SalonaMED politika privatnosti

1. Zajednički voditelji obrade

U okviru SalonaMED zdravstvenog centra, osobni podaci obrađuju se u suradnji više subjekata koji djeluju kao zajednički voditelji obrade:

Zebra nekretnine d.o.o., Ulica grada Vukovara 15, Solin, OIB: 99290659878 - Glavni kontakt i koordinator među zajedničkim voditeljima obrade.

Poliklinika SALONA MEDICUS, Ulica grada Vukovara 15, Solin, OIB: 84231301984

Salona medicus d.o.o., Pape Grgura VII 1, Klis, OIB: 58523450996

Specijalna bolnica Ortonova, Ulica grada Vukovara 15, Solin, OIB: 58709737677

Radiologija Solin d.o.o., Hektorovićeva ulica 38G, Solin, OIB: 54890695844

Lupa Solin d.o.o., Držićeva 11, Solin, OIB: 47382942089

Zebra nekretnine d.o.o. je odgovorna za koordinaciju zaštite osobnih podataka i pružanje informacija ispitanicima u vezi s njihovim pravima i načinom obrade podataka.

Iako društvo Zebra nekretnine d.o.o. djeluje kao investitor objekta i pružatelj ključnih poslovnih usluga poput IT podrške i knjigovodstva, obrada podataka vrši se u funkciji zajedničkog poslovnog sustava SalonaMED zdravstvenog centra, pri čemu svi uključeni subjekti imaju jasno definirane uloge i odgovornosti unutar uspostavljenih procesa zaštite podataka.

U svrhu jednostavnosti komunikacije i učinkovitog upravljanja zaštitom podataka, svi upiti i zahtjevi ispitanika vezani uz GDPR trebaju se uputiti na Zebra nekretnine d.o.o. kao glavni kontakt.

Kontakt osoba za zaštitu podataka (DPO)

Fikret Ilijašević
E-mail: fikret.ilijasevic@salonamed.hr

---

2. Kategorije ispitanika

Ova politika zaštite podataka odnosi se na sljedeće kategorije ispitanika čiji se osobni podaci obrađuju u okviru djelatnosti SalonaMED zdravstvenog centra:

Pacijenti i korisnici zdravstvenih usluga koji koriste medicinske usluge u svim ustanovama SalonaMED centra

Posjetitelji web stranice salonamed.hr, uključujući korisnike koji se informiraju ili ispunjavaju kontakt forme

Osobe koje ispunjavaju kontakt obrasce, šalju upite putem e-maila ili telefonske komunikacije

Zaposlenici i vanjski suradnici, uključujući članove njihovih obitelji, kada se njihovi osobni podaci prikupljaju u svrhe administracije, upravljanja ljudskim resursima, beneficija i sigurnosti

Dobavljači, poslovni partneri i kontakt osobe ovlaštene za suradnju s SalonaMED-om, u svrhu realizacije poslovnih odnosa i ugovora

Drugi subjekti povezani s poslovanjem, poput konzultanata, pravnih i financijskih savjetnika te pružatelja usluga koje SalonaMED angažira za podršku u poslovanju

Pri obradi osobnih podataka za sve navedene kategorije poštujemo načelo minimalne potrebnosti podataka i osiguravamo primjenu svih propisanih tehničkih i organizacijskih mjera za zaštitu prava i sloboda ispitanika.

3. Vrste podataka koje prikupljamo

Prikupljamo samo one osobne podatke koji su nužni za pružanje zdravstvenih, administrativnih i poslovnih usluga. To uključuje sljedeće kategorije podataka:

Identifikacijski podaci: ime, prezime, OIB, datum rođenja, adresa boravišta, mjesto stanovanja

Kontakt podaci: e-mail adresa, broj telefona

Zdravstveni podaci: medicinske dijagnoze, nalazi, povijest bolesti, terapije, laboratorijski i radiološki nalazi, medicinska dokumentacija, podaci potrebni za pružanje specifičnih zdravstvenih usluga

Financijski podaci: podaci o plaćanju, fakturiranju, računi za usluge koje pružamo

Podaci o zaposlenju: ugovori o radu, kvalifikacije, evidencija radnog vremena, obračun plaća, porezni podaci

Tehnički podaci: IP adresa, kolačići na web stranici, podaci prikupljeni putem analitičkih alata za poboljšanje usluga

Podaci o poslovnim partnerima i vanjskim suradnicima: identifikacijski i kontakt podaci, ugovori, dokumentacija potrebna za poslovnu suradnju

Svi prikupljeni podaci obrađuju se isključivo u skladu sa zakonima i pravilima o zaštiti osobnih podataka, a količina i vrsta prikupljenih podataka ograničeni su samo na ono što je nužno za ostvarenje određene svrhe obrade.

