Ochrana osobních údajů


I. Ochrana osobních údajů – Svět rovnátek

1. Společnost Svět rovnátek s.r.o., IČO 18627218, se sídlem Nad Vršovskou horou 1423/10, Michle, 101 00 Praha 10 (dále jen „Svět rovnátek“), je poskytovatelem zdravotních služeb dle § 11 zákona č. 372/2011 Sb., o zdravotních službách. Kontaktní údaje společnosti jsou: info@svetrovnatek.cz, tel: 220 910 920. Svět rovnátek ve vztahu k pacientům, obchodním partnerům, svým zaměstnancům i uchazečům o zaměstnání vystupuje v pozici správce osobních údajů ve smyslu nařízení GDPR, není-li dále stanoveno jinak.

2. Termíny jako nařízení GDPR, správce, osobní údaje, subjekt údajů a další jsou vysvětleny níže.

3. Svět rovnátek zavedl za účelem ochrany zpracovávaných osobních údajů komplexní compliance program, který zajišťuje zákonnost a bezpečnost zpracování. Součástí compliance programu jsou mj. interní předpisy společnosti, záznamy o činnostech zpracování (ve smyslu čl. 30 nařízení GDPR), skartační plány, informační dokumenty pro subjekty údajů, jakož i závazná podniková pravidla (tzv. Binding Corporate Rules – BCR) společnosti Align Technology, Inc. platná pro skupinu Align, s níž Svět rovnátek spolupracuje, a provedené posouzení vlivu na ochranu osobních údajů (ve smyslu čl. 35 nařízení GDPR).

II. Osobní údaje pacientů a zákazníků

1. Pokud jste pacientem Světa rovnátek nebo se jím chcete stát – objednáte se na úvodní konzultaci, zpracovává o Vás Svět rovnátek řadu osobních údajů, z nichž některé mohou tvořit tzv. zvláštní kategorii osobních údajů (dříve také „citlivé údaje“), a to zejména údaje o Vašem zdravotním stavu.

2. V případě žádosti o úvodní konzultaci (objednání on-line, telefonicky, e-mailem či na pobočce) zpracovává Svět rovnátek Vaše jméno, přímení, e-mail a telefonní číslo. Na úvodní konzultaci Vám bude předložen k vyplnění anamnestický dotazník obsahující některé údaje o Vašem zdravotním stavu, bude vytvořen sken Vašeho chrupu, simulace možného výsledku léčby a případně také fotografie Vašeho obličeje. Tyto osobní údaje jsou Světem rovnátek zpracovávány za účelem uzavření smlouvy o poskytování zdravotních služeb a v případě jejího uzavření budou coby součást Vaší zdravotnické dokumentace dále zpracovávány, jak je popsáno níže. Pokud smlouvu o poskytování zdravotních služeb neuzavřete, budou Vaše osobní údaje v rozsahu, v jakém je Svět rovnátek ze zákona povinen vést o úvodním vyšetření zdravotnickou dokumentaci, zpracovávány po dobu vyžadovanou zákonem, a v ostatním rozsahu budou vymazány ve lhůtě 5 let. Vaše kontaktní údaje (jméno, přímení, e-mail, telefonní číslo) bude Svět rovnátek pro případ vyžádání další bezplatné konzultace evidovat po dobu 5 let a následně budou smazány, a to i v případě, že se na úvodní konzultaci objednáte, avšak nedostavíte se. Právním důvodem tohoto zpracování je provedení opatření před uzavřením smlouvy, o jejichž provedení pacient požádal, a oprávněné zájmy Světa rovnátek (ochrana pro případ sporu a zájem na minimalizaci počtu opakovaných bezplatných konzultací).

3. V případě zájmu o ortodontickou léčbu vyplníte dokument „Informovaný souhlas pacienta s ortodontickou léčbou“, který je zároveň smlouvou mezi Vámi a Světem rovnátek o poskytnutí ortodontické léčby, na základě které se stáváte pacientem Světa rovnátek. Svět rovnátek jako správce vede evidenci pacientů a zdravotnickou dokumentaci pacientů v souladu s příslušnými právními předpisy, zejména zákonem č. 372/2011 Sb., o zdravotních službách, a vyhláškou č. 98/2012 Sb., o zdravotnické dokumentaci, a dalšími předpisy, kterými je Svět rovnátek povinen se řídit.

4. Osobní údaje pacientů Svět rovnátek zpracovává v nezbytném rozsahu podle rozsahu poskytovaných zdravotních služeb, a to zejména:

  • identifikační údaje,
  • adresní údaje,
  • kontaktní údaje,
  • platební údaje,
  • údaje o zdravotním stavu a lékařské záznamy, včetně např. rentgenových snímků, zpráv, grafů, anamnéz, fotografií, nálezů, sádrových modelů, otisků zubů, intraorálních snímků, předpisů, diagnóz, lékařských testů, výsledků testů, simulací apod.,
  • další údaje nezbytné pro stanovené účely zpracování (viz níže).

