Zásady ochrany osobných údajov

Verzia 2.1 — 3. mája 2026

1. Identifikácia prevádzkovateľa

Prevádzkovateľom osobných údajov je:

Údaj	Hodnota
Obchodné meno	Ing. Branislav Jančovič
Právna forma	Samostatne zárobkovo činná osoba (živnostník)
IČO	57604878
Číslo živn. registra	140-38206
Miesto podnikania	Narcisová 1612/3, 900 41 Rovinka, Slovenská republika
E-mail	info@medora.sk
Telefón	+421 949 441 593
Web	https://medora.sk

Služba MEDORA je dostupná na doméne app.medora.sk.

Zodpovedná osoba (DPO): Prevádzkovateľ neurčil zodpovednú osobu (DPO) podľa čl. 37 nariadenia GDPR, keďže nespĺňa podmienky povinného určenia zodpovednej osoby podľa § 44 zákona č. 18/2018 Z.z. o ochrane osobných údajov. Kontaktnou osobou pre otázky ochrany osobných údajov je prevádzkovateľ na e-mailovej adrese info@medora.sk.

2. Postavenie MEDORA pri spracúvaní osobných údajov

MEDORA vystupuje v dvoch právnych postaveniach:

Prevádzkovateľ — pre osobné údaje lekárov a zdravotníckeho personálu (registrácia, autentifikácia, fakturácia).
Sprostredkovateľ (čl. 28 GDPR) — pre osobné údaje pacientov (zdravotné údaje, prepisy, správy). Prevádzkovateľom zdravotných údajov pacientov je lekár, v mene ktorého MEDORA tieto údaje spracúva na základe Zmluvy o spracúvaní osobných údajov (DPA).

3. Aké údaje spracúvame

3.1 Údaje lekárov a zdravotníckeho personálu (MEDORA je prevádzkovateľ)

Kategória	Údaje	Účel
Registračné údaje	meno, priezvisko, e-mail, telefónne číslo	Vytvorenie a správa účtu
Prihlasovacie údaje	heslo (bezpečne hashované), TOTP tajomstvo (šifrované)	Autentifikácia a zabezpečenie účtu
Prevádzkové údaje	IP adresa, typ prehliadača, časové pečiatky prístupov	Bezpečnosť, detekcia útokov, prevádzkové logy
Fakturačné údaje	fakturačné údaje podľa platných predpisov	Vystavenie faktúry, plnenie zákonných povinností

3.2 Zdravotné údaje pacientov (MEDORA je sprostredkovateľ)

Kategória	Údaje	Účel
Audiozáznamy	dočasný záznam rozhovoru (v cloud režime spracúvaný len v pamäti, neuchovávaný na disk)	Automatický prepis reči na text
Prepisy návštev	prepis reči, korigovaný text	Asistovaná dokumentácia návštevy
Lekárske správy	vygenerovaná správa, extrahované diagnózy (ICD-10) a lieky	Asistencia pri tvorbe dokumentácie
E-mailová korešpondencia	pôvodný e-mail, inštrukcia lekára, navrhnutá odpoveď	E-mailový asistent

Dôležité: MEDORA spracúva zdravotné údaje výlučne ako sprostredkovateľ v mene lekára (prevádzkovateľa) na základe Zmluvy o spracúvaní osobných údajov (DPA) podľa čl. 28 GDPR. Lekár je povinný informovať pacienta o spracúvaní údajov prostredníctvom AI systému MEDORA.

3.3 Údaje, ktoré nespracúvame

Nepoužívame cookies na sledovanie ani na žiadny iný účel (pozri bod 9 — ePrivacy).
Nezbierame údaje na marketingové účely.
Nespracúvame osobné údaje v prevádzkových logoch (logy obsahujú len technické identifikátory bez osobných údajov, napr. patient_id).

