Политика на приватност

Општи одредби

Оваа Политика на приватност ги уредува условите и начините на кои ПЗУ Оаза Медика Илинден (во натамошниот текст: „Контролорот") собира, обработува, чува и штити лични податоци на корисниците на веб-страницата www.oazamedika.com, во согласност со Регулативата (ЕУ) 2016/679 на Европскиот парламент и на Советот (Општа регулатива за заштита на податоци - GDPR) и Законот за заштита на личните податоци на Република Северна Македонија.

Со користењето на оваа веб-страница, субјектот на личните податоци потврдува дека ги прочитал и разбрал условите содржани во оваа Политика.

Идентитет и контакт на Контролорот

ПЗУ Оаза Медика Илинден
ул. 2 бр. 105, приземје, локал 10, Илинден, Општина Илинден
Република Северна Македонија
Е-маил: pacienti@oazamedika.com
Телефон: +389 73 860 480

Категории на обработувани лични податоци

Контролорот обработува единствено лични податоци кои се нужно потребни за остварување на легитимните деловни и комуникациски цели на установата:

• Идентификациски и контактни податоци - ime и презиме, е-маил адреса, телефонски број и содржина на кореспонденција, доставени доброволно преку контактните форми на веб-страницата.
• Технички метаподатоци - IP адреса, тип на уред и прелистувач, оперативен систем, автоматски регистрирани од инфраструктурниот слој на мрежата во функција на безбедноста и испораката на дигиталната содржина.
• Агрегирани аналитички податоци - анонимизирани статистички информации за посетеноста (број на сесии, посетени патеки, географска локација на ниво на земја), обработувани исклучиво врз основа на претходно дадена слободна и информирана согласност.

Контролорот не собира, не обработува и не складира здравствени, генетски, биометриски или какви било посебни категории на лични податоци преку оваа веб-страница.

Правна основа и цели на обработката

Секоја операција на обработка на лични податоци се заснова на соодветна правна основа согласно чл. 6 од GDPR:

• Обработка на барања за запишување и општа кореспонденција - правна основа: подготовка и извршување на договор (чл. 6(1)(б)) и легитимен интерес на Контролорот (чл. 6(1)(е)).
• Аналитика на посетеност на веб-страницата - правна основа: слободно дадена, специфична, информирана и недвосмислена согласност на субјектот на податоците (чл. 6(1)(а)), манифестирана преку активно прифаќање на банерот за колачиња.
• Заштита на мрежната инфраструктура и спречување на злоупотреби - правна основа: легитимен интерес (чл. 6(1)(е)).

Употреба на колачиња (Cookies)

Веб-страницата употребува исклучиво технички нужни колачиња и, со претходна согласност, аналитички колачиња:

• om_cookie_consent - трајно колаче кое го складира изборот на корисникот во врска со согласноста за колачиња. Траење: 12 месеци.
• __cf_bm, __cflb - технички колачиња поставени од инфраструктурниот провајдер за управување со мрежниот сообраќај и заштита од автоматизирани напади. Траење: до 30 минути.
• _ga, _ga_*, _gid - аналитички колачиња за мерење на агрегираната посетеност. Активни исклучиво со согласност. Траење: до 2 години / 24 часа.

Согласноста може да се повлече во секое време преку бришење на колачињата во поставките на прелистувачот, по што аналитичките колачиња веднаш престануваат да се активираат.

Обработувачи на лични податоци и трети страни

Контролорот ангажира надворешни обработувачи на лични податоци со кои се склучени договори за обработка (Data Processing Agreements) во согласност со чл. 28 од GDPR:

• Cloudflare, Inc. - мрежна инфраструктура, DDoS митигација и испорака на содржина (CDN). Политика на приватност: cloudflare.com/privacypolicy.
• Google LLC - аналитика на посетеност преку Google Analytics, исклучиво со согласност. Трансферот кон трети земји се врши врз основа на Стандардни договорни клаузули на ЕУ. Политика: policies.google.com/privacy.
• Brevo SAS (Sendinblue) - платформа за испраќање трансакциска е-маил кореспонденција. Политика: brevo.com/legal/privacypolicy.
• GitHub, Inc. - хостирање на статичката веб-страница преку GitHub Pages. Политика: docs.github.com.

Личните податоци не се отстапуваат, не се продаваат и не се разменуваат со трети страни за комерцијални или маркетиншки цели.

Периоди на задржување на личните податоци

Контролорот ги задржува личните податоци само за периодот кој е нужно потребен за остварување на целта поради која се обработуваат, по истекот на кој истите се бришат или неповратно анонимизираат:

• Кореспонденција и барања за упис: до 12 месеци по завршување на комуникацијата или реализација на уписот.
• Аналитички податоци: 14 месеци, по истекот на кои автоматски се бришат на ниво на платформата.
• Серверски логови: до 30 дена, обработувани автоматски.

Права на субјектите на личните податоци

Согласно Поглавје III од GDPR, секој субјект на лични податоци ги поседува следните права, кои може да ги оствари без непотребно одложување:

• Право на пристап (чл. 15) - право на добивање потврда дали се обработуваат лични податоци кои се однесуваат на субјектот и пристап до тие податоци.
• Право на исправка (чл. 16) - право на исправање на неточни и дополнување на нецелосни лични податоци.
• Право на бришење (чл. 17) - право на бришење на личните податоци кога тоа е применливо согласно регулативата.
• Право на ограничување на обработката (чл. 18) - право на барање ограничување на обработката во случаи пропишани со регулативата.
• Право на преносливост на податоците (чл. 20) - право на примање на личните податоци во структуриран, машински читлив формат.
• Право на приговор (чл. 21) - право на приговор против обработката заснована на легитимен интерес, во секое време и без образложение.
• Право на повлекување на согласноста (чл. 7(3)) - каде обработката се заснова на согласност, субјектот може да ја повлече во секое време без влијание на законитоста на обработката пред повлекувањето.

Барањата за остварување на наведените права се поднесуваат на pacienti@oazamedika.com. Контролорот се обврзува да одговори во рок од 30 календарски дена од приемот на барањето.

Во случај на незадоволство, субјектот има право да поднесе претставка до надзорниот орган - Агенцијата за заштита на личните податоци на Република Северна Македонија (www.privacy.mk).

Технички и организациски мерки за безбедност

Контролорот имплементира соодветни технички и организациски мерки за заштита на личните податоци од неовластен пристап, откривање, изменување или уништување:

• Шифрирање на целокупната комуникација преку протоколот TLS 1.2/1.3 (HTTPS).
• Автентикација на е-маил комуникацијата преку SPF, DKIM и DMARC DNS-записи, со активна политика на карантин за неавтентицирани пораки.
• Заштита на мрежниот слој преку Web Application Firewall (WAF) и DDoS митигација.
• Ограничен пристап до личните податоци врз принципот на минималност на пристапот, исклучиво за овластен персонал.

Измени на Политиката на приватност

Контролорот го задржува правото периодично да ја изменува или дополнува оваа Политика на приватност во согласност со промените во применливото законодавство или внатрешните процедури. Секоја материјална измена ќе биде рефлектирана преку ажурирање на датумот „Последна измена" прикажан на врвот на оваа страница.

Препорачуваме периодична проверка на оваа страница. Продолженото користење на веб-страницата по извршените измени ќе се смета за прифаќање на ажурираната Политика.