Zaštita osobnih podataka

Kako prikupljamo, koristimo i štitimo vaše osobne podatke.

1. Odgovorna osoba (voditelj obrade)

Za obradu vaših osobnih podataka odgovoran je nositelj stranice BrziPregled.hr.

Naziv: techmg GmbH
Adresa: Auf der Eierwiese, 3 a, 82031, Grünwald, Njemačka
PDV broj (VAT): DE361239022

2. Pregled podataka koje prikupljamo

BrziPregled u pravilu ne zahtijeva registraciju za osnovno korištenje (pretraga ustanova i liječnika). Međutim, određene funkcionalnosti prikupljaju osobne podatke koje dobrovoljno unesete:

Tehnički podaci o posjeti (IP adresa, tip preglednika, operativni sustav) — prikuplja web poslužitelj u svrhu sigurnosti i ispravnog rada usluge
Lokacijski podaci — samo ako korisnik eksplicitno dopusti pristup lokaciji u pregledniku; koriste se isključivo lokalno i ne šalju se na naše poslužitelje
Podaci o korištenju (posjećene stranice, pretrage) — putem alata Google Analytics (v. točku 3.)
Podaci partnera — ako se zdravstvena ustanova prijavi u partnerski program (v. točku 5.)
Podaci o recenzijama — ako pacijent ostavi recenziju o ustanovi (v. točku 6.)
Booking podaci — ako pacijent rezervira termin kroz booking sustav na stranici partnerske ustanove (v. točku 5.)

Pravna osnova za tehničke podatke: Legitimni interes voditelja obrade (čl. 6. st. 1. t. f) GDPR-a) — poboljšanje i sigurnost usluge. Tehnički podaci čuvaju se najdulje 14 mjeseci, nakon čega se automatski brišu.

Pravne osnove i rokovi čuvanja za ostale kategorije navedeni su u pripadajućim odjeljcima ispod.

3. Google Analytics

Ova stranica koristi Google Analytics 4 (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, SAD) kako bismo razumjeli kako korisnici koriste uslugu i mogli je poboljšavati.

Google Analytics postavlja kolačiće (cookies) i prikuplja podatke poput IP adrese (koja se anonimizira prije pohrane), podataka o pregledniku, uređaju i ponašanju na stranici. Ti podaci se obrađuju na Googleovim poslužiteljima, uključujući poslužitelje u SAD-u. Prijenos podataka u SAD odvija se na temelju standardnih ugovornih klauzula EU Komisije.

Pravna osnova: Privola (čl. 6. st. 1. t. a) GDPR-a, u vezi s čl. 100. Zakona o elektroničkim komunikacijama). Google Analytics se učitava tek nakon što ga prihvatite kroz traku za kolačiće — ako odaberete „Samo nužni", podaci se ne prikupljaju. Privolu možete u svakom trenutku povući brisanjem podatka cookie-consent u postavkama preglednika ili klikom na vezu „Postavke kolačića" u podnožju.

Prikupljanje podataka putem Google Analyticsa možete onemogućiti instalacijom Google Analytics Opt-out Browser Add-on. Više informacija o tome kako Google obrađuje podatke dostupno je na policies.google.com/privacy.

3a. Kolačići i privola

Prilikom prvog posjeta BrziPregled.hr prikazuje se obavijest o kolačićima s tri jednako vidljive opcije:

"Samo nužni" — Google Analytics se ne učitava i nikakvi opcionalni kolačići se ne postavljaju. Stranica funkcionira normalno.
"Postavke" — detaljan prikaz kategorija s pojedinačnim prekidačima. Svaki prekidač je isključen po zadanom (sukladno čl. 4.11. GDPR-a, pristanak mora biti aktivan čin, pre-tikani okviri nisu valjani — CJEU Planet49 C-673/17).
"Prihvaćam sve" — omogućuje sve trenutno aktivne opcionalne kategorije (analitika); identično odabiru svih prekidača u "Postavkama".

