podľa čl. 28 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR)
Prevádzkovateľom je registrovaný Používateľ služby MEDORA (lekár / poskytovateľ zdravotnej starostlivosti), identifikovaný údajmi, ktoré uviedol pri registrácii účtu — najmä obchodné meno / meno a priezvisko, IČO, sídlo / adresa ambulancie a e-mail. Tieto údaje sú vedené v účte Používateľa a tvoria neoddeliteľnú súčasť tejto DPA. (ďalej len „Prevádzkovateľ" alebo „Lekár")
| Údaj | Hodnota |
|---|---|
| Obchodné meno | Nongriat s. r. o. |
| IČO | 57637091 |
| DIČ | 2122861895 |
| Zapísaná v | Obchodný register Mestského súdu Bratislava III, oddiel: Sro, vložka č. 199810/B |
| Sídlo | Košická 4980/14, 821 09 Bratislava – mestská časť Ružinov, Slovenská republika |
| info@medora.sk | |
| Web | https://medora.sk |
(ďalej len „Sprostredkovateľ" alebo „MEDORA"); spolu ďalej len „Zmluvné strany".
1.1. Táto Zmluva o spracúvaní osobných údajov (ďalej len „DPA") sa uzatvára v súlade s čl. 28 nariadenia (EÚ) 2016/679 (GDPR) a § 34 zákona č. 18/2018 Z.z. o ochrane osobných údajov.
1.2. Predmetom tejto DPA je úprava práv a povinností Zmluvných strán pri spracúvaní osobných údajov pacientov Prevádzkovateľa prostredníctvom služby MEDORA.
1.3. Táto DPA je neoddeliteľnou súčasťou Všeobecných obchodných podmienok (VOP) služby MEDORA a nadobúda účinnosť registráciou účtu Prevádzkovateľa v službe MEDORA.
Sprostredkovateľ spracúva osobné údaje výlučne na nasledujúce účely:
Sprostredkovateľ spracúva osobné údaje po dobu trvania zmluvného vzťahu (poskytovanie služby MEDORA Prevádzkovateľovi). Po ukončení zmluvy postupuje podľa článku 9.
| Kategória | Konkrétne údaje | Klasifikácia GDPR | Šifrovanie |
|---|---|---|---|
| Zdravotné údaje | Audiozáznamy (dočasné, len v pamäti), prepisy rozhovorov, korigované prepisy, lekárske správy, extrahované diagnózy a lieky | Osobitná kategória (čl. 9) | AES-256-GCM, kľúč „medical", HKDF per hodnota |
| Identifikačné údaje pacientov | Meno, priezvisko, telefónne číslo, e-mail | Bežné osobné údaje | AES-256-GCM, kľúč „pii", HKDF per hodnota |
Sprostredkovateľ sa zaväzuje (čl. 28 ods. 3 GDPR):
Spracúvať osobné údaje výlučne na základe zdokumentovaných pokynov Prevádzkovateľa, vrátane pokynov týkajúcich sa prenosu údajov do tretích krajín. Ak je Sprostredkovateľ povinný spracúvať údaje na základe práva EÚ alebo SR, informuje o tom Prevádzkovateľa pred spracúvaním (pokiaľ to právo nezakazuje).
Zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali k mlčanlivosti alebo aby podliehali zákonnej povinnosti mlčanlivosti.
Prijať všetky opatrenia požadované podľa čl. 32 GDPR, najmä:
| Opatrenie | Implementácia |
|---|---|
| Šifrovanie v pokoji | AES-256-GCM, 3 oddelené master kľúče (auth/pii/medical), HKDF-SHA256 derivácia per hodnota, kryptografická agilita |
| Šifrovanie pri prenose | TLS 1.3 (Let's Encrypt), Nginx reverse proxy; všetky externé API (Soniox STT, OVH LLM, Stripe) cez TLS |
| Autentifikácia | Argon2id + HMAC-SHA256 pepper, dvojfaktorové overenie (TOTP MFA) na zapnutie pre lekárov a personál, JWT s rotáciou |
| Riadenie prístupu | Rolové oprávnenia (owner/staff), admin len cez SSH tunel |
| Ochrana infraštruktúry | Docker hardening (cap_drop ALL, no-new-privileges, read-only rootfs, non-root) |
| Webová bezpečnosť | CSP nonce-based, CSRF ochrana, rate limiting (DB-backed) |
| DLP ochrana | Sanitizácia LLM vstupov, sandwich defense, strip_output_tags |
| Audit | SecurityLogger (JSON Lines, SIEM-ready), append-only audit log, žiadne osobné údaje v logoch |
a) Prevádzkovateľ udeľuje všeobecné písomné povolenie na zapojenie ďalších sub-sprostredkovateľov podľa článku 6 tejto DPA.
b) Sprostredkovateľ informuje Prevádzkovateľa o akejkoľvek zamýšľanej zmene v zozname sub-sprostredkovateľov najmenej 30 dní vopred, čím poskytne Prevádzkovateľovi možnosť namietať proti zmene.