4. Právny základ spracúvania

4.1 Prehľad právnych základov

Údaje	Právny základ	Článok GDPR	Poznámka
Účty lekárov (registrácia, autentifikácia)	Plnenie zmluvy	Čl. 6 ods. 1 písm. b)	Nevyhnutné na poskytovanie služby
Zdravotné údaje pacientov	Poskytovanie zdravotnej starostlivosti	Čl. 9 ods. 2 písm. h) v spojení s čl. 6 ods. 1 písm. b)	Spracúvanie nevyhnutné na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti, lekárskej diagnostiky, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby alebo riadenia systémov zdravotnej starostlivosti; § 16 ods. 2 písm. h) zákona č. 18/2018 Z.z.
Prevádzkové a bezpečnostné logy	Oprávnený záujem	Čl. 6 ods. 1 písm. f)	Bezpečnosť systému, detekcia a prevencia útokov

4.2 Odôvodnenie použitia čl. 9 ods. 2 písm. h) GDPR

Právny základ pre spracúvanie zdravotných údajov pacientov je čl. 9 ods. 2 písm. h) GDPR — spracúvanie nevyhnutné na účely poskytovania zdravotnej starostlivosti. MEDORA nespracúva zdravotné údaje na základe súhlasu pacienta (čl. 9 ods. 2 písm. a)), pretože:

Spracúvanie je integrálnou súčasťou poskytovania zdravotnej starostlivosti lekárom.
Lekár je povinný viesť zdravotnú dokumentáciu podľa zákona č. 576/2004 Z.z. o zdravotnej starostlivosti.
MEDORA slúži ako nástroj na efektívnejšie plnenie tejto zákonnej povinnosti.
Spracúvanie prebieha pod dohľadom odborníka viazaného povinnosťou mlčanlivosti podľa zákona č. 578/2004 Z.z. o poskytovateľoch zdravotnej starostlivosti.

5. Doba uchovávania údajov

Uplatňujeme princíp minimalizácie údajov podľa čl. 5 ods. 1 písm. e) GDPR:

Typ údajov	Doba uchovávania	Poznámka
Audiozáznamy	Max. 1 hodina; v cloud režime spracúvané len v operačnej pamäti (RAM), neukladané na disk	Automatické vymazanie po spracovaní
Prepisy návštev a správy	1 — 7 dní (konfigurovateľné lekárom)	Predvolené: 1 deň. Automatické vymazanie denne o 02:00 UTC
E-mailová korešpondencia	1 — 7 dní (konfigurovateľné lekárom)	Zhodné s nastavením pre návštevy
Účty lekárov	Po dobu trvania zmluvy	Vymazané po ukončení účtu
Fakturačné údaje	10 rokov	Zákonná povinnosť (zákon č. 431/2002 Z.z. o účtovníctve)
Bezpečnostné logy	Podľa internej politiky	Append-only, bez osobných údajov

Automatické mazanie prebieha denne o 02:00 UTC. Lekár si môže pred ukončením účtu exportovať svoje údaje vo formáte JSON do 72 hodín od podania žiadosti.

6. Príjemcovia a sprostredkovatelia

Osobné údaje zdieľame výlučne s nasledujúcimi sprostredkovateľmi, ktorí sú viazaní zmluvami o spracúvaní údajov (DPA) podľa čl. 28 GDPR:

Sprostredkovateľ	Účel	Umiestnenie dát	DPA status
OVH SAS	Hosting serverov, HDS certifikácia	Francúzsko (EÚ)	Podpísaná
OVH SAS	Spracovanie jazykovým modelom, nulová retencia údajov	EÚ	Súčasť OVH DPA
Soniox Inc.	Prepis reči na text, nulová retencia	Nemecko (EÚ)	DPA podpísaná
Stripe Inc.	Spracovanie platieb	Írsko (EÚ)	Via Stripe DPA
Brevo (Sendinblue)	Transakčné e-maily	Francúzsko (EÚ)	Via Brevo DPA

Poznámka: MEDORA prostredníctvom Brevo odosiela výlučne transakčné e-maily (verifikácia účtu, reset hesla, bezpečnostné upozornenia) a neodosiela žiadne zdravotné údaje e-mailom.

7. Prenos údajov do tretích krajín

Všetky údaje sú uložené a spracúvané výlučne v rámci Európskej únie (Francúzsko, Nemecko, Írsko). Nedochádza k žiadnemu prenosu osobných údajov do tretích krajín mimo EÚ/EHP.

