GDPR

Prevádzkovateľ

Prevádzkovateľom v zmysle čl. 4 ods. 7 nariadenia (EÚ) 2016/679 (ďalej len „GDPR") je spoločnosť:

• [Obchodné meno] s. r. o.
• Sídlo: [Sídlo]
• IČO: [IČO] · DIČ: [DIČ] · IČ DPH: [IČ DPH]
• Zápis: [Obchodný register, oddiel, vložka]
• Kontakt: info@mediplio.com

Pre účely tohto dokumentu sa Prevádzkovateľ označuje aj ako „Mediplio". Prevádzkovateľ je zodpovedný za spracúvanie osobných údajov v rámci platformy dostupnej na mediplio.com a všetkých subdoménach (ďalej len „Platforma").

Dozorný orgán: Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava, www.dataprotection.gov.sk.

Zodpovedná osoba (DPO)

Prevádzkovateľ nemá menovanú zodpovednú osobu (Data Protection Officer) podľa čl. 37 GDPR, keďže nespĺňa podmienky uvedené v čl. 37 ods. 1 GDPR (nie je orgánom verejnej moci a hlavná činnosť Prevádzkovateľa nepozostáva v rozsiahlom systematickom monitorovaní dotknutých osôb ani v rozsiahlom spracúvaní osobitných kategórií osobných údajov).

Pre akékoľvek otázky a žiadosti týkajúce sa ochrany osobných údajov kontaktujte Prevádzkovateľa priamo na info@mediplio.com. Prevádzkovateľ si vyhradzuje právo menovať zodpovednú osobu v budúcnosti, najmä pri raste rozsahu spracúvania.

Účely a právny základ spracúvania

Osobné údaje spracúvame na nasledujúce účely, vždy len v rozsahu nevyhnutnom pre daný účel:

(a) Registrácia, správa Účtu a poskytovanie služieb Platformy — vytvorenie a správa Účtu, autentifikácia, zverejňovanie Inzerátov a Anonymných dopytov, sprístupňovanie kontaktných údajov, technická podpora.
Právny základ: čl. 6 ods. 1 písm. b) GDPR — plnenie zmluvy.

(b) Fakturácia, účtovníctvo a daňové povinnosti — vystavovanie a uchovávanie účtovných dokladov, hlásenia voči daňovým úradom.
Právny základ: čl. 6 ods. 1 písm. c) GDPR — zákonná povinnosť (najmä zákon č. 431/2002 Z. z. o účtovníctve, zákon č. 222/2004 Z. z. o DPH).

(c) Transakčné e-maily — potvrdenia registrácie, reset hesla, zmeny stavu Inzerátu, fakturácia, dôležité oznámenia.
Právny základ: čl. 6 ods. 1 písm. b) GDPR — plnenie zmluvy.

(d) Marketingová komunikácia (newsletter, novinky) — zasielanie informácií o novinkách, prípadových štúdiách a akciách.
Právny základ: čl. 6 ods. 1 písm. a) GDPR — súhlas (resp. § 116 ods. 15 zákona č. 452/2021 Z. z. o elektronických komunikáciách pre existujúcich klientov, s možnosťou kedykoľvek odhlásenia).

(e) Štatistická analytika návštevnosti (Google Analytics, GTM) — meranie a vyhodnocovanie používania Platformy, optimalizácia funkcionality.
Právny základ: čl. 6 ods. 1 písm. a) GDPR — súhlas udelený prostredníctvom cookie lišty.

(f) Marketingové cielenie a remarketing (Meta Pixel) — meranie a optimalizácia reklamných kampaní na Facebooku a Instagrame.
Právny základ: čl. 6 ods. 1 písm. a) GDPR — súhlas udelený prostredníctvom cookie lišty.

(f-bis) Vylepšené konverzie a cielenie (Enhanced Conversions, Advanced Matching) — odovzdávanie pseudonymizovaných identifikátorov Používateľa vo forme hash SHA-256 (najmä e-mail a telefón) spoločnostiam Google a Meta na účely presnejšieho merania konverzií a cielenia reklamy. Hashovanie nepredstavuje anonymizáciu v zmysle Recitálu 26 GDPR; ide o pseudonymizované osobné údaje. Spracúvanie prebieha výlučne pre registrovaných Používateľov a iba v rozsahu povolenom udeleným súhlasom.
Právny základ: čl. 6 ods. 1 písm. a) GDPR — súhlas udelený prostredníctvom cookie lišty (kategória „Marketing"). Vzťah s Google a Meta sa riadi Google Ads Data Processing Terms a Meta Business Tools Terms v platnom znení.