Pomáhať Prevádzkovateľovi primeranými technickými a organizačnými opatreniami pri plnení povinností reagovať na žiadosti dotknutých osôb podľa kapitoly III GDPR (prístup, oprava, vymazanie, obmedzenie, prenosnosť, námietka). Sprostredkovateľ zabezpečuje export údajov vo formáte JSON do 72 hodín, vymazanie na žiadosť Prevádzkovateľa a zobrazenie/úpravu údajov cez webové rozhranie.
Pomáhať Prevádzkovateľovi pri plnení povinností podľa čl. 32 – 36 GDPR, vrátane posúdenia vplyvu na ochranu údajov (DPIA) a prípadnej konzultácie s dozorným orgánom.
Po ukončení poskytovania služby na základe rozhodnutia Prevádzkovateľa vymazať všetky osobné údaje alebo ich vrátiť Prevádzkovateľovi a vymazať existujúce kópie, pokiaľ právo EÚ alebo SR nevyžaduje uchovávanie. Postup: (1) export údajov vo formáte JSON do 72 hodín; (2) po uplynutí exportovej lehoty alebo na výslovnú žiadosť vymazanie podľa retenčnej politiky (prepisy a správy do 7 dní); (3) faktúračné údaje uchovávané v zákonnej lehote 10 rokov podľa zákona č. 431/2002 Z.z.
Poskytnúť Prevádzkovateľovi všetky informácie potrebné na preukázanie plnenia povinností podľa čl. 28 GDPR a umožniť audity vrátane inšpekcií. Sprostredkovateľ sprístupní na žiadosť aktuálne DPIA, technickú dokumentáciu bezpečnostných opatrení, informácie o sub-sprostredkovateľoch a audit logy (bez osobných údajov pacientov).
a) Informovať pacientov o spracúvaní ich osobných údajov prostredníctvom AI systému MEDORA v súlade s čl. 13 a 14 GDPR.
b) Informovať pacientov o používaní systémov umelej inteligencie v súlade s čl. 50 nariadenia (EÚ) 2024/1689 (EU AI Act).
c) Zvoliť vhodný spôsob informovania pacienta o spracúvaní údajov prostredníctvom AI systému MEDORA — ústne pri návšteve alebo vlastným písomným informačným dokumentom.
d) Ak na informovanie pacienta použije písomný informačný formulár, uchovávať ho v súlade so svojimi povinnosťami podľa zákona č. 576/2004 Z.z.
a) Zabezpečiť, aby existoval platný právny základ pre spracúvanie osobných údajov pacientov, a to čl. 9 ods. 2 písm. h) GDPR — poskytovanie zdravotnej starostlivosti.
b) Dodržiavať podmienky spracúvania zdravotných údajov podľa § 16 ods. 2 písm. h) zákona č. 18/2018 Z.z.
Zabezpečiť presnosť osobných údajov zadávaných do systému MEDORA a overiť správnosť všetkých výstupov AI pred ich použitím v zdravotnej dokumentácii.
Viesť riadnu zdravotnú dokumentáciu v certifikovanom NIS podľa zákona č. 576/2004 Z.z., plniť povinnosti voči NZIS podľa zákona č. 153/2013 Z.z. MEDORA nie je zdravotnícka pomôcka (zákon č. 56/2018 Z.z.) ani náhrada NIS/eZdravie.
Zabezpečiť, aby pokyny dané Sprostredkovateľovi boli v súlade s GDPR a príslušnými právnymi predpismi.
Prevádzkovateľ udeľuje všeobecné písomné povolenie na zapojenie nasledujúcich sub-sprostredkovateľov:
| Sub-sprostredkovateľ | Účel | Umiestnenie | Typ údajov | Retencia |
|---|---|---|---|---|
| OVH SAS | Hosting serverov (CPU VPS) | Gravelines, Francúzsko (EÚ); HDS certifikácia | Všetky (šifrované at rest) | Podľa zmluvy |
| OVH AI Endpoints | LLM inferencia (Mistral Small 3.2 24B) | EÚ | Prepisy (v pamäti počas inferencie) | Nulová retencia (zero data retention) |
| Soniox Inc. | Prepis reči na text (Speech-to-Text API) | Frankfurt, Nemecko (EÚ) | Audiozáznam (v pamäti počas prepisu) | Nulová retencia — audio spracované v pamäti, neukladá sa |
| Stripe Payments Europe, Ltd. | Spracovanie kartových platieb | Dublin, Írsko (EÚ) | Nespracúva zdravotné údaje | Podľa Stripe DPA |
| Brevo (Sendinblue) | Transakčné e-maily (verifikácia, reset hesla) | Francúzsko (EÚ) | E-mail adresa, obsah transakčného e-mailu | Podľa Brevo DPA |
a) Sprostredkovateľ informuje Prevádzkovateľa o zapojení nového sub-sprostredkovateľa alebo nahradení existujúceho najmenej 30 dní vopred prostredníctvom e-mailu.
b) Prevádzkovateľ má právo namietať proti zmene do 14 dní od doručenia oznámenia. Námietka musí byť odôvodnená.
c) Ak je námietka oprávnená a Sprostredkovateľ nemôže zabezpečiť alternatívu, má Prevádzkovateľ právo ukončiť zmluvu bez sankcií s 30-dňovou výpovednou lehotou.
