3. POLITIKA SKLADNOSTI Z GDPR

Zadnja posodobitev: 1.6.2025

3.1 Naša zavezanost GDPR

Zavezani smo zaščiti osebnih podatkov v skladu z Splošno uredbo o varstvu podatkov (EU) 2016/679. Ta politika opisuje naše ukrepe za zagotavljanje skladnosti.

3.2 Zakonske podlage za obdelavo

Osebne podatke obdelujemo na naslednjih zakonskih podlagah:

a) Soglasje

  • Naročnine na novice
  • Marketinške komunikacije
  • Uporaba piškotkov (ne-nujni)
  • Pričevanja in študije primerov

b) Izvedba pogodbe

  • Zagotavljanje terapevtskih storitev
  • Obdelava plačil
  • Urejanje terminov
  • Komunikacija s strankami

c) Zakonske obveznosti

  • Vodenje terapevtskih evidenc (10 let)
  • Finančne evidence (7 let)
  • Poročanje v skladu z zakonskimi obveznostmi

d) Legitimni interesi

  • Varnost spletnega mesta
  • Preprečevanje goljufij
  • Neposredno trženje obstoječim strankam
  • Notranje administrativno delo

3.3 Načela zaščite podatkov

Zagotavljamo, da so osebni podatki:

  • Obdelani zakonito, pošteno in pregledno
  • Zbrani za določene, jasne in zakonite namene
  • Primerni, relevantni in omejeni na tisto, kar je nujno potrebno
  • Natančni in ažurirani
  • Shranjeni le toliko časa, kot je potrebno
  • Obdelani varno

3.4 Podatki posebnih kategorij

Kot terapevtska praksa obdelujemo posebne kategorije podatkov (zdravstveni podatki):

  • Izrecno soglasje pridobljeno pred obdelavo
  • Potrebni za zagotavljanje zdravstvene oskrbe
  • Obdelani s strani strokovnjakov, ki so zavezani k zaupnosti
  • Dodatni varnostni ukrepi so izvedeni

3.5 Postopki za pravice posameznikov

a) Odgovarjanje na zahteve

  • Potrditev v 72 urah
  • Preverjanje identitete pred obdelavo
  • Odgovor v enem mesecu
  • Brezplačno (razen če so zahteve pretirane/ponavljajoče)

b) Pravica do dostopa (SAR)

  • Zagotavljanje kopije osebnih podatkov
  • Pojasnitev, kako se podatki uporabljajo
  • Vključitev obdobij hrambe
  • Seznam prejemnikov podatkov

c) Pravica do izbrisa

  • Izbris podatkov, ko niso več potrebni
  • Izjeme zaradi zakonskih obveznosti
  • Obveščanje tretjih oseb, kadar je mogoče

3.6 Postopki v primeru kršitve podatkov

a) Odkrivanje in ocena

  • Takojšnja preiskava
  • Ocena tveganja za posameznike
  • Dokumentiranje vseh kršitev

b) Obvestilo

  • Nadzorni organ v 72 urah (če je tveganje visoko)
  • Zadevne osebe brez nepotrebnega odloga
  • Vključitev narave kršitve in sprejetih ukrepov

3.7 Zasebnost po načelu zasnove

Zasebnost zagotavljamo že v fazi zasnove preko:

  • Minimizacije podatkov
  • Pseudonimizacije, kadar je mogoče
  • Privzetih nastavitev zasebnosti
  • Rednih ocenjevanj vplivov na zasebnost

3.8 Tretji obdelovalci podatkov

Zagotavljamo, da vsi tretji obdelovalci podatkov:

  • Imajo ustrezne varnostne ukrepe
  • Podpišejo pogodbe o obdelavi podatkov
  • Obdelujejo podatke samo po naših navodilih
  • Omogočajo revizije in preglede

3.9 Mednarodni prenosi

Osebni podatki ne bodo preneseni izven EGP, razen če:

  • Obstaja ustrezna zaščita
  • So uvedeni ustrezni zaščitni ukrepi
  • Pridobljeno izrecno soglasje

3.10 Usposabljanje zaposlenih

Vsi zaposleni prejmejo usposabljanje o:

  • Načelih GDPR
  • Obravnavi osebnih podatkov
  • Prepoznavanju kršitev podatkov
  • Odgovarjanju na zahteve posameznikov

3.11 Dokumentacija

Vodenje evidenc o:

  • Aktivnostih obdelave
  • Evidencah soglasij
  • Kršitvah podatkov
  • Ocenah vplivov
  • Pogodbah s tretjimi osebami

3.12 Nadzorni organ

Naš glavni nadzorni organ je: Agencija za varstvo osebnih podatkov Republike Slovenije

3.13 Pooblaščena oseba za varstvo podatkov

[Če je primerno – obvezno za izvajalce zdravstvenih storitev, ki obdelujejo podatke v veliki količini]

3.14 Pregled in posodobitve

To politiko redno pregledujemo in posodabljamo, da zagotovimo stalno skladnost.