť presnosť osobných údajov zadávaných do systému MEDORA a overiť správnosť všetkých výstupov AI pred ich použitím v zdravotnej dokumentácii.

5.4 Zdravotná dokumentácia

Viesť riadnu zdravotnú dokumentáciu v certifikovanom NIS podľa zákona č. 576/2004 Z.z., plniť povinnosti voči NZIS podľa zákona č. 153/2013 Z.z. MEDORA nie je zdravotnícka pomôcka (zákon č. 56/2018 Z.z.) ani náhrada NIS/eZdravie.

5.5 Pokyny Prevádzkovateľa

Zabezpečiť, aby pokyny dané Sprostredkovateľovi boli v súlade s GDPR a príslušnými právnymi predpismi.

Článok 6 — Sub-sprostredkovatelia

6.1 Schválení sub-sprostredkovatelia

Prevádzkovateľ udeľuje všeobecné písomné povolenie na zapojenie nasledujúcich sub-sprostredkovateľov:

Sub-sprostredkovateľÚčelUmiestnenieTyp údajovRetencia
OVH SASHosting serverov (CPU VPS)Gravelines, Francúzsko (EÚ); HDS certifikáciaVšetky (šifrované at rest)Podľa zmluvy
OVH AI EndpointsLLM inferencia (Mistral Small 3.2 24B)Prepisy (v pamäti počas inferencie)Nulová retencia (zero data retention)
Soniox Inc.Prepis reči na text (Speech-to-Text API)Frankfurt, Nemecko (EÚ)Audiozáznam (v pamäti počas prepisu)Nulová retencia — audio spracované v pamäti, neukladá sa
Stripe Payments Europe, Ltd.Spracovanie kartových platiebDublin, Írsko (EÚ)Nespracúva zdravotné údajePodľa Stripe DPA
Brevo (Sendinblue)Transakčné e-maily (verifikácia, reset hesla)Francúzsko (EÚ)E-mail adresa, obsah transakčného e-mailuPodľa Brevo DPA

6.2 Zmenový postup

a) Sprostredkovateľ informuje Prevádzkovateľa o zapojení nového sub-sprostredkovateľa alebo nahradení existujúceho najmenej 30 dní vopred prostredníctvom e-mailu.

b) Prevádzkovateľ má právo namietať proti zmene do 14 dní od doručenia oznámenia. Námietka musí byť odôvodnená.

c) Ak je námietka oprávnená a Sprostredkovateľ nemôže zabezpečiť alternatívu, má Prevádzkovateľ právo ukončiť zmluvu bez sankcií s 30-dňovou výpovednou lehotou.

6.3 Zmluvné záväzky sub-sprostredkovateľov

Sprostredkovateľ zabezpečí, aby na sub-sprostredkovateľov boli prostredníctvom zmluvy uložené rovnaké povinnosti ochrany údajov ako v tejto DPA (čl. 28 ods. 4 GDPR).

Článok 7 — Medzinárodné prenosy

7.1. Všetky osobné údaje sú spracúvané výlučne na serveroch umiestnených v rámci Európskej únie (Francúzsko, Nemecko, Írsko).

7.2. Niektorí sub-sprostredkovatelia sú spoločnosti so sídlom mimo EÚ (napr. Soniox Inc. so sídlom v USA), spracúvajú však osobné údaje výlučne v dátových centrách v rámci EÚ (Soniox: Frankfurt, Nemecko) na základe zmluvy o spracúvaní údajov (DPA). Pre prípad nevyhnutného prístupu z tretej krajiny sú s takýmito sub-sprostredkovateľmi dojednané štandardné zmluvné doložky (SCC) podľa kapitoly V GDPR. K bežnému prenosu osobných údajov do tretích krajín nedochádza.

7.3. V prípade, že by v budúcnosti bolo nevyhnutné preniesť údaje do tretej krajiny nad rámec bodu 7.2, Sprostredkovateľ informuje Prevádzkovateľa vopred a zabezpečí primerané záruky podľa kapitoly V GDPR.

