WhatsAppinfo@ri-hub.it

Adatvédelmi Tájékoztató

Tájékoztató az (EU) 2016/679 rendelet (GDPR) 13–14. cikke értelmében. Utolsó felülvizsgálat: 2026. május.

1. Adatkezelő

Az adatkezelő a Ri-Hub S.r.l. S.T.P., székhelye Olaszországban. A GDPR szerinti jogainak gyakorlásához és minden egyéb megkereséshez írjon a privacy@ri-hub.it címre.

Legal identification: Ri-Hub S.r.l. S.T.P. — Registered office: Corso Assarotti 19/1, 16043 Chiavari (GE), Italy — VAT/Tax ID (P.IVA/C.F.): 02992670998 — REA GE-525421 — Share capital: €10,000 fully paid up — PEC: ri-hub@pec.it

2. Egészségügyi adatok kezelése (GDPR 9. cikk)

A Ri-Hub egy online gyógytorna (fizioterápia) platform: a szolgáltatás igénybevétele során egészségügyi adatokat gyűjtünk és kezelünk (különleges kategória a GDPR 9. cikke értelmében), különösen: anamnézis kérdőívekre adott válaszok, fájdalomszintek, tünetek leírása, terápiás célok, kezelési tervek. A videokonzultációk valós időben zajlanak, és semmilyen formában (sem hang-, sem videofelvételként) nem kerülnek rögzítésre vagy tárolásra.

Jogalap. Az egészségügyi adatok kezelése két, egymással párhuzamos jogalapon nyugszik: az érintett kifejezett hozzájárulása (GDPR 9.2.a cikk), amelyet az egészségügyi tájékozott beleegyezés aláírásakor szerzünk be, valamint az érintett félként szereplő egészségügyi szolgáltatási szerződés teljesítése (GDPR 9.2.h cikk). Az adatkezelés továbbá megfelel az olasz Adatvédelmi Hatóság (Garante) telemedicinára vonatkozó iránymutatásainak és az Európai Adatvédelmi Testület (EDPB) útmutatásainak. Ezen adatok megadása nélkül a kért egészségügyi szolgáltatás nem nyújtható.

Nyilvánosságra hozatal és másodlagos felhasználás tilalma. Az egészségügyi adatokat kizárólag az adott páciens gyógyítása, diagnózisa és rehabilitációs útjának kezelése céljából kezeljük. A Ri-Hub NEM hozza nyilvánosságra, NEM adja át, NEM értékesíti és NEM közli az egészségügyi adatokat harmadik felekkel az 5. §-ban kifejezetten felsorolt jogosult személyeken (kijelölt gyógytornász és adatfeldolgozóként megbízott technológiai szolgáltatók) kívül. Az egészségügyi adatokat semmilyen körülmények között nem használjuk reklám, profilalkotás vagy marketing célokra.

Tárolás európai jogszabályoknak megfelelő rendszereken. Az egészségügyi adatokat az Európai Gazdasági Térségben (EGT) található felhőinfrastruktúrán tároljuk GDPR-konform szolgáltatóknál, továbbítás közbeni (TLS 1.3) és nyugalmi állapotú titkosítással. Egészségügyi adat nem kerül továbbításra az EU/EGT területén kívülre. Az esetleges EU-n kívüli technológiai adatfeldolgozók (pl. Stripe a fizetésekhez) kizárólag adminisztratív és könyvelési adatokat kezelnek — soha nem egészségügyi adatokat — az Európai Bizottság által jóváhagyott általános szerződési feltételek (Standard Contractual Clauses) alapján (GDPR 46. cikk).

Szakmai titoktartás. Az egészségügyi adatokhoz hozzáférő gyógytornászok szakmai kamarai tagok, és az olasz Büntető Törvénykönyv 622. cikke, az olasz Büntetőeljárási Törvénykönyv 200. cikke, valamint a szakma etikai kódexe értelmében szakmai titoktartási kötelezettség terheli őket. Az egészségügyi adatokhoz való hozzáférés a hozzárendelt páciensre korlátozódik (adattakarékosság elve, GDPR 5.1.c cikk), és nem módosítható audit naplókban kerül rögzítésre.