Kategorije kolačića:

Nužni (uvijek aktivni) — autentifikacija, sigurnost, osnovna funkcionalnost (admin/partner login session, anti-CSRF). Bez ovih stranica ne radi; pravno temelj je legitimni interes (čl. 6.1.f).
Analitika (opt-in) — Google Analytics 4. Detalji u točki 3.
Marketing (opt-in, trenutno NE aktiviran) — pripremljeno za buduće marketinške kolačiće (npr. Facebook Pixel, Google Ads remarketing). Sve dok nisu aktivirani, vaš izbor se sprema ali nema učinka. Čim se aktiviraju, vaš postojeći izbor se odmah primjenjuje bez ponovnog promptanja.

Odabir se sprema lokalno u pregledniku (localStorage.cookie-consent, JSON format v2: {v:2, necessary:true, analytics:bool, marketing:bool, ts}). Možete ga u bilo kojem trenutku promijeniti putem linka "Postavke kolačića" u podnožju stranice, ili brisanjem podataka stranice u postavkama preglednika. Legacy v1 zapisi ('accepted'/ 'rejected') iz prijašnjeg modela i dalje se ispravno čitaju.

Što prikupljamo kad prihvatite:

Posjećene stranice i vrijeme provedeno na njima
Klikove na telefon, web stranicu ustanove i kartu
Pretrage i korištene filtere
Podatke o uređaju i pregledniku (anonimno)

IP anonimizacija: Google Analytics 4 automatski anonimizira IP adrese prije pohrane. To znači da se vaša točna IP adresa ne pohranjuje na Googleovim poslužiteljima.

5. Podaci o partnerima (partnerski program)

Zdravstvene ustanove mogu se prijaviti u partnerski program na stranici /suradnja. Registracija ima dvije faze:

5.1. Prijava interesa (KORAK 1)

Ime i prezime kontakt osobe
E-mail adresa
Broj telefona (opcionalno)
Naziv ustanove
Hashirana IP adresa (za sprječavanje zlouporabe)

5.2. Aktivacija i fakturiranje (KORAK 2)

Naziv pravnog subjekta
OIB
Status PDV obveznika
Adresa sjedišta (ulica, grad, poštanski broj)
E-mail za primanje računa
Lozinka za partnerski dashboard (sprema se hashirana — scrypt; nikad u izvornom obliku)
Vrijeme i verzija prihvaćenih uvjeta suradnje + DPA-a
Skenirani dokument o registraciji ustanove (PDF/JPG/PNG, max 10 MB) — izvod iz sudskog registra, obrtnica, OIB potvrda ili rješenje Ministarstva zdravstva. Koristi se isključivo za jednokratnu provjeru ovlasti, čuva se šifrirano u bazi i briše nakon admin odluke (odobravanje ili odbijanje prijave).
Postavke vidljivosti i booking sustava (badge da/ne, način rezervacija, radno vrijeme, trajanje slota)

5.3. Booking podaci (prikupljaju se kada pacijent rezervira termin na stranici partnerske ustanove):

Ime i prezime pacijenta
E-mail adresa
Broj telefona
Vrijeme termina
Opcionalna napomena (logistička — bez zdravstvenih podataka)
Hashirana IP adresa (rate-limit, briše se nakon 14 mjeseci)

Bitno o naravi podataka: booking forma nije dizajnirana za prikupljanje simptoma, dijagnoza ni lijekova, a tehnički filter odbija unos s tipičnim medicinskim ključnim riječima. Međutim, sama činjenica rezervacije termina kod konkretnog zdravstvenog djelatnika može, ovisno o kontekstu, otkriti podatak koji se odnosi na zdravlje ispitanika u smislu čl. 4. st. 15. i Uvodne izjave 35. GDPR-a. Booking obradu stoga tretiramo kao obradu posebne kategorije podataka iz čl. 9. GDPR-a, uz odgovarajuću pravnu osnovu opisanu niže.