Článok 8 — Porušenie ochrany osobných údajov

8.1. Sprostredkovateľ informuje Prevádzkovateľa o akomkoľvek porušení ochrany osobných údajov bez zbytočného odkladu, najneskôr do 24 hodín od jeho zistenia.

8.2. Oznámenie obsahuje minimálne: popis povahy porušenia (kategórie a približný počet dotknutých osôb), kontaktné údaje na osobu zodpovednú za riešenie, popis pravdepodobných dôsledkov a popis prijatých/navrhovaných opatrení.

8.3. Sprostredkovateľ poskytne Prevádzkovateľovi všetky informácie potrebné na splnenie notifikačnej povinnosti voči dozornému orgánu podľa čl. 33 GDPR (72 hodín) a voči dotknutým osobám podľa čl. 34 GDPR.

8.4. Podrobný postup riešenia incidentov je uvedený v internom dokumente Incident Response Playbook Sprostredkovateľa.

Článok 9 — Ukončenie a vymazanie údajov

9.1. Po ukončení poskytovania služby MEDORA Sprostredkovateľ:

a) Umožní Prevádzkovateľovi export údajov vo formáte JSON do 72 hodín od podania žiadosti.

b) Po uplynutí exportovej lehoty alebo na výslovnú žiadosť Prevádzkovateľa vymaže všetky osobné údaje podľa nasledujúcej retenčnej politiky:

Typ údajovLehota vymazania
Prepisy návštev a správyDo 7 dní
E-mailová korešpondenciaDo 7 dní
AudiozáznamyOkamžite (spracúvané len v pamäti)

c) Faktúračné údaje budú uchovávané po zákonnej dobe 10 rokov (zákon č. 431/2002 Z.z. o účtovníctve).

9.2. Na žiadosť Prevádzkovateľa potvrdí Sprostredkovateľ vymazanie údajov písomne.

Článok 10 — Zodpovednosť

10.1. Zodpovednosť Zmluvných strán za porušenie tejto DPA sa riadi čl. 82 GDPR a príslušnými ustanoveniami VOP služby MEDORA.

10.2. Každá Zmluvná strana zodpovedá za škodu spôsobenú spracúvaním, ktoré porušuje GDPR. Sprostredkovateľ zodpovedá za škodu iba v prípade, že nesplnil povinnosti uložené GDPR osobitne sprostredkovateľom alebo konal v rozpore s pokynmi Prevádzkovateľa.

Článok 11 — Záverečné ustanovenia

11.1. Táto DPA sa riadi právnym poriadkom Slovenskej republiky.

11.2. Ak sa akékoľvek ustanovenie tejto DPA stane neplatným alebo nevymáhateľným, zostávajúce ustanovenia zostávajú v plnej platnosti a účinnosti.

11.3. Zmeny tejto DPA sú možné len písomnou dohodou Zmluvných strán alebo prostredníctvom zmeny VOP (s 30-dňovým predstihom).

11.4. V otázkach neupravených touto DPA sa uplatňujú VOP služby MEDORA a príslušné právne predpisy.

11.5. Táto DPA nadobúda účinnosť registráciou účtu Prevádzkovateľa v službe MEDORA.

Akceptácia zmluvy

Táto DPA sa uzatvára elektronicky. Prevádzkovateľ ju akceptuje pri registrácii účtu v službe MEDORA zaškrtnutím súhlasu s Všeobecnými obchodnými podmienkami a touto DPA. Akceptácia je zaznamenaná v systéme Sprostredkovateľa spolu s časovou pečiatkou a identifikačnými údajmi Prevádzkovateľa uvedenými pri registrácii.

Vlastnoručný podpis sa nevyžaduje — elektronická akceptácia má rovnaké právne účinky ako písomná zmluva v súlade s čl. 28 ods. 9 GDPR (zmluva v elektronickej podobe).


Verzia 1.2 — 7. júla 2026 · Všeobecné obchodné podmienky · Ochrana osobných údajov