WhatsAppinfo@ri-hub.it

Zásady ochrany osobních údajů

Informace ve smyslu čl. 13–14 Nařízení EU 2016/679 (obecné nařízení o ochraně osobních údajů, GDPR). Poslední revize: květen 2026.

1. Správce údajů

Správcem údajů je společnost Ri-Hub S.r.l. S.T.P., se sídlem v Itálii. Pro uplatnění práv stanovených GDPR a pro jakékoli žádosti pište na privacy@ri-hub.it.

Legal identification: Ri-Hub S.r.l. S.T.P. — Registered office: Corso Assarotti 19/1, 16043 Chiavari (GE), Italy — VAT/Tax ID (P.IVA/C.F.): 02992670998 — REA GE-525421 — Share capital: €10,000 fully paid up — PEC: ri-hub@pec.it

2. Zpracování údajů o zdravotním stavu (čl. 9 GDPR)

Ri-Hub je platforma online fyzioterapie: v průběhu používání služby shromažďujeme a zpracováváme údaje o zdravotním stavu (zvláštní kategorie ve smyslu čl. 9 GDPR), zejména: odpovědi na anamnestické dotazníky, úroveň bolesti, popisy symptomatologie, terapeutické cíle, plány léčby. Videovizity probíhají v reálném čase a nejsou nijak nahrávány ani uchovávány v žádné audio ani video podobě.

Právní základ. Zpracování údajů o zdravotním stavu je založeno na dvou kumulativních titulech: výslovném souhlasu subjektu údajů (čl. 9 odst. 2 písm. a) GDPR) získaném v okamžiku podpisu informovaného zdravotního souhlasu a plnění smlouvy o poskytování zdravotní služby (čl. 9 odst. 2 písm. h) GDPR), jejíž je subjekt údajů smluvní stranou. Zpracování je rovněž v souladu s Pokyny italského Úřadu pro ochranu osobních údajů (Garante) k telemedicíně a s pokyny Evropského sboru pro ochranu osobních údajů (EDPB). Bez poskytnutí těchto údajů nelze požadovanou zdravotní službu poskytnout.

Zákaz šíření a sekundárního využití. Údaje o zdravotním stavu jsou zpracovávány výhradně pro účely léčby, diagnostiky a řízení rehabilitačního procesu jednotlivého pacienta. Ri-Hub NEŠÍŘÍ, NEPOSTUPUJE, NEPRODÁVÁ ani NESDĚLUJE údaje o zdravotním stavu třetím stranám mimo subjekty výslovně uvedené v § 5 (přidělený fyzioterapeut a technologičtí poskytovatelé jmenovaní zpracovateli). Údaje o zdravotním stavu nejsou za žádných okolností používány k reklamním, profilovacím ani marketingovým účelům.

Uchovávání na systémech v souladu s evropskými předpisy. Údaje o zdravotním stavu jsou uchovávány na cloudové infrastruktuře umístěné v Evropském hospodářském prostoru (EHP) u poskytovatelů v souladu s GDPR, se šifrováním při přenosu (TLS 1.3) i v klidu (at-rest). Žádné údaje o zdravotním stavu nejsou předávány mimo EU/EHP. Případní mimoevropští techničtí zpracovatelé (např. Stripe pro platby) zpracovávají pouze administrativní a účetní údaje — nikdy údaje o zdravotním stavu — na základě standardních smluvních doložek schválených Evropskou komisí (čl. 46 GDPR).

Profesní tajemství. Fyzioterapeuti, kteří mají přístup k údajům o zdravotním stavu, jsou zapsáni v profesní komoře (Albo) a vázáni profesním tajemstvím ve smyslu čl. 622 italského trestního zákoníku, čl. 200 italského trestního řádu a Etického kodexu profese. Přístup k údajům o zdravotním stavu je omezen pouze na přiděleného pacienta (zásada minimalizace, čl. 5 odst. 1 písm. c) GDPR) a zaznamenáván v neměnných auditních protokolech.

Pseudonymizace a minimalizace. Tam, kde je to technicky možné, jsou údaje o zdravotním stavu pseudonymizovány nebo šifrovány na aplikační úrovni. Souhrnné statistiky pro interní použití nebo pro smluvní kliniky/firmy jsou poskytovány výhradně v anonymní a souhrnné podobě, bez možnosti opětovné identifikace jednotlivého pacienta.

3. Kategorie zpracovávaných osobních údajů

  • Identifikační údaje: jméno, příjmení, daňové identifikační číslo, datum narození, adresa, kontakty.
  • Doklady totožnosti (obrázek).
  • Autentizační údaje: e-mail, heslo ve formě hashe, token Google v případě přihlášení přes OAuth.
  • Údaje o zdravotním stavu: anamnéza, bolest, příznaky, léčebné plány, výsledky hodnotících dotazníků. Videosezení nejsou nahrávána.
  • Platební údaje: spravovány poskytovatelem Stripe (neukládáme údaje o platebních kartách).
  • Technické údaje: IP adresa, přístupové protokoly, identifikátory zařízení (pokud je nainstalován Capacitor).
  • Souhrnné a anonymní údaje o používání (pouze pokud jste přijali analytické cookies).