Uloge u obradi i pravne osnove:

Voditelj obrade booking podataka pacijenta: partnerska zdravstvena ustanova (zdravstveni djelatnik obvezan profesionalnom tajnom po Zakonu o liječništvu i Zakonu o zdravstvenoj zaštiti). Ona određuje svrhu obrade (organizacija i pružanje zdravstvene usluge) i ima neposredan ugovorni odnos s pacijentom.
Pravna osnova partnera prema pacijentu: izvršenje ugovora o pružanju zdravstvene usluge (čl. 6. st. 1. t. b) GDPR-a) za opće osobne podatke; pružanje zdravstvene zaštite i upravljanje zdravstvenom skrbi (čl. 9. st. 2. t. h) GDPR-a u vezi s čl. 9. st. 3. — obrada pod nadzorom zdravstvenog djelatnika obveznog na čuvanje profesionalne tajne) za eventualne zdravstvene podatke.
Izvršitelj obrade: techmg GmbH (BrziPregled.hr) — obrađuje booking podatke isključivo prema dokumentiranim uputama partnera, sukladno ugovoru o obradi iz čl. 28. GDPR-a (Partner DPA — potpisan prije aktivacije BookingWidget-a).
Obrada u ime partnera: booking podatke pacijenta (uključujući potvrde i podsjetnike) BrziPregled.hr obrađuje isključivo kao izvršitelj po dokumentiranim uputama partnera (čl. 28. GDPR-a); pravnu osnovu te obrade osigurava partner kao voditelj (čl. 9. st. 2. t. h) — pružanje zdravstvene skrbi). BrziPregled.hr za te podatke nema vlastitu samostalnu pravnu osnovu.
Vlastiti legitimni interes platforme (čl. 6. st. 1. t. f) GDPR-a) — ograničeno na tehničke i sigurnosne podatke nužne za rad sučelja i sprječavanje zlouporabe (hashirana IP adresa, rate-limiting), ne na sadržaj rezervacije.
Zakonska obveza (čl. 6. st. 1. t. c) GDPR-a) — za fakturacijske podatke partnera (OIB, adresa) sukladno Zakonu o računovodstvu i Općem poreznom zakonu.

Tehnički filter ključnih riječi u napomeni je mjera minimizacije izloženosti (čl. 25. GDPR-a — privacy by design), a ne pravna osnova obrade. Pravo na prigovor (čl. 21.) i pravo na brisanje (čl. 17.) ostvarujete kod partnera-voditelja obrade, ili kod nas kao izvršitelja koji će zahtjev proslijediti partneru u skladu s DPA-om.

Rokovi čuvanja:

Prijave bez aktivacije (KORAK 1 dovršen, KORAK 2 ne): 12 mjeseci od zaprimanja, zatim brisanje
Odbijene prijave: cijeli zapis briše se nakon 24 mjeseca od odluke o odbijanju
Skenirani dokument o registraciji (KORAK 2): briše se odmah nakon odluke admina (odobrenje ili odbijanje); ako pregled traje, najkasnije nakon 6 mjeseci od slanja
Aktivni partneri: tijekom trajanja suradnje + rokovi propisani zakonom
Fakturacijski podaci (OIB, računi): čuvaju se sukladno primjenjivim poreznim i računovodstvenim propisima izdavatelja računa (Njemačka — §147 AO / §257 HGB) i primatelja (RH — čl. 82. Općeg poreznog zakona), do isteka dužeg roka
Booking podaci pacijenata: 5 godina od termina (zaštita od pravnih prigovora pacijenata ili ustanove)

6. Recenzije pacijenata

Pacijenti mogu ostaviti recenziju na stranici ustanove. Prilikom slanja recenzije prikupljamo:

Ime autora (opcionalno — možete ostaviti prazno)
Ocjenu (1–5 zvjezdica)
Tekst recenzije
Specijalnost i vrijeme čekanja (opcionalno)
Hashiranu IP adresu (za sprječavanje spama; maksimalno 3 recenzije dnevno po IP adresi)

Pravna osnova: Privola (čl. 6. st. 1. t. a) GDPR-a) — slanjem recenzije dobrovoljno dijelite te podatke s javnošću. Recenzije su javne i prikazuju se na stranici ustanove.

