Zásady ochrany osobních údajů
— informace pro správce (zdravotnická zařízení)
Documed.cz — Kindwork digital s.r.o. • Verze: 1.0 • Účinné od: 1. 1. 2025
Obsah (1–8)
1. Právní základ zpracování dle GDPR
Zpracování údajů probíhá na základě plnění smlouvy podle čl. 6 odst. 1 písm. b) GDPR. Účelem zpracování osobních údajů je umožnit pacientům bezpečné a efektivní poskytnutí informací prostřednictvím digitalizovaného formuláře v aplikaci Documed, který slouží k přípravě nebo záznamu lékařského vyšetření.
2. Správce a zpracovatel osobních údajů
Správce osobních údajů
Zdravotnické zařízení (např. klinika, nemocnice, ordinace), které využívá platformu Documed dostupnou na app.documed.cz k bezpečnému sběru a zpracování informací od pacientů prostřednictvím digitalizovaných formulářů sloužících k přípravě nebo záznamu lékařského vyšetření. Správce rozhoduje o účelu a prostředcích zpracování osobních údajů svých pacientů / klientů.
Zpracovatel osobních údajů
Kindwork digital s.r.o.
IČO: 09855661
Sídlo: Nové sady 988/2, Staré Brno, 602 00 Brno 2
E-mail: privacy@documed.cz
Web: www.documed.cz
Kindwork digital s.r.o. provozuje webovou aplikaci Documed (app.documed.cz), která slouží zdravotnickým zařízením k digitalizaci formulářů a elektronickému sběru informací od pacientů za účelem přípravy a záznamu lékařských vyšetření.
Vzájemné postavení stran
Zdravotnické zařízení je Správce osobních údajů. Společnost Kindwork digital s.r.o. je Zpracovatel osobních údajů, který pro správce zpracovává osobní údaje na základě smlouvy o zpracování v souladu s Nařízením (EU) 2016/679 (GDPR).
3. Subjekt zpracování
Osobní údaje pro správce zpracovává zpracovatel dle čl. 28 GDPR.
Zpracovatelem je: Kindwork digital s.r.o., IČO 09855661, Nové sady 988/2, 602 00 Brno 2, privacy@documed.cz, www.documed.cz.
Kindwork zpracovává údaje výhradně jménem a podle pokynů správce a nevyužívá je pro vlastní účely.
Závazek a minimalizace
Zpracováváme pouze nezbytné údaje pro fungování aplikace a plnění smluvního účelu.
- Údaje jen k bezpečnému poskytnutí informací prostřednictvím digitalizovaných formulářů.
- Žádné údaje nad rámec vyplněných formulářů a nutných technických logů.
4. Právní základ (detail) & účel
- čl. 6 odst. 1 písm. b) GDPR — plnění smlouvy mezi správcem a Kindwork digital s.r.o.,
- čl. 9 odst. 2 písm. h) GDPR — zpracování nezbytné pro poskytování zdravotní péče.
Účel zpracování
- provoz a funkčnost aplikace Documed,
- elektronické vyplňování lékařských dotazníků,
- bezpečné připojení pacientů (QR kód / kód místnosti),
- bezpečný přenos údajů mezi pacientem a zdravotnickým pracovníkem.
5. Doba uchovávání osobních údajů
- Údaje pacientů (vč. historie, formulářů a připojení) se uchovávají 24 hodin a poté se automaticky mažou z databáze i záloh.
- Údaje účtů personálu a organizací po dobu trvání smlouvy a dále dle zákonných archivačních povinností.
7. Povinnosti Kindwork digital s.r.o. jako zpracovatele
- zpracování výhradně za účelem provozu Documed,
- silné zabezpečení (šifrování, přístupové politiky, audit logy, silná hesla),
- notifikace správci do 24 hodin od zjištění incidentu,
- umožnění kontrol a součinnost při uplatnění práv subjektů,
- výmaz/anonymizace údajů po ukončení spolupráce.
8. Kategorie zpracovávaných údajů
A) Identifikační údaje
- Jméno, příjmení, datum narození, národnost, pohlaví pacienta.
B) Kontaktní údaje
- E-mail zdravotnického pracovníka, identifikátor zdravotnického zařízení.
C) Citlivé údaje (čl. 9 GDPR)
- Zdravotní údaje zadané pacientem do formulářů.
- Lékařské poznámky.
D) Technické údaje
- IP adresa, čas přístupu.
10. Způsob zpracování a zabezpečení údajů
Zpracování probíhá elektronicky se silným důrazem na ochranu soukromí a bezpečnost.
Infrastruktura a uložení dat
- Databáze: Supabase (PostgreSQL) — EU (AWS Frankfurt).
- Backend & autentizace: Supabase — EU (AWS Frankfurt).
- Hosting aplikace (frontend): Vercel — pouze nasazení a zobrazení rozhraní (bez přístupu k osobním údajům).
- Doména: WEDOS Internet, a.s. (ČR).
- Komunikace: TLS 1.3 / HTTPS, AES-256, RBAC.
- Bezpečnostní opatření: Denní zálohy, auditní logování, monitoring a pravidelné kontroly.
11. Povinnosti zdravotnického zařízení (správce)
- informovat pacienty o zpracování,
- získat souhlas tam, kde je vyžadován,
- zajistit zákonnost dle čl. 6 a 9 GDPR,
- používat Documed pouze k poskytování zdravotní péče,
- spolupracovat se zpracovatelem při řešení incidentů.
12. Postup při porušení zabezpečení
- Oznámení správci do 24 hodin od zjištění.
- Popis incidentu, dopady a přijatá opatření.
- Evidence incidentů min. 5 let.
- Audit a aktualizace bezpečnostních opatření.
13. Životní cyklus údajů
Účty pracovníků a organizací
- Uchovávány po dobu smluvního vztahu.
- Po ukončení anonymizovány / vymazány.
Údaje pacientů a formulářů
- Zpracovávány při vyplnění a odeslání formulářů.
- Automaticky mazány po 24 hodinách.
14. Sub-zpracovatelé a technologičtí partneři
| Název | Účel | Region | Ochrana dat |
|---|---|---|---|
| Supabase Inc. | Databáze, autentizace | EU (Irsko / Frankfurt) | GDPR |
| Vercel Inc. | Hosting aplikace | EU | GDPR compliant |
| WEDOS Internet a.s. | Správa domény | ČR | GDPR compliant |
| OpenAI Ireland Ltd. | AI analýza textu | Irsko | SCC (EU standard clauses) |
15. Práva subjektů údajů
Subjekt údajů (pacient / zdravotník / uživatel) má zejména právo na přístup, opravu, výmaz, omezení zpracování, námitku, přenositelnost a podat stížnost k ÚOOÚ (www.uoou.cz).
Žádosti zasílejte na privacy@documed.cz.
16. Závěrečná ustanovení
Kindwork digital s.r.o. průběžně aktualizuje tuto dokumentaci podle vývoje legislativy a technologií.
Hledáte srozumitelnou verzi pro pacienty? Navštivte Zásady ochrany osobních údajů – Pro pacienty.