Politika e Privatësisë

1. Hyrje

PhysioSense ("ne", "jonë"), e operuar nga Milena Orlandić, tregtare individuale, Vladimira Rolovića 2a, Bar, Mali i Zi, operon faqen e internetit physiosense.net. Kjo politikë përshkruan se si mbledhim, përdorim dhe mbrojmë të dhënat tuaja personale në përputhje me GDPR, Ligjin e Malit të Zi për Mbrojtjen e të Dhënave Personale dhe ligjet e zbatueshme për mbrojtjen e të dhënave.

PhysioSense është menduar për përdorues të moshës 16 vjeç e lart. Nëse jeni nën 16 vjeç, mund ta përdorni PhysioSense vetëm me pëlqimin e një prindi ose kujdestari ligjor.

2. Të Dhënat që Mbledhim

Të dhënat e llogarisë:

• Adresa e emailit (për autentifikim)
• Emri (për shfaqjen e profilit)
• Roli (p.sh., fizioterapeut, student)
• Numri i licencës profesionale (opsionale)
• Zgjedhja e nivelit të abonimit
• Të dhënat e pagesës (përpunohen nga Paddle — ne nuk ruajmë detajet e kartës)

Të dhënat shëndetësore (Neni 9 GDPR — kategori e veçantë):

• Të dhënat e vlerësimit shëndetësor (diagnoza, faza e rikuperimit, kohëzgjatja e simptomave, niveli i dhimbjes, statusi funksional, mosha e pacientit, gjinia, komorbiditetet, pajisjet, qëllimet, mjedisi i kujdesit)
• Rezultatet e raportuara nga pacienti (rezultatet e dhimbjes, rezultatet funksionale, progresi klinik, të dhënat e aderencës)
• Raportet e gjeneruara (përmbajtje edukative e personalizuar e bazuar në dëshmi, dokumente PDF)

Të dhënat e vlerësimit shëndetësor i referohen parametrave të skenarëve klinikë të futura nga përdoruesi për të gjeneruar raporte të bazuara në dëshmi. Këto të dhëna përshkruajnë një skenar klinik dhe mund ose nuk mund t'i korrespondojnë një pacienti aktual. PhysioSense nuk mbledh identifikues të drejtpërdrejtë të pacientit (emri, data e lindjes, adresa ose numri i identitetit kombëtar).

Përdoruesit klinicistë (fizioterapeutë, mjekë, etj.) mund të futin opsionalisht adresën e emailit dhe numrin e telefonit të pacientit gjatë pranimit. Në këtë rast PhysioSense vepron si përpunues i të dhënave në emër të klinicistit, i cili është përgjegjës për marrjen e pëlqimit të pacientit. Këto të dhëna kontakti ruhen së bashku me dosjen klinike dhe fshihen me të.

3. Si i Përdorim të Dhënat Tuaja

• Për të ofruar dhe personalizuar platformën — Kontratë, Neni 6(1)(b); Pëlqim i shprehur për të dhënat shëndetësore, Neni 9(2)(a)
• Për të përpunuar abonimet dhe pagesat — Kontratë, Neni 6(1)(b)
• Për të dërguar emaile transaksionale (konfirmim llogarie, rivendosje fjalëkalimi) — Kontratë, Neni 6(1)(b)
• Për sigurinë e platformës dhe gjurmimin e gabimeve — Interes legjitim, Neni 6(1)(f)
• Për të përmirësuar platformën bazuar në përdorimin e agreguar (me pëlqim) — Pëlqim, Neni 6(1)(a)
• Për të gjeneruar njohuri të pseudonimizuara dhe agregate nga të dhënat e rezultateve për kërkime dhe përmirësim të platformës. Zbatohet vetëm për të dhëna të pseudonimizuara pa identifikues të drejtpërdrejtë. Përdoruesit mund të heqin dorë përmes Cilësimet > Menaxhimi i Pëlqimit — Interes legjitim, Neni 6(1)(f)

4. Ruajtja dhe Siguria e të Dhënave

• Databaza dhe autentifikimi: Supabase (BE — Irlandë). Siguria e Nivelit të Rreshtit (RLS) në të gjitha tabelat.
• Strehimi i aplikacionit: Vercel (BE — Paris, cdg1). Enkriptim HTTPS/TLS, HSTS me kohëzgjatje 2-vjeçare.
• Fjalëkalimet: hash-uar përmes bcrypt (Supabase Auth). Ne kurrë nuk ruajmë fjalëkalimet në tekst të pastër.
• Kokat e sigurisë: Content-Security-Policy, X-Frame-Options (DENY për API, SAMEORIGIN për faqet), X-Content-Type-Options: nosniff, mbrojtje CSRF në të gjitha mutacionet.
• Kopjet rezervë të rezultateve: të enkriptuara dhe të ruajtura në Supabase Storage (kopje rezervë ditore).

5. Nën-Përpunuesit

Ne përdorim nën-përpunuesit e mëposhtëm për të përpunuar të dhënat tuaja:

Ne nuk shesim, japim me qira ose ndajmë të dhënat tuaja personale me palë të treta për qëllime marketingu. Marrëveshjet e Përpunimit të të Dhënave (DPA-të) janë në fuqi me të gjithë nën-përpunuesit.

