Politika privatnosti — Ordinex medicinski softver

Kratko objašnjenje: Ordinex je alat koji ordinacije koriste za vođenje pacijentske dokumentacije. Mi čuvamo podatke u vaše ime, ne koristimo ih za oglašavanje, ne prodajemo ih i ne delimo sa trećim licima osim tehničkih provajdera neophodnih za rad sistema. Svi osetljivi podaci su enkriptovani.

1. Ko smo i kako nas kontaktirati

Rukovalac podataka (za podatke o nalozima korisnika):
Zlaja Software d.o.o.
Beograd, Republika Srbija
E-mail: info@ordinex.rs

Za sva pitanja u vezi sa zaštitom podataka o ličnosti možete nas kontaktirati na gorenavedenu adresu elektronske pošte. Odgovaramo u roku od 5 radnih dana.

2. Uloge u obradi podataka

Ordinex funkcioniše u dve uloge u zavisnosti od kategorije podataka:

Rukovalac podataka — za podatke korisničkih naloga (ime, e-mail, lozinka, podaci o pretplati)
Obrađivač podataka — za medicinske podatke pacijenata koje ordinacija unosi u Platformu. U ovom slučaju vi (ordinacija) ste Rukovalac, a Ordinex postupa isključivo po vašim uputstvima

Kao Obrađivač, Ordinex ne određuje svrhe obrade medicinskih podataka pacijenata, ne koristi ih za vlastite komercijalne svrhe i omogućava vam da ih izvezete ili trajno obrišete u svakom trenutku.

3. Koje podatke prikupljamo

A. Podaci o nalogu ordinacije (korisnici Platforme)

Podatak	Svrha	Osnov
Ime i prezime	Identifikacija korisnika unutar tima	Izvršenje ugovora
E-mail adresa	Prijava, obaveštenja, podrška	Izvršenje ugovora
Naziv ordinacije	Podešavanje višekorisničkog okruženja	Izvršenje ugovora
IP adresa (prijava)	Zaštita od neovlašćenog pristupa, ograničenje brzine	Legitimni interes
Dnevnik aktivnosti (audit log)	Bezbednost i revizija pristupa podacima	Zakonska obaveza / Legitimni interes

B. Medicinski podaci pacijenata (unosi ordinacija)

Kategorija	Napomena
Ime, prezime, datum rođenja, pol	Standardni identifikacioni podaci
JMBG	Enkriptovano AES-256; pretraga samo po heš vrednosti
Broj zdravstvenog osiguranja	Enkriptovano AES-256
Alergije, hronična stanja	Enkriptovano AES-256; posebna kategorija (medicinski podaci)
Interne medicinske beleške	Enkriptovano AES-256
ICD-10 dijagnoze, anamneza, terapija	Unosi lekara tokom pregleda
Dokumenta i laboratorijski nalazi	Fajlovi koje otprema ordinacija; max 20 MB po fajlu
Podaci o terminima i pregledima	Datum, tip, status, lekar
Podaci o fakturama	Iznos, stavke, status uplate

Ordinex ne prikuplja podatke o pacijentima direktno — sve unosi osoblje ordinacije u ime i po ovlašćenju pacijenta.

4. Pravni osnov za obradu

Obrada	Pravni osnov (ZZPL / GDPR)
Upravljanje korisničkim nalogom, isporuka usluge	Izvršenje ugovora (čl. 12 st. 1 t. 2 ZZPL / čl. 6 st. 1 t. b GDPR)
Medicinski podaci pacijenata (u ime ordinacije)	Zakonska obaveza vođenja medicinske dokumentacije / vitalni interes / legitimni interes ordinacije (čl. 12 st. 1 t. 3, 4, 6 ZZPL)
Audit log pristupa podacima	Legitimni interes (bezbednost) i zakonska obaveza
Slanje podsetnika za termine	Pristanak pacijenta koji daje ordinacija, ili legitimni interes
Slanje obaveštenja o pretplati	Izvršenje ugovora

5. Kako čuvamo i štitimo podatke

Bezbednost podataka je naš primarni prioritet. Primenjujemo sledeće mere zaštite:

Enkripcija u mirovanju: Svi osetljivi podaci enkriptovani su algoritmom AES-256-GCM na nivou baze podataka
Enkripcija u prenosu: Sva komunikacija sa Platformom odvija se isključivo putem HTTPS/TLS veze
Izolacija podataka: Svaka ordinacija ima potpuno odvojene podatke — tehnički nije moguće da jedna organizacija pristupi podacima druge (multi-tenant arhitektura)
Kontrola pristupa: Pristup podacima strogo je ograničen na ovlašćene korisnike vaše ordinacije prema dodeljenim ulogama
Audit trail: Sve izmene podataka beleže se u dnevnik aktivnosti sa vremenskom oznakom i identifikacijom korisnika
Zaštita od upada: Ograničenje brzine prijave, zaključavanje naloga posle neuspelih pokušaja, zaštita od CSRF napada

6. Gde se podaci čuvaju i prenosi trećim stranama

Podaci se čuvaju na serverima u okviru EU infrastrukture provajdera Railway (Railway Corp., SAD — koristi EU regione podatkovnih centara). Prenos podataka u SAD pokriva se standardnim ugovornim klauzulama (SCC).