4. Podaci koje ne prikupljamo

Ne prikupljamo niti obrađujemo osjetljive osobne podatke koji nisu nužni za pružanje zdravstvenih usluga, osim u slučajevima kada je za to propisana zakonska obveza ili postoji izričita privola ispitanika. Konkretno, ne obrađujemo sljedeće kategorije podataka bez valjanog pravnog temelja:

Politička, religijska ili filozofska uvjerenja

Genetske i biometrijske podatke, osim ako njihova obrada nije nužna za medicinske dijagnoze ili zakonske zahtjeve

Podatke o seksualnoj orijentaciji ili privatnom životu, osim u slučaju posebnih medicinskih potreba

Lokacijske podatke osim ako je to neophodno za pružanje određene usluge ili zakonsku obavezu

Podatke koji nisu relevantni za svrhu pružanja usluga, zapošljavanja, administracije ili zakonskih obveza

U svim spomenutim slučajevima, obrada osobnih podataka zahtijeva posebnu pravnu osnovu i dodatne mjere zaštite prema člancima 6. i 9. GDPR-a. Upravljanje osjetljivim podacima vrši se strogo poštujući načela minimalizacije i sigurnosti, uz jasnu transparentnost i prava ispitanika.

Ova pravila služe kako bi se dodatno osigurala vaša privatnost i zaštitili podaci od nepotrebne ili neprimjerene obrade, u skladu s najvišim standardima zaštite osobnih podataka.

5. Kako i kada prikupljamo podatke

Podaci se prikupljaju:

Prilikom pružanja zdravstvenih usluga i administracije:
Podaci se prikupljaju tijekom registracije pacijenta, kliničkog pregleda, dijagnostičkih i terapijskih postupaka, te u svrhu vođenja medicinske dokumentacije. Obrada se temelji na zakonskim obvezama i izvršenju ugovora o pružanju zdravstvenih usluga. Prikupljaju se osobni, zdravstveni i administrativni podaci neophodni za dijagnozu, liječenje i praćenje zdravstvenog stanja.

Putem kontakt formi, e-mail komunikacije i telefonskih upita:
Podaci se prikupljaju kada korisnici stupe u kontakt sa zdravstvenom ustanovom zbog informacija, zakazivanja pregleda ili drugih pitanja. Obrada je bazirana na privoli korisnika ili u svrhu ispunjenja ugovora o usluzi te komunikacije.

Automatski putem kolačića i analitičkih alata:
Na web stranicama prikupljaju se podaci o korisničkim aktivnostima radi analize posjećenosti i poboljšanja usluga. Upotrebljavaju se kolačići i alati za analitiku uz suglasnost korisnika. Podaci su anonimizirani i koriste se isključivo za optimizaciju web sadržaja.

U postupcima zapošljavanja i upravljanja ljudskim resursima:
Podaci kandidata i zaposlenika prikupljaju se tijekom prijave za zaposlenje, rada i administracije. Obrada je zakonita temeljem privole, ugovora o radu i zakonskih obveza. Podaci se koriste za vođenje evidencije, obračun plaća, sigurnost na radu i pridržavanje propisa.

Suradnja s poslovnim partnerima i vanjskim suradnicima
U svrhu pružanja kvalitetnih usluga, administracije i vođenja poslovanja, osobni podaci mogu se dijeliti s poslovnim partnerima, vanjskim suradnicima i pružateljima usluga poput IT tvrtki, računovodstvenih servisa, pravnih savjetnika i drugih ovlaštenih tijela. Sa svim takvim subjektima sklapamo ugovore o obradi osobnih podataka kojim se jamči zaštita i sigurnost podataka u skladu s GDPR-om. Osobni podaci se dijele isključivo u mjeri nužnoj za ispunjavanje definiranih svrha obrade.

6. Svrha i pravna osnova obrade

Pružanje zdravstvene skrbi:
Obrada osobnih podataka pacijenata provodi se radi pružanja zdravstvenih usluga i izvršavanja ugovora o liječenju. Pravna osnova za ovu obradu su zakonske obveze u vezi s vođenjem medicinske dokumentacije i izvršenjem ugovora. Zdravstveni podaci smatraju se posebnim kategorijama osobnih podataka i podliježu dodatnoj zaštiti.