Rok čuvanja: Dok ne zatražite brisanje (ili dok BrziPregled posluje).

7. Podizvršitelji obrade

Za pružanje usluge koristimo sljedeće podizvršitelje obrade (čl. 28. GDPR-a):

Render.com (Render Services, Inc., SAD) — hosting web aplikacije i baze podataka (PostgreSQL). Prijenos u SAD temelji se na standardnim ugovornim klauzulama EU Komisije.
Resend (Resend, Inc., SAD) — slanje transakcijskih e-mailova (magic link za aktivaciju partnerstva, welcome poruke, potvrde rezervacija). Email payload data routira se kroz Resend-ovu eu-west-1 (Ireland) regiju, pa sadržaj poruka ostaje u EU. Prijenos meta-podataka u SAD (operativni logovi) temelji se na standardnim ugovornim klauzulama.
Google LLC (SAD) — Google Analytics 4 (v. točku 3.).
Anthropic PBC (SAD) — generiranje opisa zdravstvenih ustanova, opisa pojedinačnih liječnika i blog sadržaja putem modela Claude. Obrađuju se javno dostupni metapodaci o liječnicima (ime, akademska titula, specijalizacija, ime radnog mjesta, registracijska komora). Ne obrađuju se podaci pacijenata ni unosi iz forme za rezervaciju. U Anthropic Console-u zatražena je opcija isključenja korištenja podataka za treniranje modela ("Zero Data Retention"), čija se aktivacija provjerava kvartalno. Anthropic, PBC sudjeluje u EU-US Data Privacy Framework-u, na osnovi čega je prijenos u SAD zakonit (čl. 45. GDPR-a — odluka o adekvatnosti). Dodatno se primjenjuju standardne ugovorne klauzule EU Komisije kao supsidijarni mehanizam.
Apify s.r.o. (Češka, EU) — automatizirani scraping javno objavljenih podataka (komorski imenici, Google Maps poslovni profili, OpenStreetMap, javne stranice ustanova) radi održavanja indeksa ustanova i liječnika. Ne obrađuju se podaci pacijenata. Sjedište u EU — bez međunarodnog prijenosa.
Stripe (Stripe Payments Europe, Ltd., Irska, EU; uz fallback obradu Stripe, Inc., SAD) — obrada naplate za partnerski program (računi za rezervacije i isticanje ustanove, prema dogovorenim uvjetima). Obrađuju se isključivo poslovni podaci partnera (naziv, OIB, adresa, e-mail, iznos), ne podaci pacijenata. Prijenos prema Stripe, Inc. (SAD) temelji se na EU-US Data Privacy Framework-u (čl. 45. GDPR-a) i standardnim ugovornim klauzulama.

Sa svakim sub-procesorom u tablici iznad sklapamo ili aktiviramo Ugovor o obradi (čl. 28. GDPR-a) — bilo potpisivanjem službenog DPA template-a kroz njihovu kontrolnu ploču, bilo putem standardnih ugovornih klauzula EU Komisije ako vlastiti template ne nude. Postupak aktivacije, kao i provjera trenutnih lokacija obrade (EU/SAD/itd.), kvartalno se revidira. Kopiju potpisanog DPA-a za bilo kojeg sub-procesora možete zatražiti na info@brzipregled.hr.