Álnevesítés és minimalizálás. Ahol technikailag lehetséges, az egészségügyi adatokat álnevesítjük vagy alkalmazási szinten titkosítjuk. A belső felhasználásra vagy szerződéses klinikák/cégek számára szolgáló összesített statisztikákat kizárólag névtelenített és aggregált formában adjuk át, az egyes páciensek újraazonosításának lehetősége nélkül.

3. A kezelt személyes adatok kategóriái

  • Azonosító adatok: vezetéknév, keresztnév, adóazonosító jel, születési dátum, cím, elérhetőségek.
  • Személyazonosító okmányok (kép).
  • Hitelesítő adatok: e-mail, jelszó hash formájában, Google token, ha OAuth útján jelentkezett be.
  • Egészségügyi adatok: anamnézis, fájdalom, tünetek, terápiás tervek, értékelő kérdőívek eredményei. A videokonzultációk nem kerülnek rögzítésre.
  • Fizetési adatok: a Stripe szolgáltató kezeli (a kártyaadatokat nem tároljuk).
  • Technikai adatok: IP-cím, hozzáférési naplók, eszközazonosítók (ha telepítve van a Capacitor).
  • Aggregált, anonim használati adatok (csak ha elfogadta az analitikai sütiket).

4. Az adatkezelés céljai

  • Az online gyógytorna szolgáltatás nyújtása (jogalap: szerződés / kifejezett hozzájárulás GDPR 9. cikk).
  • Adminisztratív és könyvelési ügyintézés (jogalap: jogi kötelezettség).
  • Az alkalmazás biztonsága, csalásmegelőzés és diagnosztika (jogalap: jogos érdek).
  • Szolgáltatási közlemények és időpontokkal kapcsolatos értesítések (jogalap: szerződés).
  • Marketing és hírlevél kizárólag, ha a regisztrációkor külön hozzájárulást adott (jogalap: bármikor visszavonható hozzájárulás).
  • Aggregált analitika kizárólag, ha elfogadta az analitikai sütiket (jogalap: a süti bannerből bármikor visszavonható hozzájárulás).

5. Címzettek és külső adatfeldolgozók

Az alább felsorolt valamennyi szereplőt a GDPR 28. cikke szerinti adatfeldolgozónak jelöltük ki külön szerződéses megállapodással. Ezen a listán kívül senki nem fér hozzá az Ön adataihoz. Az egészségügyi adatok kizárólag a kijelölt gyógytornász számára hozzáférhetők; minden más szolgáltató szigorúan technikai/adminisztratív adatokat kezel.