8. Technické a organizačné opatrenia

Implementujeme nasledujúce bezpečnostné opatrenia na ochranu osobných údajov v súlade s čl. 32 GDPR:

Šifrovanie v pokoji: Všetky citlivé údaje sú šifrované štandardným algoritmom s oddelenými kľúčmi podľa kategórie údajov.
Šifrovanie pri prenose: Všetka komunikácia prebieha cez šifrované spojenie (TLS). Externé služby sú kontaktované výlučne cez šifrované kanály.
Heslá: Heslá sú hashované odporúčaným algoritmom s vysokou odolnosťou voči útokom. Vyžadujeme silné heslá a kontrolujeme ich voči databáze najčastejšie prelomených hesiel.
Autentifikácia: Dvojfaktorové overenie (MFA) je dostupné pre všetkých používateľov; pre administrátorov je povinné. Prístupové tokeny majú krátku platnosť (15 minút) s jednorazovou rotáciou obnovovacieho tokena.
Ochrana aplikácie: Ochrana proti bežným webovým útokom (OWASP Top 10), obmedzenie počtu požiadaviek, sanitizácia vstupov.
Infraštruktúra: Kontajnerizované prostredie s minimálnymi oprávneniami. Pravidelné bezpečnostné audity.

9. Cookies a ePrivacy

9.1 Cookies

MEDORA používa HTTP-only cookies výlučne na autentifikáciu (prihlásenie). Podľa čl. 5 ods. 3 smernice 2002/58/ES (ePrivacy) v spojení s § 55 ods. 5 zákona č. 351/2011 Z.z. o elektronických komunikáciách sú tieto cookies nevyhnutne potrebné na poskytovanie služby, ktorú si používateľ výslovne vyžiadal (prihlásenie do aplikácie). Preto sa na ich ukladanie nevyžaduje súhlas používateľa.

Autentifikačné cookies:

Slúžia výlučne na autentifikáciu.
Sú nastavené ako HTTP-only (nie sú prístupné z JavaScriptu) a Secure (prenášané iba cez HTTPS).
Neobsahujú osobné údaje (iba technické identifikátory a časové pečiatky).
Access token má platnosť 15 minút, refresh token 7 dní.

MEDORA nepoužíva žiadne sledovacie, analytické ani reklamné cookies.

9.2 localStorage

MEDORA nepoužíva localStorage na ukladanie autentifikačných tokenov ani iných citlivých údajov.

10. Používanie systémov umelej inteligencie (EU AI Act)

V súlade s čl. 50 nariadenia Európskeho parlamentu a Rady (EÚ) 2024/1689 o umelej inteligencii (EU AI Act) informujeme o používaní systémov umelej inteligencie v službe MEDORA:

10.1 Používané AI systémy

Funkcia	Účel	Umiestnenie	Retencia údajov
Rozpoznávanie reči	Automatický prepis reči na text	EÚ	Nulová retencia — audio spracované v pamäti, neukladá sa
Jazykový model	Generovanie lekárskych správ, extrakcia diagnóz a liekov	EÚ	Nulová retencia — poskytovateľ neuchováva vstupné ani výstupné dáta

10.2 Transparentnosť AI spracovania

Všetky výstupy AI sú výlučne návrhmi a odporúčaniami. O ich použití, úprave alebo zamietnutí vždy rozhoduje lekár (princíp ľudského dohľadu — human oversight).
AI systémy nerozhodujú o diagnostike, liečbe ani iných zdravotných otázkach.
AI model neuchováva údaje pacientov a nepoužíva ich na trénovanie.
Lekár je povinný informovať pacienta o tom, že počas návštevy je používaný AI systém na asistovanú dokumentáciu.

10.3 Klasifikácia podľa EU AI Act

MEDORA nie je zdravotnícka pomôcka v zmysle zákona č. 56/2018 Z.z. o posudzovaní zhody výrobku, ani nie je certifikovaná ako zdravotnícky prostriedok podľa nariadenia (EÚ) 2017/745 (MDR). MEDORA je administratívny nástroj na asistenciu pri dokumentácii a neslúži na diagnostiku, liečbu ani monitorovanie pacientov.