Sprostredkovateľ zabezpečí, aby na sub-sprostredkovateľov boli prostredníctvom zmluvy uložené rovnaké povinnosti ochrany údajov ako v tejto DPA (čl. 28 ods. 4 GDPR).
7.1. Všetky osobné údaje sú spracúvané výlučne na serveroch umiestnených v rámci Európskej únie (Francúzsko, Nemecko, Írsko).
7.2. Niektorí sub-sprostredkovatelia sú spoločnosti so sídlom mimo EÚ (napr. Soniox Inc. so sídlom v USA), spracúvajú však osobné údaje výlučne v dátových centrách v rámci EÚ (Soniox: Frankfurt, Nemecko) na základe zmluvy o spracúvaní údajov (DPA). Pre prípad nevyhnutného prístupu z tretej krajiny sú s takýmito sub-sprostredkovateľmi dojednané štandardné zmluvné doložky (SCC) podľa kapitoly V GDPR. K bežnému prenosu osobných údajov do tretích krajín nedochádza.
7.3. V prípade, že by v budúcnosti bolo nevyhnutné preniesť údaje do tretej krajiny nad rámec bodu 7.2, Sprostredkovateľ informuje Prevádzkovateľa vopred a zabezpečí primerané záruky podľa kapitoly V GDPR.
8.1. Sprostredkovateľ informuje Prevádzkovateľa o akomkoľvek porušení ochrany osobných údajov bez zbytočného odkladu, najneskôr do 24 hodín od jeho zistenia.
8.2. Oznámenie obsahuje minimálne: popis povahy porušenia (kategórie a približný počet dotknutých osôb), kontaktné údaje na osobu zodpovednú za riešenie, popis pravdepodobných dôsledkov a popis prijatých/navrhovaných opatrení.
8.3. Sprostredkovateľ poskytne Prevádzkovateľovi všetky informácie potrebné na splnenie notifikačnej povinnosti voči dozornému orgánu podľa čl. 33 GDPR (72 hodín) a voči dotknutým osobám podľa čl. 34 GDPR.
8.4. Podrobný postup riešenia incidentov je uvedený v internom dokumente Incident Response Playbook Sprostredkovateľa.
9.1. Po ukončení poskytovania služby MEDORA Sprostredkovateľ:
a) Umožní Prevádzkovateľovi export údajov vo formáte JSON do 72 hodín od podania žiadosti.
b) Po uplynutí exportovej lehoty alebo na výslovnú žiadosť Prevádzkovateľa vymaže všetky osobné údaje podľa nasledujúcej retenčnej politiky:
| Typ údajov | Lehota vymazania |
|---|---|
| Prepisy návštev a správy | Do 7 dní |
| E-mailová korešpondencia | Do 7 dní |
| Audiozáznamy | Okamžite (spracúvané len v pamäti) |
c) Faktúračné údaje budú uchovávané po zákonnej dobe 10 rokov (zákon č. 431/2002 Z.z. o účtovníctve).
9.2. Na žiadosť Prevádzkovateľa potvrdí Sprostredkovateľ vymazanie údajov písomne.
10.1. Zodpovednosť Zmluvných strán za porušenie tejto DPA sa riadi čl. 82 GDPR a príslušnými ustanoveniami VOP služby MEDORA.
10.2. Každá Zmluvná strana zodpovedá za škodu spôsobenú spracúvaním, ktoré porušuje GDPR. Sprostredkovateľ zodpovedá za škodu iba v prípade, že nesplnil povinnosti uložené GDPR osobitne sprostredkovateľom alebo konal v rozpore s pokynmi Prevádzkovateľa.
11.1. Táto DPA sa riadi právnym poriadkom Slovenskej republiky.
11.2. Ak sa akékoľvek ustanovenie tejto DPA stane neplatným alebo nevymáhateľným, zostávajúce ustanovenia zostávajú v plnej platnosti a účinnosti.
11.3. Zmeny tejto DPA sú možné len písomnou dohodou Zmluvných strán alebo prostredníctvom zmeny VOP (s 30-dňovým predstihom).
11.4. V otázkach neupravených touto DPA sa uplatňujú VOP služby MEDORA a príslušné právne predpisy.
11.5. Táto DPA nadobúda účinnosť registráciou účtu Prevádzkovateľa v službe MEDORA.
Táto DPA sa uzatvára elektronicky. Prevádzkovateľ ju akceptuje pri registrácii účtu v službe MEDORA zaškrtnutím súhlasu s Všeobecnými obchodnými podmienkami a touto DPA. Akceptácia je zaznamenaná v systéme Sprostredkovateľa spolu s časovou pečiatkou a identifikačnými údajmi Prevádzkovateľa uvedenými pri registrácii.
Vlastnoručný podpis sa nevyžaduje — elektronická akceptácia má rovnaké právne účinky ako písomná zmluva v súlade s čl. 28 ods. 9 GDPR (zmluva v elektronickej podobe).
Verzia 1.2 — 7. júla 2026 · Všeobecné obchodné podmienky · Ochrana osobných údajov