7a. Podaci o zdravstvenim djelatnicima

BrziPregled.hr prikazuje profesionalne podatke o zdravstvenim djelatnicima (liječnicima, stomatolozima, fizioterapeutima, psiholozima, ljekarnicima i medicinskim sestrama) na stranicama /lijecnik/[ime] i pripadajućim direktorijima.

Koji se podaci prikazuju: ime i prezime, akademska/profesionalna titula, profesija, specijalnost, ustanova u kojoj djelatnik radi (kad je poznata), grad, javno objavljeni kontakt podaci ustanove (telefon, web-stranica) te broj registracije u nadležnoj komori. Ne prikazuju se osobne adrese, OIB-i niti drugi podaci koji ne pripadaju profesionalnoj sferi.

Izvori podataka:

Javni registri komora — Hrvatska liječnička komora (HLK), Hrvatska komora dentalne medicine (HKDM), Hrvatska psihološka komora (HPK), Hrvatska ljekarnička komora (HLJK)
Registar ugovornih pružatelja primarne zdravstvene zaštite Hrvatskog zavoda za zdravstveno osiguranje (HZZO)
Registar Hrvatskog zavoda za javno zdravstvo (HZJZ)
Javni nazivi privatnih ordinacija (OpenStreetMap, podaci obrtnog/trgovačkog registra), iz kojih se može zaključiti ime nositelja djelatnosti

Pravna osnova obrade: Legitimni interes (čl. 6. st. 1. t. f) GDPR-a) — pružanje javnozdravstvene informacije pacijentima radi pronalaska zdravstvene zaštite. Ravnoteža interesa: prikazuju se isključivo profesionalni podaci već javno objavljeni u zakonom propisanim registrima i službenim izvorima ustanova; ne prikazuju se podaci koji bi prelazili profesionalnu sferu pojedinca. Strukturirani Legitimate Interest Assessment (LIA) sastavljen je interno i dostupan je na zahtjev putem info@brzipregled.hr.

Obavještavanje ispitanika (čl. 14. GDPR-a): Podaci su prikupljeni indirektno iz javnih komorskih imenika i službenih registara. Voditelj obrade oslanja se na iznimku iz čl. 14. st. 5. t. b) GDPR-a — individualno obavještavanje svakog od ~16.000 zdravstvenih djelatnika zahtijevalo bi neproporcionalan napor (komore ne objavljuju email adrese članova trećim stranama; postojeći javni podaci ne sadrže direktan kontakt kanal). Kao kompenzacijske mjere objavljujemo ovu javnu obavijest, prikazujemo AI Disclosure na svakoj profil-stranici te omogućujemo izravan opt-out preko forme za uklanjanje (vidi niže). Detaljan memo o oslanjanju na čl. 14.5.b dostupan je na zahtjev.

Pravo prigovora i brisanja: sukladno čl. 21. i čl. 17. GDPR-a, svaki zdravstveni djelatnik može u bilo kojem trenutku zatražiti uklanjanje svojeg profila s ove stranice. Zahtjev se može podnijeti:

Putem obrasca „Zatražite uklanjanje profila” na dnu svake profilne stranice (/lijecnik/[ime])
Slanjem e-maila na info@brzipregled.hr s naznakom „GDPR — uklanjanje profila”

Zahtjev obrađujemo u roku od najviše 30 dana. Nakon brisanja, identifikator se dodaje u internu denylistu kako profil ne bi bio ponovno dodan pri sljedećem ažuriranju podataka iz navedenih izvora. Potvrdu o brisanju šaljemo na e-mail s kojeg je zahtjev podnesen.

Komercijalna obrada: činjenica da BrziPregled.hr nudi opcionalni partnerski program za zdravstvene ustanove (/suradnja) ne mijenja osnovu obrade za pojedine zdravstvene djelatnike — profili se prikazuju jednako i bez ikakve veze s partnerskim programom; neuključeni djelatnici nisu u nepovoljnijem položaju u prikazu.