5. Tyto osobní údaje Svět rovnátek zpracovává za účelem uzavírání a plnění příslušné smlouvy uzavřené s pacientem, vedení zdravotnické dokumentace dle právních předpisů, vedení účetnictví společnosti, ochranu práv společnosti. Právním důvodem (slovy nařízení GDPR) zpracování těchto osobních údajů je plnění smlouvy, plnění právních povinností Světa rovnátek a ochrana oprávněných zájmů Světa rovnátek.

6. Svět rovnátek je na území České republiky největším poskytovatelem rovnátek Invisalign poskytovaných a vyráběných ve spolupráci Světa rovnátek se společnostmi ze skupiny Align Group. Svět rovnátek proto poskytuje osobní údaje pacientů ortodonticky léčených pomocí aparátů Invisalign v nezbytném rozsahu členům skupiny Align Group coby zpracovatelům, a to i do třetích zemí, za účelem plnění smlouvy o poskytování zdravotních služeb uzavřené mezi Světem rovnátek a těmito pacienty. Svět rovnátek poskytuje členům skupiny Align Group zejména tyto osobní údaje: jméno a příjmení pacienta, číslo pacienta, skeny chrupu, rentgenové snímky, fotografie obličeje, fotografie zubů, simulace léčby. Členové skupiny Align Group postupují při zpracování osobních údajů v souladu se závaznými podnikovými pravidly Align Technology schválenými příslušným dozorovým úřadem („Binding Corporate Rules“), která jsou dostupná na http://investor.aligntech.com/static-files/0edae72f-8ae5-4891-afe0-dae10506d08b, čímž poskytují dostatečné a vhodné záruky ochrany poskytovaných osobních údajů i ve třetích zemích.

7. Svět rovnátek také zaznamenává e-mailovou a telefonickou komunikaci pacientů se společností za účelem plnění smlouvy uzavřené s pacientem a ochrany oprávněných zájmů společnosti a vede evidenci pacientů v rámci účetní a právní agendy společnosti za účelem plněních povinnosti uložených společnosti právními předpisy, plnění smlouvy uzavřené s pacientem a ochrany oprávněných zájmů společnosti.

8. Osobní údaje pacientů v rámci komunikace s pacienty a evidence pacientů jsou uchovávány po dobu 5 let od posledního poskytnutí zdravotní služby pacientovi. Tato lhůta platí i pro osobní údaje zpracovávané v rámci zdravotnické dokumentace při následném poskytování zdravotních služeb, ledaže příslušné předpisy vyžadují lhůty delší.

9. Pokud o to požádáte, předá Svět rovnátek Vaše kontaktní údaje společnosti J&T Leasingová společnost, a.s. za účelem oslovení s nabídkou financování nákladů na Vaši léčbu. S těmito osobními údaji pak tato společnost nakládá dle vlastních zásad, které jsou dostupné na internetových stránkách společnosti www.jtleasing.cz.

III. Osobní údaje obchodních partnerů a jejich kontaktních osob

1. Svět rovnátek zpracovává osobní údaje svých obchodních partnerů, jako jsou například dodavatelé materiálu, úklidových služeb, energií, pronajímatelé obchodních prostor, poskytovatelé IT služeb atd. V rámci těchto obchodních vztahů Svět rovnátek zpracovává osobní údaje obchodního partnera, pokud je fyzickou osobou, a osobní údaje dalších osob, s nimiž se Svět rovnátek v rámci smluvního vztahu s partnerem setkává, tj. zejména statutárních orgánů či členů statutárních orgánů partnerů, kontaktních osob partnerů či jiných osob jednajících za partnera. Osobní údaje těchto subjektů Svět rovnátek jako správce zpracovává za účelem uzavření a plnění smlouvy s partnerem, vedení účetnictví Světa rovnátek či plnění jiných povinností Světa rovnátek a za účelem ochrany Světa rovnátek zejm. pro případy vymáhání plnění povinností a sporů, a to v rozsahu:

  • identifikační údaje,
  • kontaktní údaje.

2. Právním důvodem (slovy nařízení GDPR) zpracování těchto osobních údajů je plnění smlouvy, plnění právních povinností Světa rovnátek a ochrana oprávněných zájmů Světa rovnátek.

3. Osobní údaje obchodních partnerů a jejich kontaktních osob jsou uchovávány po dobu 4 let od ukončení smluvního vztahu.

IV. Osobní údaje uchazečů o zaměstnání

1. V případě, že se chcete stát zaměstnancem Světa rovnátek a zašlete nám e-mailem Váš životopis a motivační dopis, případně další dokumenty související s výběrovým řízením, bude Svět rovnátek po dobu trvání výběrového řízení zpracovávat osobní údaje v těchto dokumentech a e-mailové komunikaci obsažené.

2. V případě nepřijetí do pracovněprávního poměru budou Vaše osobní údaje nejpozději do 1 roku vymazány, ledaže požádáte o další uchování těchto osobních údajů za účelem účasti v dalším výběrovém řízení.

3. Účelem zpracování osobních údajů uchazečů o zaměstnání je realizace výběrového řízení, do něhož je subjekt údajů (uchazeč) na vlastní žádost zapojen. Právní důvodem je provedení opatření před uzavřením smlouvy přijatých na žádost subjektu údajů.

