GDPR & EHDS 2026 usklađenost

Tehnička i pravna zaštita podataka na nivou medicinskih ustanova.

Posljednja izmjena: Juni 2026.

AXOTIA je projektovana od temelja uz puno poštovanje GDPR-a (Uredba EU 2016/679) i nadolazećeg Europskog prostora zdravstvenih podataka (EHDS), koji stupi na snagu 2026. Ova stranica detaljno opisuje tehničke i pravne mjere kojima osiguravamo zaštitu osjetljivih medicinskih podataka na nivou koji se zahtijeva od medicinskih ustanova.

1. Geografska i pravna lokalizacija (EU Sovereignty)

Kompletna primarna infrastruktura i rezervne kopije podataka (backup) nalaze se isključivo unutar AWS EU-Central-1 zone (Frankfurt, Njemačka). Podaci su pod jurisdikcijom Europske unije i pohranjeni na infrastrukturi koja posjeduje sljedeće sertifikate:

  • ISO 27001 — upravljanje sigurnošću informacija.
  • ISO 27018 — zaštita osobnih podataka u cloud okruženju.
  • HDS (Health Data Hosting) — certifikat za hosting zdravstvenih podataka.

2. Podjela pravnih uloga i DPA (Član 28 GDPR)

  • Vaša stomatološka ordinacija zadržava ekskluzivni status Rukovaoca podacima (Data Controller).
  • AXOTIA platforma funkcioniše striktno kao Obrađivač podataka (Data Processor).
  • Prihvatanjem ovih uslova automatski se zaključuje naš Ugovor o obradi podataka (DPA) usklađen sa standardnim ugovornim klauzulama (SCCs) Europske komisije.

3. Enkripcija i izolacija zdravstvenih podataka (Član 9 GDPR)

  • Medicinski kartoni i rendgenski snimci (DICOM format) kriptirani su u mirovanju algoritmom AES-256-GCM, dok se u prenosu koristi TLS 1.3.
  • Arhitektura sistema koristi logičku izolaciju baza podataka na nivou zakupca (Row-Level Security / PostgreSQL Schema Isolation) unutar AWS-a — čime se u potpunosti sprječava miješanje ili curenje podataka između različitih ordinacija.

4. Automatizovano ostvarivanje prava pacijenata

  • Pravo na prenosivost (Član 20): jednoklikni izvoz kompletnog kartona pacijenta u strukturiranom, mašinski čitljivom formatu (JSON / FHIR).
  • Pravo na zaborav (Član 17): trajno i nepovratno kriptografsko brisanje podataka (Crypto-Shredding) sa svih produkcijskih servera i automatsko uklanjanje iz backup arhiva u roku od 30 dana.

5. Nadzorno tijelo i pritužbe

Ukoliko smatrate da obrada vaših podataka nije u skladu s GDPR-om, imate pravo podnijeti pritužbu nadležnom nadzornom tijelu za zaštitu podataka u vašoj zemlji. Relevantna tijela uključuju:

  • BiH: Agencija za zaštitu ličnih podataka (AZLP)
  • Hrvatska: Agencija za zaštitu osobnih podataka (AZOP)
  • Srbija: Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti
  • EU zemlja: nadležno nadzorno tijelo prema Članu 77 GDPR-a

6. Kontakt za zaštitu podataka

Za sva pitanja vezana za obradu podataka, ostvarivanje prava ili usklađenost s GDPR-om, obratite nam se na: hello@axotia.com

Na sve zahtjeve u vezi sa zaštitom podataka odgovaramo u roku od 30 dana, u skladu s rokovima propisanim GDPR-om.