WhatsAppinfo@ri-hub.it

Zásady ochrany osobných údajov

Informácie podľa čl. 13 – 14 Nariadenia EÚ 2016/679 (GDPR). Posledná revízia: máj 2026.

1. Prevádzkovateľ spracúvania

Prevádzkovateľom spracúvania je Ri-Hub S.r.l. S.T.P., so sídlom v Taliansku. Na uplatnenie práv stanovených v GDPR a pre akúkoľvek žiadosť píšte na privacy@ri-hub.it.

Legal identification: Ri-Hub S.r.l. S.T.P. — Registered office: Corso Assarotti 19/1, 16043 Chiavari (GE), Italy — VAT/Tax ID (P.IVA/C.F.): 02992670998 — REA GE-525421 — Share capital: €10,000 fully paid up — PEC: ri-hub@pec.it

2. Spracúvanie údajov o zdraví (čl. 9 GDPR)

Ri-Hub je platforma online fyzioterapie: počas používania služby zhromažďujeme a spracúvame údaje týkajúce sa zdravia (osobitná kategória v zmysle čl. 9 GDPR), najmä: odpovede v anamnestických dotazníkoch, úroveň bolesti, opisy symptomatológie, terapeutické ciele, liečebné plány. Videokonzultácie sa poskytujú v reálnom čase a nie sú zaznamenávané ani uchovávané v žiadnej audio ani video forme.

Právny základ. Spracúvanie údajov o zdraví sa zakladá na dvoch kumulatívnych základoch: výslovný súhlas dotknutej osoby (čl. 9 ods. 2 písm. a GDPR) získaný v okamihu podpisu zdravotníckeho informovaného súhlasu, a plnenie zmluvy o zdravotnej starostlivosti (čl. 9 ods. 2 písm. h GDPR), ktorej je dotknutá osoba zmluvnou stranou. Spracúvanie je tiež v súlade s Usmerneniami talianskeho Úradu na ochranu osobných údajov v oblasti telemedicíny a s pokynmi Európskeho výboru pre ochranu údajov (EDPB). Bez poskytnutia týchto údajov nie je možné poskytnúť požadovanú zdravotnícku službu.

Zákaz šírenia a sekundárneho použitia. Údaje o zdraví sú spracúvané výlučne na účely starostlivosti, diagnostiky a riadenia rehabilitačného procesu jednotlivého pacienta. Ri-Hub nešíri, nepostupuje, nepredáva ani neoznamuje údaje o zdraví tretím osobám okrem výslovne oprávnených subjektov uvedených v § 5 (priradený fyzioterapeut a technologickí poskytovatelia vymenovaní za sprostredkovateľov spracúvania). Údaje o zdraví sa nepoužívajú na reklamné, profilovacie ani marketingové účely za žiadnych okolností.

Uchovávanie na systémoch v súlade s európskou legislatívou. Údaje o zdraví sú uchovávané na cloudovej infraštruktúre lokalizovanej v Európskom hospodárskom priestore (EHP) u poskytovateľov v súlade s GDPR, so šifrovaním tak pri prenose (TLS 1.3), ako aj v pokoji (at-rest). Žiadne údaje o zdraví sa neprenášajú mimo EÚ/EHP. Prípadní mimoeurópski technologickí sprostredkovatelia (napr. Stripe pre platby) spracúvajú iba administratívne a účtovné údaje — nikdy nie údaje o zdraví — na základe Štandardných zmluvných doložiek schválených Európskou komisiou (čl. 46 GDPR).

Profesijné tajomstvo. Fyzioterapeuti, ktorí pristupujú k údajom o zdraví, sú zapísaní v profesijnom registri a viazaní profesijným tajomstvom v zmysle čl. 622 talianskeho trestného zákona, čl. 200 talianskeho trestného poriadku a Etického kódexu povolania. Prístup k údajom o zdraví je obmedzený iba na priradeného pacienta (zásada minimalizácie, čl. 5 ods. 1 písm. c GDPR) a sledovaný v nemodifikovateľných auditných logoch.

Pseudonymizácia a minimalizácia. Tam, kde je to technicky možné, sú údaje o zdraví pseudonymizované alebo šifrované na aplikačnej úrovni. Agregované štatistiky pre vnútorné použitie alebo pre zmluvné kliniky/spoločnosti sú poskytované výlučne v anonymnej a agregovanej forme, bez možnosti opätovne identifikovať jednotlivého pacienta.

3. Kategórie spracúvaných osobných údajov

  • Identifikačné údaje: meno, priezvisko, daňové identifikačné číslo, dátum narodenia, adresa, kontakty.
  • Doklady totožnosti (obraz).
  • Autentifikačné prihlasovacie údaje: e-mail, heslo vo forme hashu, Google token v prípade prístupu cez OAuth.
  • Údaje o zdraví: anamnéza, bolesť, symptómy, liečebné plány, výsledky hodnotiacich dotazníkov. Videosedenia nie sú zaznamenávané.
  • Platobné údaje: spravované poskytovateľom Stripe (neuchovávame údaje o karte).
  • Technické údaje: IP adresa, prístupové logy, identifikátory zariadenia (ak je nainštalovaný Capacitor).
  • Agregované a anonymné údaje o používaní (iba ak ste prijali analytické cookies).