Administrativne i računovodstvene svrhe:
Obrada podataka nužna je za ispunjavanje zakonskih obveza voditelja obrade, kao što su vođenje poslovnih knjiga, obračun plaća i poreznih obveza.

Marketing i informiranje:
Za potrebe direktnog marketinga i informiranja o uslugama, obrada osobnih podataka temelji se na dobrovoljnoj privoli ispitanika, koju mogu u svakom trenutku povući.

Zapošljavanje i ljudski resursi (HR):
Obrada osobnih podataka zaposlenika vrši se zbog zakonskih obveza i legitimnog interesa poslodavca u vođenju radnih odnosa, provedbi mjera sigurnosti na radu, obračunu plaća i upravljanju ljudskim resursima.

Legitimni interes u poslovanju:
Voditelj obrade koristi legitimni interes za svrhe zaštite poslovanja, uključujući osiguranje naplate potraživanja, IT sigurnost, sprječavanje nezakonite ili neautorizirane obrade podataka te zaštitu imovine. Svaka obrada koja se temelji na legitimnom interesu podliježe strogoj procjeni proporcionalnosti i zaštite prava ispitanika.

7. Kolačići i alati trećih strana

Web stranica koristi tehničke i analitičke kolačiće (Google Analytics, Google Ads, Facebook Pixel). Korisnici mogu upravljati ili odbiti kolačiće putem postavki preglednika. Detalji su dostupni u Politici kolačića.

8. Dijeljenje i prijenos podataka

Podaci se dijele unutar grupacije i s ovlaštenim trećim stranama (npr. HZZO, laboratoriji, IT podrška, računovodstvo) samo kada je to nužno i u skladu sa zakonom. Podaci se ne prenose izvan EGP-a bez odgovarajućih mjera zaštite.

9. Razdoblje pohrane

Zdravstvena dokumentacija:
Pohranjuje se najmanje 10 godina od posljednjeg pružanja zdravstvene usluge, u skladu sa zakonima i propisima o zaštiti zdravlja. U posebnim slučajevima, poput podataka o maloljetnim pacijentima, kroničnim bolestima ili sudskim predmetima, razdoblje može biti duže radi pravne i medicinske zaštite.

Računovodstveni podaci:
Čuvaju se 11 godina sukladno poreznim i računovodstvenim propisima. Nakon isteka zakonski propisanog roka, brišu se ili anonimiziraju osim u slučajevima kada zakon nalaže dulje čuvanje.

Podaci o kandidatima za zaposlenje:
Čuvaju se 12 mjeseci od završetka natječaja ili zapošljavanja. Ukoliko kandidat da privolu, podaci se mogu čuvati dulje u svrhu budućih natječaja.

Privole za marketing:
Valjane su do opoziva. Evidentiraju se i korisnici mogu povući privolu u bilo kojem trenutku putem jasnih kanala komunikacije.

Podaci zaposlenika:
Osobni podaci vezani uz radni odnos (ugovori, evidencije, radno vrijeme, kvalifikacije, obračun plaća) čuvaju se tijekom trajanja radnog odnosa i najmanje 5 godina nakon njegovog prestanka, u skladu s propisima.

Čuvanje podataka o plaćama i mirovinskom osiguranju:
Podaci nužni za obračun plaća i ostvarivanje prava na mirovinu čuvaju se do 40 godina nakon prestanka radnog odnosa, u skladu sa zakonima o mirovinskom osiguranju i drugim relevantnim propisima. Ovo osigurava ispunjenje zakonskih obveza i pravo zaposlenika na mirovinu ili druge socijalne beneficije.

Opća napomena:
Osobni podaci se brišu ili anonimiziraju čim prestanu biti potrebni za svrhe prikupljanja, osim ako zakon ne nalaže drukčije. Politika se može ažurirati u skladu s promjenama legalnih zahtjeva ili poslovnih potreba.