  • Szerződéses gyógytornászok: kizárólag a hozzájuk rendelt páciens egészségügyi adataihoz férnek hozzá a szolgáltatás nyújtása érdekében. Szakmai kamarai tagok, az olasz Büntető Törvénykönyv 622. cikke alapján szakmai titoktartásra kötelezettek. Egyetlen gyógytornász sem tekinthet bele a hozzá nem rendelt páciensek adataiba.
  • EU-s felhőtárhely (az Európai Gazdasági Térségben található adatközpontok): alkalmazási infrastruktúra és adatbázis. Az egészségügyi adatok esetében nincs EU-n kívüli adattovábbítás. TLS titkosítás továbbítás közben + nyugalmi állapotú titkosítás a köteteken.
  • Stripe (Írország + USA): fizetéskezelés. Kizárólag adminisztratív adatokat kezel (összeg, e-mail, számlázási adatok). Soha nem egészségügyi adatokat. Az esetleges EU-n kívüli adattovábbítás a GDPR 46. cikke szerinti általános szerződési feltételek (Standard Contractual Clauses) alapján történik.
  • Google LLC: kizárólag akkor, ha Google fiókjával jelentkezik be (OAuth e-mailre + profilra korlátozva), vagy ha a gyógytornász aktiválta saját Google Naptárának szinkronizálását (calendar.events hatáskör, olvasás/írás kizárólag a Ri-Hub által létrehozott eseményekre korlátozva). Soha nem páciens egészségügyi adatok. Az EU-n kívüli adattovábbítás általános szerződési feltételeken alapul.
  • PostHog (EU-s felhő, eu.i.posthog.com): aggregált anonim analitika kizárólag a süti banneren keresztül adott kifejezett hozzájárulás után. IP nem követett; session replay letiltva. Soha nem egészségügyi adatok.
  • Brevo (Sendinblue): tranzakciós e-mailek és hírlevelek küldése. EU-s szerverek. Csak e-mailt + nevet kezel.
  • Twilio Video (Írország + USA): videokonzultációk valós idejű biztosítása továbbítás közben titkosított csatornákon keresztül (SRTP/DTLS). A Twilio SFU szerverei továbbítják az audio/videó adatfolyamokat a gyógytornász és a páciens között; a videokonzultációk NEM kerülnek rögzítésre vagy tárolásra. Az EU-n kívüli adattovábbítás a GDPR 46. cikke szerinti általános szerződési feltételek alapján történik.
  • Apple Inc. (USA): kizárólag akkor, ha Apple ID-jával jelentkezik be a „Sign in with Apple" használatával. Kizárólag az Apple azonosítót + e-mailt kezeli (opcionális anonim relay). Soha nem egészségügyi adatokat. Az EU-n kívüli adattovábbítás SCC-n alapul.
  • Firebase Cloud Messaging (Google LLC, USA): az Android és iOS alkalmazás push értesítéseihez. Csak átláthatatlan eszköz-tokent kezel. A payloadban soha nem kerülnek egészségügyi adatok. Az EU-n kívüli adattovábbítás SCC-n alapul.
  • MinIO (saját üzemeltetésű object storage, EU régió): az aláírt tájékoztatáson alapuló hozzájárulási dokumentumok megőrzése (PDF + személyi igazolvány elő-/hátlapja). Belső Ri-Hub szerverek, hozzáférés kizárólag az engedélyezett műszaki személyzetre és a kijelölt gyógytornászra korlátozva. Kötetszintű nyugalmi titkosítás.
  • Belső CRM Ri-Hub (saját üzemeltetésű EU szerver, domén crm.ri-hub.it): páciens-kartoték kezelő rendszer, amelyhez kizárólag a Ri-Hub szakmai titoktartással és titoktartási megállapodásokkal kötelezett klinikai/adminisztratív személyzete férhet hozzá. Az események automatikus szinkronizálását fogadja: regisztráció, foglalt anamnézis, aláírt hozzájárulás, kezelések vásárlása, elvégzett kezelések.
  • Calendly (USA): ha a gyógytornász összekötötte saját Calendly fiókját a Ri-Hub-on kívüli elérhetőség szinkronizálásához. Csak slot-metaadatokat (dátumok/időpontok) kezel, semmilyen klinikai adatot. Az EU-n kívüli adattovábbítás SCC-n alapul.
  • Google Analytics 4 (Google LLC, USA): aggregált használati mutatók kizárólag kifejezett hozzájárulás után a süti banneren keresztül. IP anonimizálva, hirdetés-személyre szabás alapértelmezetten letiltva. Soha nem egészségügyi adatok. SCC.

6. Az Ön jogai (GDPR 15–22. cikk)

Önnek joga van: hozzáférni adataihoz, helyesbíteni azokat, törlésüket kérni ("elfeledtetéshez való jog"), adatkezelésüket korlátozni, hordozható formátumban megkapni, tiltakozni az adatkezelés ellen, valamint bármikor visszavonni az adott hozzájárulásokat (beleértve az analitikai és marketing sütiket is) anélkül, hogy ez érintené a visszavonás előtti hozzájáruláson alapuló adatkezelés jogszerűségét.

Továbbá panaszt nyújthat be a Személyes Adatok Védelméért Felelős Olasz Hatósághoz (Garante) (www.garanteprivacy.it).

