← MEDORA

Posúdenie vplyvu na ochranu údajov (DPIA)

Podklad pre ambulanciu — použitie AI asistenta MEDORA pri vedení zdravotnej dokumentácie
Ako použiť tento dokument. Toto je podklad, ktorý vám ako prevádzkovateľovi (lekárovi) poskytuje MEDORA na uľahčenie plnenia povinnosti podľa čl. 35 GDPR (sprostredkovateľ pomáha prevádzkovateľovi s DPIA — čl. 28 ods. 3 písm. f) GDPR). Väčšina technických a organizačných opatrení je predvyplnená, keďže ich zabezpečuje MEDORA. Vytlačte si dokument (tlačidlo vyššie alebo Ctrl/Cmd + P), doplňte polia perom, prečítajte si ho, a ak s ním súhlasíte, prijmite ho ako vlastné posúdenie a založte do svojej GDPR dokumentácie. Tento podklad nenahrádza právne poradenstvo.
PoleHodnota
Prevádzkovateľ (ambulancia)obchodné meno / meno a priezvisko lekára
IČO / kód poskytovateľa 
Adresa ambulancie 
Špecializácianapr. všeobecné lekárstvo, gynekológia, stomatológia…
Kontakt (e-mail, telefón) 
Zodpovedná osoba (DPO)určená / neurčená — ambulancia spravidla nespĺňa podmienky povinného určenia (čl. 37 GDPR)
Dátum posúdenia 
Sprostredkovateľ (nástroj)MEDORA — Nongriat s. r. o., IČO 57637091, info@medora.sk

1. Opis spracúvania

1.1 Účel

Moja ambulancia poskytuje zdravotnú starostlivosť a je zo zákona povinná viesť zdravotnú dokumentáciu (zákon č. 576/2004 Z.z.). Na asistenciu pri tvorbe zdravotnej dokumentácie využívam AI nástroj MEDORA, ktorý:

MEDORA je administratívny nástroj, nie zdravotnícka pomôcka (zákon č. 56/2018 Z.z.) a nenahrádza môj NIS/eZdravie. O diagnóze a liečbe rozhodujem vždy ja; AI len navrhuje.

1.2 Kategórie údajov a dotknutých osôb

Dotknuté osobyKategórie údajovKlasifikácia
PacientiAudiozáznam (dočasný), prepis, lekárska správa, diagnózy, liekyOsobitná kategória (čl. 9) — zdravotné údaje
PacientiIdentifikačné údaje (meno, kontakt), ak ich uvediemBežné osobné údaje

1.3 Právny základ

2. Nevyhnutnosť a primeranosť

3. Príjemcovia a sub-sprostredkovatelia

Údaje spracúva v mojom mene MEDORA (sprostredkovateľ) na základe Zmluvy o spracúvaní osobných údajov (DPA) podľa čl. 28 GDPR, ktorú som akceptoval pri registrácii (dostupná na medora.sk/dpa). MEDORA využíva týchto sub-sprostredkovateľov — všetci spracúvajú v rámci EÚ:

Sub-sprostredkovateľÚčelUmiestneniePoznámka
OVHcloud (OVH SAS)Hosting serverov a LLMGravelines, FR (EÚ)HDS certifikácia; nulová retencia LLM
Soniox Inc.Prepis reči na textFrankfurt, DE (EÚ)Nulová retencia; DPA + SCC
BrevoTransakčné e-maily (bez zdravotných údajov)FR (EÚ)

Medzinárodné prenosy: spracovanie prebieha na serveroch v EÚ. Soniox Inc. je spoločnosť z USA, no spracúva výlučne vo Frankfurte (EÚ) na základe DPA a štandardných zmluvných doložiek (SCC).

4. Riziká a opatrenia

4.1 Moje opatrenia (na strane ambulancie)

RizikoMoje opatrenie
Pacient nie je informovaný o AI spracúvaníPacienta informujem ústne pri návšteve alebo vlastným písomným dokumentom podľa čl. 13/14 GDPR a čl. 50 EU AI Act
Nesprávny AI výstup (halucinácia)Každú správu, diagnózu a liek pred použitím overím a schválim; zodpovednosť za obsah dokumentácie nesiem ja
Neoprávnený prístup k môjmu účtuSilné heslo, zapnuté dvojfaktorové overenie (MFA), zariadenie nenechávam odomknuté a prístupné
Prístup personáluSestre/personálu prideľujem len nevyhnutné oprávnenia; každý má vlastné prihlásenie
Dlhodobé uchovanie dokumentácieHotovú správu prenášam do svojho certifikovaného NIS

4.2 Opatrenia zabezpečené nástrojom MEDORA (sprostredkovateľom)

5. Práva dotknutých osôb

Žiadosti pacientov (prístup, oprava, výmaz, obmedzenie, prenosnosť, námietka podľa kapitoly III GDPR) vybavujem ja ako prevádzkovateľ. MEDORA mi pri tom pomáha: umožňuje zobraziť a upraviť údaje, exportovať ich (JSON do 72 hodín) a vymazať na moju žiadosť.

6. Postup pri porušení ochrany údajov

  1. MEDORA ma informuje do 24 hodín od zistenia incidentu na svojej strane.
  2. Ako prevádzkovateľ posúdim riziko a v prípade potreby oznámim porušenie Úradu na ochranu osobných údajov SR do 72 hodín (čl. 33 GDPR) a dotknutým pacientom pri vysokom riziku (čl. 34 GDPR).
  3. MEDORA mi poskytne potrebné informácie a súčinnosť.

Úrad na ochranu osobných údajov SR — Hraničná 12, 820 07 Bratislava 27, dataprotection.gov.sk

7. Záver

Po zvážení účelu, nevyhnutnosti a zavedených opatrení (na mojej strane aj na strane sprostredkovateľa MEDORA) konštatujem, že zostatkové riziko pre práva a slobody dotknutých osôb je nízke a spracúvanie je v súlade s GDPR. Predchádzajúca konzultácia s dozorným orgánom (čl. 36 GDPR) nie je potrebná.

Toto posúdenie budem aktualizovať pri podstatnej zmene spracúvania, minimálne raz ročne.


Prevádzkovateľ (lekár) 
Meno a priezvisko 
Dátum 
Podpis 

Podklad poskytnutý službou MEDORA podľa čl. 28 ods. 3 písm. f) GDPR. Verzia 1.0 — 7. júla 2026. Nenahrádza právne poradenstvo; zodpovednosť za posúdenie a jeho prijatie nesie prevádzkovateľ.