Ordinex koristi sledeće kategorije Obrađivača:

Provajder	Svrha	Lokacija
Railway	Cloud hosting i baza podataka	EU / SAD (SCC)
Google (Gmail SMTP)	Slanje email podsetnika za termine (opcionalno)	EU / SAD (SCC)
Google Calendar API	Sinhronizacija termina (opcionalno, na zahtev lekara)	EU / SAD (SCC)

Ordinex ne prodaje podatke, ne koristi ih za oglašavanje i ne deli ih ni sa kakvim trećim licima osim gore navedenih Obrađivača neophodnih za pružanje usluge.

7. Koliko dugo čuvamo podatke

Kategorija podataka	Period čuvanja
Korisnički nalog i podešavanja	Do otkazivanja pretplate + 30 dana za eventualni izvoz
Medicinski podaci pacijenata	Dok je pretplata aktivna; ordinacija može obrisati u svakom trenutku
Podaci probnog perioda	14 dana probnog perioda + 30 dana nakon isteka
Audit log	2 godine od datuma unosa
Podaci o fakturama	10 godina (zakonska obaveza čuvanja poslovne dokumentacije)
Sigurnosne kopije	30 dana od pravljenja kopije

Po trajnom brisanju naloga, svi podaci se nepovratno brišu u roku navedenom u gornjoj tabeli.

8. Vaša prava kao lica čiji se podaci obrađuju

U skladu sa Zakonom o zaštiti podataka o ličnosti (ZZPL) i GDPR, imate sledeća prava:

Pravo na pristup (čl. 26 ZZPL / čl. 15 GDPR): Možete zatražiti kopiju podataka koje čuvamo o vama
Pravo na ispravku (čl. 29 ZZPL / čl. 16 GDPR): Možete zahtevati ispravljanje netačnih podataka
Pravo na brisanje (čl. 30 ZZPL / čl. 17 GDPR): Možete zahtevati trajno brisanje podataka kada ne postoji zakonska obaveza njihovog čuvanja
Pravo na ograničenje obrade (čl. 31 ZZPL / čl. 18 GDPR): Možete zahtevati privremeno ograničenje obrade vaših podataka
Pravo na prenosivost (čl. 36 ZZPL / čl. 20 GDPR): Možete zatražiti izvoz svih svojih podataka u mašinski čitljivom formatu (CSV/ZIP)
Pravo na prigovor (čl. 37 ZZPL / čl. 21 GDPR): Možete se usprotiviti obradi koja se zasniva na legitimnom interesu

Zahteve za ostvarivanje prava upućujte na info@ordinex.rs. Odgovaramo u zakonskom roku od 30 dana.

Napomena za pacijente: Ako ste pacijent čije podatke čuva ordinacija koja koristi Ordinex, zahtev za pristup ili brisanje podataka upućujte svojoj ordinaciji — ona je Rukovalac tih podataka i dužna je da odgovori na vaš zahtev.

9. Pravo na pritužbu nadzornom organu

Ako smatrate da obrada vaših ličnih podataka nije u skladu sa zakonom, imate pravo da podnese pritužbu Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti:

Web: www.poverenik.rs
E-mail: office@poverenik.rs
Adresa: Bulevar kralja Aleksandra 15, 11000 Beograd

10. Kolačići (cookies)

Platforma Ordinex koristi isključivo funkcionalne sesijske kolačiće neophodne za prijavu i bezbednu komunikaciju. Ne koristimo kolačiće za praćenje, profilisanje niti reklamne svrhe. Kolačići su podešeni kao HttpOnly i SameSite=Strict — nisu dostupni JavaScript-u i ne šalju se na spoljne domene.

Marketinška stranica ordinex.rs ne koristi nikakve kolačiće za praćenje niti analitičke alate trećih strana.

11. Izmene politike privatnosti

Zadržavamo pravo izmene ove Politike privatnosti. O svim bitnim izmenama korisnici će biti obavešteni putem e-pošte najmanje 14 dana unapred. Datum poslednje izmene uvek je vidljiv na vrhu ove stranice.

Kontakt za pitanja o zaštiti podataka

E-mail: info@ordinex.rs

Zlaja Software d.o.o. · Beograd, Republika Srbija

Za hitne zahteve vezane za bezbednosne incidente, isti e-mail — označite predmet poruke sa „Bezbednosni incident".

Politika privatnosti platforme Ordinex