Jogainak gyakorlásához írjon a privacy@ri-hub.it címre. A fiók alkalmazásból történő törlése a személyes adatok 30 napon belüli eltávolítását vonja maga után; adózási és szerződéses kötelezettségek miatt egyes adatok (pl. számlázás, időpontok) álnevesített formában a törvényben előírt ideig megőrzésre kerülnek.

7. Adatmegőrzési időtartam

  • Fiók- és egészségügyi adatok: a szerződéses jogviszony teljes időtartama alatt és annak megszűnését követően legfeljebb 10 évig, kizárólag az egészségügyi dokumentáció és pénzügyi nyilvántartás megőrzési kötelezettsége céljából.
  • Hitelesítő tokenek: a refresh token minden bejelentkezéskor megújul, maximális érvényesség 365 nap inaktivitás esetén.
  • Anonim analitikai adatok (PostHog): 12 hónap.
  • Technikai biztonsági naplók: 6 hónap.

8. Biztonsági intézkedések

A GDPR 32. cikke értelmében a kockázatnak megfelelő technikai és szervezési intézkedéseket alkalmazunk:

  • Továbbítás közbeni titkosítás: TLS 1.3 kötelező az alkalmazás/weboldal és a backend közötti minden kapcsolaton, semmilyen kommunikáció nem történik nyílt formában.
  • Nyugalmi állapotú titkosítás: az egészségügyi adatokat tároló kötetek lemezszinten titkosítva vannak; az OAuth tokeneket és a legérzékenyebb adatokat továbbá alkalmazási szinten is titkosítjuk.
  • Hitelesítés: SHA-256 hasheléssel és automatikus rotációval ellátott refresh tokenek; jelszavak soha nem kerülnek nyílt formában tárolásra (hash standard PBKDF2/argon2 algoritmusokkal).
  • Hozzáférés-ellenőrzés (RBAC): külön szerepkörök páciens / gyógytornász / adminisztrátor minimális jogosultságokkal; a gyógytornász kizárólag a hozzá rendelt páciensek adatait látja.
  • Audit napló: az egészségügyi adatokhoz való hozzáférés megváltoztathatatlan rögzítése, biztonsági célból 6 hónapig megőrizve.
  • Biztonsági mentések: titkosított és verziókövetett mentések, EU-s régióban tárolva, rendszeresen tesztelve.
  • EU-s lokalizáció: az egészségügyi adatok kizárólag az Európai Gazdasági Térség területén lévő felhőinfrastruktúrán találhatók; egészségügyi adat esetében nincs EU-n kívüli adattovábbítás.
  • A szolgáltatók biztonsági szabványai: az igénybe vett tárhely- és felhőszolgáltatók ISO 27001 / SOC 2 tanúsítványokkal rendelkeznek és GDPR-konformak.
  • Képzés és eljárások: a személyzet adatvédelmi és biztonsági képzésen vesz részt; adatvédelmi incidens kezelési terv a Garante részére 72 órán belüli értesítéssel (GDPR 33. cikk) és magas kockázat esetén az érintett értesítésével (34. cikk).

9. Kiskorúak

A szolgáltatás nem 14 év alatti kiskorúaknak szól. A 14 és 18 év közötti felhasználók esetében az adatkezeléshez a szülői felügyeletet gyakorló jóváhagyása szükséges (a 101/2018. törvényerejű rendelet 2-quinquies cikke). Ha Ön szülő, és gyanítja, hogy egy 14 év alatti kiskorú fiókot hozott létre, kérjük, vegye fel a kapcsolatot a privacy@ri-hub.it címen az azonnali törlés érdekében.

A sütik használatáról (szükséges, analitikai stb.) részletes információkat a Süti Tájékoztatóban talál. Beállításait bármikor módosíthatja a kezdőlapon található süti banneren keresztül.

11. Módosítások

Ez a tájékoztató frissíthető. A jelenlegi verzió a ri-hub.it/hu/privacy címen érhető el, és tükrözve van az alkalmazásban a app.ri-hub.it/privacy címen, hogy Capacitor offline módban is elérhető legyen. Utolsó felülvizsgálat: 2026. május.

Adatvédelmi szabályzat | Ri-Hub