(g) Marketingové použitie loga a obsahu Inzerenta — propagácia Platformy na sociálnych sieťach, v newsletteroch, blogových príspevkoch a referenčnom zozname klientov.
Právny základ: čl. 6 ods. 1 písm. b) GDPR — plnenie zmluvy (licencia podľa Podmienok), prípadne čl. 6 ods. 1 písm. f) GDPR — oprávnený záujem Prevádzkovateľa propagovať Platformu.

(h) Bezpečnosť, prevencia podvodov a moderovanie — logovanie prístupov, detekcia anomálií, vedenie audit logu moderačných rozhodnutí, ochrana pred zneužitím Platformy.
Právny základ: čl. 6 ods. 1 písm. f) GDPR — oprávnený záujem Prevádzkovateľa na zabezpečení integrity Platformy a jej užívateľov, prípadne čl. 6 ods. 1 písm. c) GDPR — zákonná povinnosť (nariadenie EÚ 2022/2065, DSA).

(i) Uplatnenie a obrana právnych nárokov — riešenie sporov, reklamácií, sťažností, súdnych konaní.
Právny základ: čl. 6 ods. 1 písm. f) GDPR — oprávnený záujem Prevádzkovateľa.

Automatizované rozhodovanie a profilovanie: Prevádzkovateľ nevykonáva automatizované rozhodovanie vrátane profilovania v zmysle čl. 22 GDPR, ktoré by malo právne účinky alebo by Vás obdobne významne ovplyvňovalo.

Kategórie spracúvaných údajov

V závislosti od typu Používateľa a využívaných služieb spracúvame nasledujúce kategórie osobných údajov:

Inzerent (podnikateľ — kontaktná osoba v rámci právnickej osoby / SZČO):

• identifikačné údaje: meno a priezvisko kontaktnej osoby, obchodné meno, IČO, DIČ, IČ DPH, adresa sídla;
• kontaktné údaje: e-mail, telefón (voliteľne);
• prihlasovacie údaje: e-mail, hashované heslo;
• profil ambulancie: názov, lokalita, logo, fotografie, popis;
• obsah Inzerátov: pozícia, požiadavky, benefity, kontakt;
• fakturačné a platobné údaje (v budúcnosti);
• údaje o aktivite v Platforme: dátumy zverejnenia, štatistiky.

Kandidát (fyzická osoba):

• identifikačné údaje: e-mail (pseudonymné — meno nie je povinné pre Anonymný dopyt);
• prihlasovacie údaje: e-mail, hashované heslo;
• profesijné údaje: pracovná pozícia / odbornosť, špecializácia, prax (roky), jazyky, požadovaný typ spolupráce, lokalita;
• obsah Anonymného dopytu (pseudonymný profil);
• preferencie notifikácií.

Všetci Používatelia — technické a prevádzkové údaje:

• IP adresa, user agent prehliadača, identifikátory zariadenia;
• logy prístupov a relácií, časové pečiatky;
• cookies a podobné technológie (viď. Zásady používania cookies);
• údaje o interakciách v rámci Platformy (kliky, zobrazenia, odhalenia kontaktov).

Komunikačné údaje: obsah e-mailovej komunikácie, sťažností, reklamácií a žiadostí.

Osobitné kategórie údajov (čl. 9 GDPR): Mediplio vedome nespracúva osobitné kategórie osobných údajov (zdravotné údaje, údaje o sexuálnej orientácii, biometrické údaje a pod.). Informácia, že je niekto zdravotníckym pracovníkom alebo má určitú odbornú špecializáciu, sa nepovažuje za zdravotný údaj o jeho zdraví. Používateľov žiadame, aby do voľných polí (texty Inzerátov, Anonymné dopyty, e-maily) nevkladali osobitné kategórie údajov.

Príjemcovia osobných údajov

Osobné údaje môžu byť sprístupnené nasledujúcim kategóriám príjemcov, vždy len v rozsahu nevyhnutnom pre daný účel a na základe zmluvy o spracúvaní osobných údajov (DPA) podľa čl. 28 GDPR alebo v rámci zákonných povinností:

Sprostredkovatelia (spracovatelia) — IT infraštruktúra:

• Supabase (Supabase, Inc. a Supabase EU UG) — databáza, autentifikácia, úložisko, transakčné e-maily. Dátové centrum: EÚ (Frankfurt).
• Vercel (Vercel, Inc.) — hosting webovej aplikácie Next.js. Edge sieť po EÚ a globálne CDN.