7b. AI-generirani sadržaj

Opisi ustanova i liječnika na BrziPregled.hr generirani su pomoću umjetne inteligencije (model Claude tvrtke Anthropic PBC) na temelju javno dostupnih podataka. Sukladno EU AI Act čl. 50.2, pri dnu svake takve stranice prikazujemo i kratku napomenu da je sadržaj AI-generiran.

Što ulazi u generiranje? Samo javno objavljeni metapodaci: ime i akademska titula liječnika, specijalnost, ime ustanove gdje radi, registracijska komora (HLK, HKDM, HPK, HLJK), grad. Za ustanove: naziv, tip (poliklinika/ordinacija/bolnica/dijagnostika), prisutnost HZZO ugovora i specijalnosti koje pružaju.

Što ne ulazi? Podaci pacijenata (recenzije, rezervacije, upiti) i podaci partnera (fakturacijski podaci, OIB, dokumenti za verifikaciju) nikad se ne šalju AI modelu i nikad nisu dio trening dataseta Anthropic-a.

Točnost i odgovornost. AI sadržaj je sažetak javno dostupnih izvora — može sadržavati zastarjele ili nepotpune informacije. Ako ste subjekt opisa (liječnik ili ustanova) i smatrate da je opis netočan ili ga želite ukloniti, koristite formu za zahtjev uklanjanja (GDPR čl. 16 — pravo na ispravak, čl. 17 — pravo na brisanje). Odgovaramo u roku 30 dana. Možete tražiti uklanjanje samo AI-generiranog opisa uz zadržavanje osnovnih strukturiranih podataka iz komorskog imenika, ili potpuno uklanjanje profila.

Tehnički okvir generiranja. AI prompt strogo ograničava sadržaj na neutralne faktualne sažetke iz komorskih podataka. Zabranjeni su superlativi ("najbolji", "vodeći", "vrhunski"), subjektivni atributi ("pažljiv", "iskusni", "predan"), izmišljanje godina iskustva, broja pacijenata, akademskih pozicija ili publikacija. Konkretna pravila prompta dostupna su u izvornom kodu projekta — transparentnost u svrhu povjerenja.

Automatsko odlučivanje. AI se NE koristi za donošenje odluka koje imaju pravne ili značajne učinke na pojedinca (npr. odbijanje rezervacije, cjenovni izračun, ranking partnera). Sve poslovne odluke (npr. aktivacija partnera, moderacija recenzija) donose ljudi.

8. Vaša prava

Sukladno GDPR-u imate sljedeća prava u odnosu na osobne podatke koje obrađujemo:

Pravo na pristup — zatražiti uvid u podatke koji se na vas odnose
Pravo na ispravak — zatražiti ispravljanje netočnih podataka
Pravo na brisanje („pravo na zaborav") — zatražiti brisanje podataka, osim onih koje smo dužni čuvati zakonskom obvezom (npr. računi)
Pravo na ograničenje obrade — zatražiti privremenu obustavu obrade
Pravo na prenosivost — dobiti svoje podatke u strukturiranom, strojno čitljivom formatu
Pravo na prigovor — prigovoriti obradi temeljenoj na legitimnom interesu
Pravo na opoziv privole — povući privolu u bilo kojem trenutku (npr. zatražiti brisanje recenzije koju ste poslali)

Za ostvarivanje prava javite se na info@brzipregled.hr. Odgovorit ćemo u roku od 30 dana.

Ako smatrate da se vaši podaci obrađuju protivno propisima, možete podnijeti pritužbu nadležnom nadzornom tijelu — Agenciji za zaštitu osobnih podataka (AZOP), Ulica Metela Ožegovića 16, 10000 Zagreb, azop.hr.

Partnerima koji se prijavljuju u pilot program suradnje šaljemo zasebni Ugovor o obradi osobnih podataka (DPA) prije aktivacije BookingWidget-a, sukladno čl. 28. GDPR-a.

Nazad na početnu