4. Účely spracúvania

  • Poskytovanie služby online fyzioterapie (základ: zmluva / výslovný súhlas čl. 9).
  • Administratívna a účtovná správa (základ: zákonná povinnosť).
  • Bezpečnosť aplikácie, prevencia podvodov a diagnostika (základ: oprávnený záujem).
  • Servisné komunikácie a notifikácie týkajúce sa stretnutí (základ: zmluva).
  • Marketing a newsletter iba ak ste poskytli osobitný súhlas pri registrácii (základ: súhlas odvolateľný kedykoľvek).
  • Agregovaná analytika iba ak ste prijali analytické cookies (základ: súhlas odvolateľný cez cookie banner).

5. Príjemcovia a externí sprostredkovatelia

Všetky nižšie uvedené subjekty sú vymenované za sprostredkovateľov spracúvania podľa čl. 28 GDPR osobitným zmluvným úkonom. Žiadny subjekt mimo tohto zoznamu nemá prístup k Vašim údajom. Údaje o zdraví sú prístupné výlučne priradenému fyzioterapeutovi; všetci ostatní poskytovatelia spracúvajú výlučne technické/administratívne údaje.

  • Zmluvní fyzioterapeuti: pristupujú k údajom o zdraví iba priradeného pacienta na poskytnutie služby. Zapísaní v profesijnom registri, viazaní profesijným tajomstvom podľa čl. 622 talianskeho trestného zákona. Žiadny fyzioterapeut nemôže nahliadať do údajov pacientov, ktorí mu nie sú priradení.
  • Cloud hosting EÚ (dátové centrá lokalizované v Európskom hospodárskom priestore): aplikačná infraštruktúra a databáza. Žiadny prenos mimo EÚ pre údaje o zdraví. TLS šifrovanie pri prenose + šifrovanie v pokoji na zväzkoch.
  • Stripe (Írsko + USA): správa platieb. Spracúva výlučne administratívne údaje (suma, e-mail, fakturačné údaje). Nikdy údaje o zdraví. Prípadný prenos mimo EÚ na základe Štandardných zmluvných doložiek čl. 46 GDPR.
  • Google LLC: iba ak sa prihlásite svojím účtom Google (OAuth obmedzený na e-mail + profil) alebo ak fyzioterapeut aktivoval synchronizáciu vlastného Google Calendar (scope calendar.events, čítanie/zápis obmedzené na udalosti vytvorené Ri-Hub). Nikdy nie údaje o zdraví pacienta. Prenos mimo EÚ na základe Štandardných zmluvných doložiek.
  • PostHog (cloud EÚ, eu.i.posthog.com): agregovaná anonymná analytika iba po výslovnom súhlase prostredníctvom cookie bannera. IP nie je sledovaná; session replay je zakázaný. Nikdy nie údaje o zdraví.
  • Brevo (Sendinblue): zasielanie transakčných e-mailov a newslettrov. Servery EÚ. Spracúva iba e-mail + meno.
  • Twilio Video (Írsko + USA): poskytovanie videokonzultácií v reálnom čase cez kanály šifrované pri prenose (SRTP/DTLS). SFU servery Twilio preposielajú audio/video toky medzi fyzioterapeutom a pacientom; videokonzultácie NIE sú zaznamenávané ani uchovávané. Prenos mimo EÚ na základe Štandardných zmluvných doložiek čl. 46 GDPR.
  • Apple Inc. (USA): iba ak sa prihlásite svojím Apple ID prostredníctvom „Sign in with Apple". Spracúva výlučne identifikátor Apple + e-mail (voliteľný anonymný relay). Nikdy nie údaje o zdraví. Prenos mimo EÚ na základe SCC.
  • Firebase Cloud Messaging (Google LLC, USA): pre push notifikácie v aplikácii Android a iOS. Spracúva iba nepriehľadný token zariadenia. Nikdy nie údaje o zdraví v payloade. Prenos mimo EÚ na základe SCC.
  • MinIO (samostatne hostované object storage, región EÚ): uchovávanie podpísaných dokumentov informovaného súhlasu (PDF + občiansky preukaz predná/zadná strana). Interné servery Ri-Hub, prístup obmedzený iba na oprávnený technický personál a prideleného fyzioterapeuta. Šifrovanie v pokoji na úrovni zväzku.
  • Interný CRM Ri-Hub (samostatne hostovaný EÚ server, doména crm.ri-hub.it): systém správy zdravotných záznamov pacientov dostupný iba klinickému/administratívnemu personálu Ri-Hub viazanému profesijným tajomstvom a dohodami o mlčanlivosti. Prijíma automatickú synchronizáciu udalostí: registrácia, rezervovaná anamnéza, podpísaný súhlas, nákup sedení, dokončené sedenia.
  • Calendly (USA): ak fyzioterapeut pripojil vlastný účet Calendly pre synchronizáciu dostupnosti mimo Ri-Hub. Spracúva iba metadáta slotov (dátumy/časy), žiadne klinické údaje. Prenos mimo EÚ na základe SCC.
  • Google Analytics 4 (Google LLC, USA): agregované metriky používania iba po výslovnom súhlase prostredníctvom cookie bannera. IP anonymizovaná, personalizácia reklám v predvolenom nastavení vypnutá. Nikdy nie údaje o zdraví. SCC.