5b. Cookies

Për informacion rreth cookies që përdorim, shikoni Politikën e Cookies.

5c. Transferimet Ndërkombëtare të të Dhënave

Të dhënat tuaja ruhen në BE: databaza në Irlandë (Supabase), strehimi në Paris (Vercel). Transferimi i vetëm jashtë BE-së është adresa juaj e emailit e dërguar te Resend (SHBA) për dërgesën e emaileve transaksionale, e mbrojtur nga Klauzolat Standarde Kontraktuale (SCCs) sipas Nenit 46(2)(c) GDPR. Asnjë e dhënë shëndetësore nuk transferohet jashtë BE-së.

6. Të Drejtat Tuaja (GDPR)

• Qasja (Art. 15) — shikoni të dhënat tuaja në Cilësimet
• Korrigjimi (Art. 16) — përditësoni të dhënat tuaja në Cilësimet
• Fshirja (Art. 17) — kërkoni fshirjen e llogarisë në Cilësimet > Profili
• Portabiliteti i të Dhënave (Art. 20) — shkarkoni të gjitha të dhënat tuaja në format JSON përmes Cilësimet > Eksporto të Dhënat
• Kufizimi (Art. 18) — kontaktoni privacy@physiosense.net
• Tërheqja e Pëlqimit (Art. 7(3)) — tërhiqni pëlqimin tuaj për përpunimin e të dhënave shëndetësore në çdo kohë përmes Cilësimet > Menaxhimi i Pëlqimit. Tërheqja nuk ndikon në ligjshmërinë e përpunimit të kryer përpara tërheqjes.
• Kundërshtimi (Art. 21) — kontaktoni privacy@physiosense.net
• Ankesa (Art. 77) — keni të drejtën të paraqisni ankesë pranë një autoriteti mbikëqyrës. Për Malin e Zi: AZLP, www.azlp.me. Për banorët e BE-së: DPA juaj lokale.

7. Vendimmarrja e Automatizuar

PhysioSense nuk merr vendime të automatizuara për ju. Gjenerimi i raporteve filtron dëshmitë e botuara bazuar në inputin tuaj por nuk përbën vendimmarrje të automatizuar ose profilizim sipas Nenit 22 GDPR. Të gjitha vendimet mbeten me klinicistin.

8. Ruajtja e të Dhënave

• Të dhënat e llogarisë: ndërsa llogaria është aktive. Fshirja me kërkesë përmes Cilësimeve.
• Të dhënat shëndetësore: ndërsa ekziston pëlqimi. Tërheqja e pëlqimit shkakton fshirjen.
• Raportet e gjeneruara: hiqen nga pamja e përdoruesit pas fshirjes. Të dhënat e pseudonimizuara (pa identifikues të drejtpërdrejtë të pacientit) mund të ruhen për sigurimin e cilësisë dhe kërkimin agregat. Adresa e emailit dhe disa të dhëna të llogarisë mbeten të lidhura me llogarinë dhe fshihen me të. Pas fshirjes së llogarisë, të gjitha të dhënat e identifikueshme personalisht fshihen përgjithmonë brenda 30 ditëve.
• Regjistrat e pagesave: 7 vjet (detyrim ligjor).
• Regjistrat e gabimeve: 90 ditë (fshirje automatike nga Sentry).

8b. Biblioteka e ushtrimeve — kërkesat për video HD

Nëse kërkoni një video me rezolucion të lartë nga biblioteka jonë publike e ushtrimeve, ne mbledhim adresën e emailit që jepni, gjuhën e përmbajtjes, një përfaqësim të hash-uar të adresës suaj IP (SHA-256) dhe stringun e user-agent. Nuk kërkohet llogari.

Baza ligjore: pëlqimi juaj i shprehur qartë (GDPR neni 6(1)(a)) i dhënë përmes kutisë së pëlqimit në formularin e kërkesës.

Qëllimi: t'ju dërgojmë njëherë lidhjen HD me email dhe të parandalojmë abuzimin përmes një kufizimi të thjeshtë (3 kërkesa në orë për çdo IP të hash-uar). Emaili nuk përdoret për marketing.

Afati i mbajtjes: të dhënat fshihen automatikisht 90 ditë pasi emaili është dërguar, ose 30 ditë nëse dërgimi dështon. Nuk ruajmë adresën IP të pastër — vetëm një hash me kripë që shërben për kufizimin e normës.

Të drejtat tuaja: për qasje ose fshirje të të dhënave tuaja para fshirjes automatike, na kontaktoni në privacy@physiosense.net me adresën e emailit që përdorët.

9. Ndryshimet e Politikës

Nëse bëjmë ndryshime materiale në këtë politikë, do t'ju njoftojmë me email të paktën 14 ditë përpara se ato të hyjnë në fuqi.

10. Kontakti

Për pyetje mbi privatësinë, na kontaktoni në: privacy@physiosense.net

Ne nuk kemi emëruar një Zyrtar për Mbrojtjen e të Dhënave (DPO) pasi përpunimi ynë nuk i plotëson pragun sipas Nenit 37 GDPR.

Ne përgjigjemi brenda 30 ditëve në përputhje me kërkesat e GDPR.

PhysioSense — Milena Orlandić, tregtare individuale, Vladimira Rolovića 2a, Bar, Mali i Zi