11. Automatizované rozhodovanie a profilovanie

MEDORA nevykonáva automatizované rozhodovanie s právnymi účinkami alebo s podobne významným vplyvom na dotknuté osoby v zmysle čl. 22 GDPR. Všetky výstupy AI sú výlučne návrhmi, o ktorých vždy rozhoduje lekár. MEDORA nevykonáva ani profilovanie pacientov.

12. Práva dotknutých osôb

Podľa GDPR a zákona č. 18/2018 Z.z. o ochrane osobných údajov máte nasledujúce práva:

Právo	Popis	Článok GDPR
Právo na prístup	Získať potvrdenie o spracúvaní a kópiu vašich údajov	Čl. 15
Právo na opravu	Požiadať o opravu nesprávnych údajov	Čl. 16
Právo na vymazanie	Požiadať o vymazanie údajov ("právo byť zabudnutý")	Čl. 17
Právo na prenosnosť	Získať údaje v štruktúrovanom, strojovo čitateľnom formáte (JSON)	Čl. 20
Právo na obmedzenie	Požiadať o obmedzenie spracúvania	Čl. 18
Právo namietať	Namietať proti spracúvaniu na základe oprávneného záujmu	Čl. 21
Právo odvolať súhlas	Odvolať udelený súhlas kedykoľvek bez vplyvu na zákonnosť predchádzajúceho spracúvania (platí len pre spracúvanie založené na súhlase)	Čl. 7 ods. 3

12.1 Ako uplatniť svoje práva

Lekári a personál (MEDORA je prevádzkovateľ):

E-mailom na info@medora.sk
Na žiadosť odpovieme do 30 dní.

Pacienti (MEDORA je sprostredkovateľ):

Obráťte sa primárne na svojho lekára (prevádzkovateľa vašich zdravotných údajov), a to osobne v ambulancii alebo e-mailom na kontaktné údaje uvedené v ambulancii.
Ak sa obrátite na MEDORA priamo (info@medora.sk), vašu žiadosť bezodkladne postúpime príslušnému lekárovi a budeme mu asistovať pri vybavení.

13. Posúdenie vplyvu na ochranu údajov (DPIA)

Vzhľadom na spracúvanie osobitných kategórií osobných údajov (zdravotné dáta) v kombinácii s automatizovaným spracúvaním (AI systémy) bolo vykonané posúdenie vplyvu na ochranu údajov (DPIA) podľa čl. 35 GDPR a § 42 zákona č. 18/2018 Z.z. DPIA je interný dokument Poskytovateľa a je k dispozícii na vyžiadanie dozorného orgánu.

14. Podávanie sťažností

Ak sa domnievate, že spracúvanie vašich osobných údajov porušuje GDPR alebo zákon č. 18/2018 Z.z., máte právo podať sťažnosť dozornému orgánu:

Úrad na ochranu osobných údajov Slovenskej republiky
Hraničná 12, 820 07 Bratislava 27
Tel.: +421 2 3231 3214
Web: https://dataprotection.gov.sk/

15. Odkazy na príslušnú legislatívu

Nariadenie GDPR — Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679
Zákon č. 18/2018 Z.z. — o ochrane osobných údajov
Zákon č. 576/2004 Z.z. — o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti
Zákon č. 578/2004 Z.z. — o poskytovateľoch zdravotnej starostlivosti, zdravotníckych pracovníkoch, stavovských organizáciách v zdravotníctve
Zákon č. 153/2013 Z.z. — o národnom zdravotnom informačnom systéme
Zákon č. 56/2018 Z.z. — o posudzovaní zhody výrobku
Nariadenie (EÚ) 2024/1689 — o umelej inteligencii (EU AI Act)
Smernica 2002/58/ES — o súkromí a elektronických komunikáciách (ePrivacy)

16. Zmeny zásad ochrany osobných údajov

O akýchkoľvek podstatných zmenách týchto zásad vás budeme informovať e-mailom najmenej 30 dní pred ich účinnosťou. Aktuálne znenie je vždy dostupné na https://app.medora.sk/privacy.

Verzia 2.1 — Posledná aktualizácia: 3. mája 2026