6. Vaše práva (čl. 15 – 22 GDPR)

Máte právo: prístupu k Vašim údajom, opravy, výmazu ("právo na zabudnutie"), obmedzenia spracúvania, prenosu údajov v štruktúrovanom formáte, namietať proti spracúvaniu, kedykoľvek odvolať udelené súhlasy (vrátane analytických cookies a marketingu) bez toho, aby tým bola dotknutá zákonnosť spracúvania na základe súhlasu poskytnutého pred jeho odvolaním.

Tiež môžete podať sťažnosť talianskemu Úradu na ochranu osobných údajov (www.garanteprivacy.it).

Na uplatnenie práv píšte na privacy@ri-hub.it. Zrušenie účtu z aplikácie znamená odstránenie osobných údajov do 30 dní; pre daňové a zmluvné povinnosti sa niektoré záznamy (napr. fakturácia, stretnutia) uchovávajú v pseudonymizovanej forme po dobu stanovenú zákonom.

7. Doba uchovávania

  • Údaje o účte a o zdraví: počas celého trvania zmluvného vzťahu a do 10 rokov od jeho ukončenia, výlučne na účely povinnosti uchovávania zdravotnej a daňovej dokumentácie.
  • Autentifikačné tokeny: refresh token obnovovaný pri každom prístupe, maximálna platnosť 365 dní neaktivity.
  • Anonymné analytické údaje (PostHog): 12 mesiacov.
  • Technické bezpečnostné logy: 6 mesiacov.

8. Bezpečnostné opatrenia

Prijímame technické a organizačné opatrenia primerané riziku v zmysle čl. 32 GDPR:

  • Šifrovanie pri prenose: povinné TLS 1.3 na všetkých spojeniach medzi aplikáciou/stránkou a backendom, žiadna komunikácia v otvorenej forme.
  • Šifrovanie v pokoji: zväzky, na ktorých sídlia údaje o zdraví, sú šifrované na úrovni disku; OAuth tokeny a najcitlivejšie údaje sú dodatočne šifrované na aplikačnej úrovni.
  • Autentifikácia: refresh token s SHA-256 hashovaním a automatickou rotáciou; heslá sa nikdy neuchovávajú v otvorenej forme (hash so štandardnými algoritmami PBKDF2/argon2).
  • Riadenie prístupu (RBAC): oddelené roly pacient / fyzioterapeut / správca s minimálnymi privilégiami; fyzioterapeut vidí iba údaje pacientov, ktorí mu sú priradení.
  • Auditný log: nemenný záznam prístupov k údajom o zdraví, uchovávaný 6 mesiacov na bezpečnostné účely.
  • Zálohy: šifrované a verziované zálohy, ukladané v regióne EÚ, pravidelne testované.
  • Lokalizácia EÚ: údaje o zdraví sa nachádzajú výlučne na cloudovej infraštruktúre v Európskom hospodárskom priestore; žiadny prenos mimo EÚ pre zdravotné údaje.
  • Bezpečnostné štandardy poskytovateľov: používaní hostingoví a cloudoví poskytovatelia pôsobia s certifikátmi ISO 27001 / SOC 2 a sú v súlade s GDPR.
  • Školenie a postupy: personál je školený v oblasti súkromia + bezpečnosti; plán riadenia data breach s notifikáciou Úradu do 72 hodín (čl. 33 GDPR) a dotknutej osobe v prípade vysokého rizika (čl. 34).

9. Maloletí

Služba nie je určená pre osoby mladšie ako 14 rokov. Pre používateľov medzi 14 a 18 rokmi spracúvanie vyžaduje súhlas nositeľa rodičovskej zodpovednosti (taliansky legislatívny dekrét č. 101/2018 čl. 2-quinquies). Ak ste rodič a máte podozrenie, že maloletý mladší ako 14 rokov si vytvoril účet, kontaktujte privacy@ri-hub.it a požiadajte o okamžité zrušenie.

Pre podrobné informácie o použití cookies (nevyhnutných, analytických atď.) si prečítajte našu Cookie Policy. Svoje preferencie môžete kedykoľvek zmeniť cez cookie banner na úvodnej stránke.

11. Zmeny

Tieto informácie môžu byť aktualizované. Aktuálna verzia je zverejnená na ri-hub.it/sk/privacy a zrkadlená v aplikácii app.ri-hub.it/privacy, aby sa zaručil prístup aj v offline režime Capacitor. Posledná revízia: máj 2026.

Zásady ochrany osobných údajov | Ri-Hub