Sprostredkovatelia — marketing a analytika (iba ak ste udelili súhlas v cookie lište):

• Google LLC / Google Ireland Ltd. — Google Analytics, Google Tag Manager (analytika návštevnosti).
• Meta Platforms Ireland Ltd. — Meta Pixel (meranie a optimalizácia kampaní na Facebook a Instagram).
• [Newsletter provider — bude doplnené] — zasielanie marketingových e-mailov.

Iné kategórie príjemcov:

• Tok kontaktných údajov medzi Inzerentom a Kandidátom. Mediplio nikdy nesprístupňuje Inzerentovi kontaktné údaje Kandidáta. Naopak, Kandidátovi sa sprístupňujú iba tie kontaktné údaje, ktoré Inzerent sám zverejnil v Inzeráte alebo v reakcii na Anonymný dopyt (najmä e-mail a telefón). Akákoľvek ďalšia komunikácia prebieha výlučne mimo Platformy a z iniciatívy Kandidáta. Ak Kandidát z vlastného rozhodnutia kontaktuje Inzerenta a poskytne mu ďalšie osobné údaje (napr. životopis), Inzerent sa vo vzťahu k takto získaným údajom stáva samostatným prevádzkovateľom podľa čl. 4 ods. 7 GDPR. Tento prenos prebieha úplne mimo procesy Platformy a Mediplio k nemu nemá prístup.
• Účtovník / daňový poradca — pri spracovaní účtovných dokladov.
• Právny zástupca — pri uplatnení alebo obrane právnych nárokov.
• Orgány verejnej moci (súdy, polícia, daňový úrad, ÚOOÚ, SOI) — výlučne ak to vyžaduje právny predpis alebo rozhodnutie orgánu.
• Potenciálny nadobúdateľ Platformy — v prípade prevodu/predaja činnosti Mediplio na inú spoločnosť, s zachovaním ochrany podľa GDPR.

Mediplio nepredáva osobné údaje tretím stranám na ich vlastné marketingové účely.

Prenos do tretích krajín

Niektorí z našich sprostredkovateľov sídlia v USA, čo je v zmysle GDPR tretia krajina. Prenos osobných údajov do USA prebieha v súlade s čl. 45 GDPR na základe rozhodnutia Európskej komisie o primeranosti ochrany — EU-US Data Privacy Framework (DPF) z 10. júla 2023 — pre certifikovaných príjemcov:

• Google LLC — certifikovaná v rámci DPF (zoznam dostupný na dataprivacyframework.gov).
• Meta Platforms, Inc. — certifikovaná v rámci DPF.

Pre prípadné iné prenosy alebo backup-úložiská mimo EÚ Prevádzkovateľ zabezpečuje primerané záruky podľa čl. 46 GDPR, najmä Štandardné zmluvné doložky (SCC) schválené Európskou komisiou.

Supabase (Frankfurt) a Vercel (paid plán s EU regiónmi) primárne ukladajú dáta v EÚ. Niektoré technické procesy (CDN, logovanie chýb, podpora) môžu spracúvať údaje cez US infraštruktúru — v takom prípade sa uplatňujú SCC alebo DPF.

Kópiu primeraných záruk (SCC) si môžete vyžiadať na e-maile info@mediplio.com.

Doba uchovávania

Osobné údaje uchovávame iba po dobu nevyhnutnú na splnenie účelu, na ktorý boli získané, alebo po dobu vyžadovanú právnymi predpismi:

• Účet a profil Inzerenta / Kandidáta — počas trvania zmluvy (aktívny Účet). Po zrušení Účtu sa údaje vymažú alebo anonymizujú do 30 dní, s výnimkou údajov potrebných pre účtovné a daňové účely a obranu právnych nárokov.
• Inzeráty — počas zverejnenia + štandardne 12 mesiacov po skončení zverejnenia v archíve.
• Anonymný dopyt — počas zverejnenia (štandardne 7 dní) + maximálne 30 dní v databáze po skončení zverejnenia. Po uplynutí sa údaje natrvalo odstránia. Kandidát môže Anonymný dopyt vymazať kedykoľvek skôr.
• E-mailová komunikácia, reklamácie, sťažnosti — 3 roky od poslednej komunikácie (premlčacia lehota).
• Účtovné doklady a faktúry — 10 rokov podľa § 35 zákona č. 431/2002 Z. z. o účtovníctve.
• Audit log moderovania obsahu (moderation_log) — 5 rokov (alebo dlhšie pri prebiehajúcom právnom spore); slúži na preukázanie konania Prevádzkovateľa pri sťažnostiach a kontrolách dozorných orgánov.
• Marketingový súhlas — do odvolania súhlasu (jednoduché kliknutie v každom e-maile).
• Cookies — podľa typu, spravidla od relácie po 24 mesiacov. Podrobnosti v Zásadách používania cookies.
• Súdne spory a uplatnené nároky — do právoplatného skončenia konania + premlčacia lehota.

Po uplynutí príslušnej doby sa údaje bezpečne vymažú alebo anonymizujú tak, aby ich nebolo možné spätne priradiť ku konkrétnej osobe.

Vaše práva

Ako uplatniť svoje práva. Žiadosť o uplatnenie ktoréhokoľvek z vyššie uvedených práv môžete podať e-mailom na info@mediplio.com. Pre overenie totožnosti vás môžeme požiadať o doplňujúce informácie (najmä porovnanie e-mailovej adresy registrovanej v Účte).

Lehoty. Prevádzkovateľ vybaví žiadosť bez zbytočného odkladu, najneskôr do 1 mesiaca od doručenia (čl. 12 ods. 3 GDPR). V odôvodnených prípadoch zložitejších žiadostí možno lehotu predĺžiť o ďalšie 2 mesiace; o predĺžení vás budeme informovať. Vybavenie žiadosti je bezodplatné; pri zjavne nedôvodných alebo neprimeraných žiadostiach (najmä opakovaných) si Prevádzkovateľ vyhradzuje právo účtovať primeraný poplatok alebo žiadosť odmietnuť.

Právo odvolať súhlas. Ak je spracúvanie založené na súhlase (čl. 6 ods. 1 písm. a) GDPR), máte právo súhlas kedykoľvek odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania pred odvolaním. Odvolanie môžete uplatniť e-mailom alebo v nastaveniach Účtu / cookie lišty.

Právo podať sťažnosť. Máte právo podať sťažnosť dozornému orgánu — Úradu na ochranu osobných údajov SR, Hraničná 12, 820 07 Bratislava, www.dataprotection.gov.sk, statny.dozor@pdp.gov.sk.

Právo namietať proti spracúvaniu na základe oprávneného záujmu (čl. 21 GDPR). Máte právo kedykoľvek namietať proti spracúvaniu osobných údajov založenému na našom oprávnenom záujme (najmä bezpečnosť, marketing). V takom prípade nebudeme údaje ďalej spracúvať, ak nepreukážeme presvedčivé oprávnené dôvody na pokračovanie spracúvania.

Bezpečnosť údajov

Prevádzkovateľ prijal primerané technické a organizačné opatrenia na ochranu osobných údajov pred neoprávneným prístupom, zmenou, stratou alebo zničením, najmä:

• šifrovanie prenosu údajov (HTTPS/TLS);
• šifrované úložisko údajov v Supabase, hashované heslá (bcrypt);
• politiky riadenia prístupu (Row-Level Security, princíp najmenších práv);
• audit log moderačných rozhodnutí (append-only);
• pravidelné zálohy databázy;
• obmedzený fyzický a logický prístup k produkčnému prostrediu.

Bezpečnostný incident. V prípade porušenia ochrany osobných údajov s vysokým rizikom pre dotknuté osoby Prevádzkovateľ oznámi incident dozornému orgánu do 72 hodín a dotknutým osobám bez zbytočného odkladu, ak je to potrebné podľa čl. 33 a 34 GDPR.

Kontakt

Pre akékoľvek otázky, žiadosti a uplatnenie práv v oblasti ochrany osobných údajov nás kontaktujte:

• E-mail: info@mediplio.com
• Pošta: [Obchodné meno] s. r. o., [Sídlo]

Tieto zásady môže Prevádzkovateľ aktualizovať pri zmene právnych predpisov alebo rozsahu spracúvania. Aktuálne znenie je vždy dostupné na mediplio.com/gdpr.