10. Prava ispitanika

Ispitanici imaju sljedeća prava u skladu s Općom uredbom o zaštiti podataka ( GDPR):

Pravo na pristup podacima: pravo saznati koje osobne podatke o sebi obrađujemo i kako ih koristimo

Pravo na ispravak: pravo tražiti ispravak netočnih ili nepotpunih podataka

Pravo na brisanje (pravo na zaborav): pravo zatražiti brisanje osobnih podataka u određenim situacijama

Pravo na ograničenje obrade: pravo zatražiti privremeno ograničenje obrade podataka

Pravo na prenosivost podataka: pravo dobiti kopiju osobnih podataka u strukturiranom, uobičajeno korištenom i strojno čitljivom obliku te njihovo jednostavno prenošenje drugom voditelju obrade

Pravo na prigovor: pravo prigovora na obradu podataka za potrebe izravnog marketinga ili obradu temeljem legitimnog interesa

Pravo na povlačenje privole: pravo u svakom trenutku opozvati prethodno danu privolu za obradu osobnih podataka bez utjecaja na zakonitost obrade prije opoziva

Za ostvarenje svojih prava, ispitanici se mogu obratiti našoj službi za zaštitu podataka izravno na e-mail: fikret.ilijasevic@salonamed.hr.

Ako nisu zadovoljni odgovorom ili smatraju da su njihova prava povrijeđena, mogu podnijeti pritužbu Agenciji za zaštitu osobnih podataka (AZOP), sa sjedištem na adresi: Selska cesta 136, Zagreb, e-mail: azop@azop.hr.

11. Sigurnosne mjere

Za zaštitu osobnih podataka naših pacijenata, zaposlenika i ostalih ispitanika, primjenjujemo kombinaciju tehničkih i organizacijskih mjera zaštite koje su u skladu s najvišim standardima zaštite podataka i GDPR zahtjevima.

Tehničke mjere uključuju:

Enkripciju komunikacije putem SSL/TLS protokola koja osigurava sigurnu razmjenu podataka preko interneta

Kontrolirani i ograničeni pristup medicinskim i ostalim osjetljivim podacima samo ovlaštenom osoblju

Redovito provođenje sigurnosnih kopija podataka kako bi se spriječio gubitak ili oštećenje informacija

Primjenu sustava za otkrivanje i sprječavanje neovlaštenog pristupa informacijskim sustavima

Zaštitu mrežne infrastrukture i sustava kroz firewall, antivirusne programe i druge sigurnosne alate

Organizacijske mjere uključuju:

Edukaciju i redoviti trening zaposlenika o pravilima zaštite osobnih podataka i sigurnosnim politikama

Uporabu strogo definiranih procedura za rukovanje podacima, uključujući prijavu i postupanje u slučaju sigurnosnih incidenata

Uspostavljanje stroge kontrole fizičkog pristupa osjetljivim prostorijama i arhivama medicinske dokumentacije

Imenovanje službenika za zaštitu podataka (DPO) koji nadzire usklađenost s GDPR-om i vodi interne procese zaštite podataka

Ugovorne obveze i nadzor nad vanjskim suradnicima i pružateljima usluga koji obrađuju podatke u naše ime, kako bi se osigurala sigurnost podataka i poštivanje GDPR zahtjeva

Primjenom ovih mjera nastojimo spriječiti svaku neovlaštenu ili nezakonitu obradu, gubitak, uništenje ili oštećenje osobnih podataka, a ujedno osigurati njihovu dostupnost i povjerljivost tijekom cijelog životnog ciklusa podataka.

12. Povrede podataka

U slučaju povrede osobnih podataka, voditelj obrade je dužan bez nepotrebnog odgađanja, a najkasnije u roku od 72 sata od saznanja o povredi, obavijestiti nadležno nadzorno tijelo (Agenciju za zaštitu osobnih podataka). Ukoliko izvješće nije moguće poslati u roku od 72 sata, mora biti popraćeno objašnjenjem razloga kašnjenja.

Tijekom tog roka, voditelj obrade provodi internu istragu radi procjene rizika za prava i slobode ispitanika te poduzima potrebne mjere za sprječavanje ili umanjenje štete.

Osim nadzornog tijela, ako je povreda osobnih podataka vjerojatno povezana s visokim rizikom za prava i slobode pojedinaca, pogođene osobe obavezno se pravovremeno i jasno obavještavaju o prirodi povrede, mogućim posljedicama te mjerama koje mogu poduzeti kako bi zaštitile vlastita prava.

Voditelj obrade ima uspostavljen plan upravljanja incidentima povrede podataka koji uključuje identifikaciju, dokumentiranje, izvještavanje i korektivne mjere.

Ova pravila osiguravaju brzu, transparentnu i učinkovitu reakciju koja štiti prava ispitanika i smanjuje štetu od povreda osobnih podataka.

13. Pravni okvir

Obrada je u skladu s GDPR-om, Zakonom o zaštiti osobnih podataka, Zakonom o zdravstvenoj zaštiti i Zakonom o zaštiti prava pacijenata.

Posljednje ažuriranje: 14. listopada 2025.