4. Účely zpracování

  • Poskytování služby online fyzioterapie (právní základ: smlouva / výslovný souhlas dle čl. 9).
  • Administrativní a účetní správa (právní základ: zákonná povinnost).
  • Bezpečnost aplikace, prevence podvodů a diagnostika (právní základ: oprávněný zájem).
  • Servisní komunikace a oznámení týkající se objednaných termínů (právní základ: smlouva).
  • Marketing a newsletter pouze pokud jste udělili samostatný souhlas při registraci (právní základ: souhlas, kdykoli odvolatelný).
  • Souhrnné analytics pouze pokud jste přijali analytické cookies (právní základ: souhlas, odvolatelný z banneru cookies).

5. Příjemci a externí zpracovatelé

Všechny níže uvedené subjekty jsou jmenovány zpracovateli ve smyslu čl. 28 GDPR na základě zvláštního smluvního aktu. Žádný subjekt mimo tento seznam nemá přístup k Vašim údajům. Údaje o zdravotním stavu jsou přístupné výhradně přidělenému fyzioterapeutovi; všichni ostatní poskytovatelé zpracovávají výhradně technické/administrativní údaje.

  • Smluvní fyzioterapeuti: mají přístup k údajům o zdravotním stavu pouze přiděleného pacienta za účelem poskytnutí výkonu. Zapsáni v profesní komoře, vázáni profesním tajemstvím podle čl. 622 italského trestního zákoníku. Žádný fyzioterapeut nemůže nahlížet do údajů pacientů, kteří mu nejsou přiděleni.
  • Cloudový hosting EU (datová centra umístěná v Evropském hospodářském prostoru): aplikační infrastruktura a databáze. Žádný přenos mimo EU pro údaje o zdravotním stavu. Šifrování TLS při přenosu + šifrování at-rest na úložištích.
  • Stripe (Irsko + USA): zpracování plateb. Zpracovává výhradně administrativní údaje (částka, e-mail, fakturační údaje). Nikdy údaje o zdravotním stavu. Případný přenos mimo EU na základě standardních smluvních doložek dle čl. 46 GDPR.
  • Google LLC: pouze pokud se přihlašujete svým účtem Google (OAuth omezený na e-mail + profil) nebo pokud fyzioterapeut aktivoval synchronizaci svého Google Calendar (scope calendar.events, čtení/zápis omezený na události vytvořené Ri-Hub). Nikdy údaje o zdravotním stavu pacienta. Přenos mimo EU na základě standardních smluvních doložek.
  • PostHog (cloud EU, eu.i.posthog.com): souhrnné anonymní analytics pouze po výslovném souhlasu prostřednictvím banneru cookies. IP není sledována; session replay je vypnutý. Nikdy údaje o zdravotním stavu.
  • Brevo (Sendinblue): zasílání transakčních e-mailů a newsletteru. Servery v EU. Zpracovává pouze e-mail + jméno.
  • Twilio Video (Irsko + USA): poskytování videovizit v reálném čase prostřednictvím kanálů šifrovaných při přenosu (SRTP/DTLS). SFU servery Twilio přeposílají audio/video toky mezi fyzioterapeutem a pacientem; videovizity NEJSOU nahrávány ani uchovávány. Přenos mimo EU na základě standardních smluvních doložek dle čl. 46 GDPR.
  • Apple Inc. (USA): pouze pokud se přihlašujete svým Apple ID prostřednictvím „Sign in with Apple". Zpracovává výhradně identifikátor Apple + e-mail (volitelný anonymní relay). Nikdy údaje o zdravotním stavu. Přenos mimo EU na základě SCC.
  • Firebase Cloud Messaging (Google LLC, USA): pro push notifikace v aplikaci Android a iOS. Zpracovává pouze neprůhledný token zařízení. Nikdy údaje o zdravotním stavu v payloadu. Přenos mimo EU na základě SCC.
  • MinIO (vlastnoručně hostovaný object storage, region EU): uchovávání podepsaných dokumentů informovaného souhlasu (PDF + občanský průkaz přední/zadní strana). Interní servery Ri-Hub, přístup omezen pouze na oprávněný technický personál a přiděleného fyzioterapeuta. Šifrování at-rest na úrovni svazku.
  • Interní CRM Ri-Hub (vlastnoručně hostovaný EU server, doména crm.ri-hub.it): systém pro správu zdravotnických záznamů pacientů přístupný pouze klinickému/administrativnímu personálu Ri-Hub vázanému profesním tajemstvím a dohodami o mlčenlivosti. Přijímá automatickou synchronizaci událostí: registrace, rezervovaná anamnéza, podepsaný souhlas, nákup sezení, dokončená sezení.
  • Calendly (USA): pokud fyzioterapeut připojil vlastní účet Calendly pro synchronizaci dostupnosti mimo Ri-Hub. Zpracovává pouze metadata slotů (data/časy), žádné klinické údaje. Přenos mimo EU na základě SCC.
  • Google Analytics 4 (Google LLC, USA): souhrnné metriky používání pouze po výslovném souhlasu prostřednictvím banneru cookies. IP anonymizována, personalizace reklam ve výchozím stavu vypnutá. Nikdy údaje o zdravotním stavu. SCC.

6. Vaše práva (čl. 15–22 GDPR)

Máte právo: na přístup ke svým údajům, na jejich opravu, na výmaz ("právo být zapomenut"), na omezení zpracování, na přenositelnost údajů, vznést námitku proti zpracování, kdykoli odvolat udělené souhlasy (i analytické cookies a marketing) bez vlivu na zákonnost zpracování založeného na souhlasu uděleném před odvoláním.

Můžete dále podat stížnost u italského Úřadu pro ochranu osobních údajů (Garante per la Protezione dei Dati Personali) (www.garanteprivacy.it) nebo u svého místně příslušného dozorového úřadu.

Pro uplatnění práv pište na privacy@ri-hub.it. Smazání účtu z aplikace má za následek odstranění osobních údajů do 30 dnů; z důvodu daňových a smluvních povinností jsou některé záznamy (např. fakturace, termíny) uchovávány v pseudonymizované podobě po dobu stanovenou zákonem.

7. Doba uchovávání

  • Údaje účtu a zdravotní údaje: po dobu trvání smluvního vztahu a do 10 let od jeho ukončení, výhradně za účelem splnění povinnosti uchovávat zdravotní a daňovou dokumentaci.
  • Autentizační tokeny: refresh token obnovovaný při každém přihlášení, maximální platnost 365 dnů nečinnosti.
  • Anonymní analytické údaje (PostHog): 12 měsíců.
  • Technické bezpečnostní logy: 6 měsíců.

8. Bezpečnostní opatření

Přijímáme technická a organizační opatření přiměřená riziku ve smyslu čl. 32 GDPR:

  • Šifrování při přenosu: TLS 1.3 povinné u všech spojení mezi aplikací/webem a backendem, žádná nešifrovaná komunikace.
  • Šifrování at-rest: úložiště, na kterých jsou uloženy údaje o zdravotním stavu, jsou šifrována na úrovni disku; OAuth tokeny a nejcitlivější údaje jsou navíc šifrovány na aplikační úrovni.
  • Autentizace: refresh token s hashováním SHA-256 a automatickou rotací; hesla nikdy uložena v otevřené podobě (hash s použitím standardních algoritmů PBKDF2/argon2).
  • Řízení přístupu (RBAC): oddělené role pacient / fyzioterapeut / administrátor s minimálními oprávněními; fyzioterapeut vidí pouze údaje pacientů, kteří mu byli přiděleni.
  • Auditní log: neměnný záznam přístupů k údajům o zdravotním stavu, uchovávaný 6 měsíců pro bezpečnostní účely.
  • Zálohování: šifrované a verzované zálohy uložené v regionu EU, pravidelně testované.
  • Lokalizace v EU: údaje o zdravotním stavu jsou výhradně na cloudové infrastruktuře v Evropském hospodářském prostoru; žádný přenos zdravotních údajů mimo EU.
  • Bezpečnostní standardy poskytovatelů: hostingoví a cloudoví poskytovatelé pracují s certifikacemi ISO 27001 / SOC 2 a jsou v souladu s GDPR.
  • Školení a postupy: personál je školen v oblasti soukromí a bezpečnosti; plán řízení incidentů s oznámením italskému Úřadu pro ochranu osobních údajů (Garante) do 72 hodin (čl. 33 GDPR) a subjektu údajů v případě vysokého rizika (čl. 34).

9. Nezletilí

Služba není určena osobám mladším 14 let. U uživatelů ve věku 14 až 18 let vyžaduje zpracování souhlas držitele rodičovské odpovědnosti (italský D.Lgs. 101/2018, čl. 2-quinquies). Pokud jste rodič a máte podezření, že si nezletilá osoba mladší 14 let vytvořila účet, kontaktujte privacy@ri-hub.it a požádejte o okamžité smazání.

Pro podrobné informace o použití cookies (nezbytné, analytické atd.) si prostudujte naše Zásady cookies. Své preference můžete kdykoli upravit z banneru cookies na domovské stránce.

11. Změny

Tyto informace mohou být aktualizovány. Aktuální verze je publikována na ri-hub.it/cs/privacy a je zrcadlena v aplikaci app.ri-hub.it/privacy pro zajištění přístupu i v offline režimu Capacitor. Poslední revize: květen 2026.

Zásady ochrany osobních údajů | Ri-Hub