V. Kamerové systémy

1. Svět rovnátek provozuje bezpečnostní kamerový systém (bez zvukového záznamu) monitorující vymezené prostory společnosti, a to za účelem ochrany majetku společnosti, bezpečnosti osob vstupujících do prostor společnosti a ochrany jejich majetku a zdraví a kontroly plnění hygienických předpisů a příslušných norem vzhledem k povaze provozu.

2. Záznamy z bezpečnostních kamer se uchovávají po dobu 7 dnů, není-li stanoveno jinak, a po uplynutí této doby jsou automaticky vymazány. Právním důvodem zpracování je oprávněný zájem společnosti dle čl. 6 odst. 1 písm. f) nařízení GDPR.

VI. Příjemci osobních údajů

3. Svět rovnátek předává osobní údaje níže uvedeným příjemcům – zpracovatelům či správcům. Seznam příjemců společnost pravidelně aktualizuje.

4. Svět rovnátek jako správce využívá pro zpracování osobních údajů pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky nařízení GDPR a jiných právních předpisů, zásady bezpečnosti zpracování Světa rovnátek a aby byla zajištěna ochrana práv subjektů údajů.

5. Příjemci osobních údajů

  • ROD, a.s.,
  • Align Technology
  • Voksys, s.r.o. (IT služby),
  • Infinity energy, s.r.o. (Xdent),
  • Freshworks, Inc.,
  • Google Ireland Limited
  • Asseco Solutions, a.s. (Helios)
  • Facebook
  • Devire, s.r.o.
  • LMC, s.r.o.
  • V nezbytných případech mohou být osobní údaje v nezbytném rozsahu předávány právním poradcům společnosti.

VII. Práva subjektů údajů

1. Každá osoba, jejíž osobní údaje společnost zpracovává, má v souvislosti s ochranou osobních údajů zejména následující práva vyplývající z nařízení GDPR. K nim jsou níže v odst. 2 až 8 uvedeny zásady postupu společnosti a zaměstnanců při uplatnění práv subjektem, týká-li se uplatnění takových práv osobních údajů zpracovávaných společností jako správcem. Výkon některých práv subjektů údajů může být v souladu s právními předpisy přiměřeně omezen právy jiných osob.

2. Pokud subjekt údajů udělili souhlas se zpracováním svých osobních údajů, má právo jej kdykoli odvolat.

  • Odvolat souhlas se zpracováním osobních údajů musí být stejně snadné, jako ho poskytnout. Souhlas lze odvolat písemně i prostřednictvím e-mailu v jakékoli formě dostatečně prokazující osobu subjektu údajů. Byl-li souhlas udělen telefonicky, lze jej odvolat i telefonicky.
  • Odvolání souhlasu je třeba vždy vyhovět a údaje zpracovávané na základě souhlasu dále nijak nezpracovávat a vymazat.
  • Odvoláním souhlasu není dotčeno zpracování osobních údajů probíhající na základě jiných právních důvodů, než je souhlas, zejména pro plnění smlouvy, jejíž stranou je subjekt údajů, nebo plnění právních povinností správce. Údaje zpracovávané na základě těchto jiných právních důvodů se následkem odvolání souhlasu nevymazávají.


Právo na přístup k osobním údajům

3. Subjekt údajů má právo požadovat po správci, aby mu sdělil, zda zpracovává jeho osobní údaje. Pokud ano, má subjekt právo tyto osobní údaje a informace o zpracování od správce obdržet v rozsahu: účely zpracování, kategorie dotčených os. údajů, příjemci nebo kategorie příjemců os. údajů, plánovaná doba, po kterou budou os. údaje uloženy, nebo kritéria pro její stanovení, existence práva požadovat od správce opravu nebo výmaz os. údajů (viz níže), právo podat stížnost u ÚOOÚ, informace o zdroji os. údajů, skutečnost, že dochází k automatizovanému rozhodování nebo profilování. Jsou-li některé osobní údaje žadatele předávány do 3. zemí, má právo být informován o vhodných zárukách dle čl. 46 GDPR. Zaměstnanec, který žádost obdržel, ji předá pověřenému zaměstnanci s oprávněným přístupem k osobním údajům žadatele. Ten ověří, zda společnost zpracovává osobní údaje žadatele a zda se žadatel jeví být tou osobou, jíž se zpracovávané osobní údaje týkají. Pokud ano, poskytne žadateli informace o zpracování jeho osobních údajů.


Právo na přenositelnost osobních údajů

4. Subjekt údajů má právo získat své osobní údaje, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, a to v případě, že se zpracování provádí automatizovaně a je založeno na souhlasu subjektu nebo je nezbytné pro plnění smlouvy. Rovněž má právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné. Zaměstnanec, který žádost obdržel, ji předá pověřenému zaměstnanci s oprávněným přístupem k osobním údajům žadatele. Ten ověří, zda společnost zpracovává osobní údaje žadatele a zda se žadatel jeví být tou osobou, jíž se zpracovávané osobní údaje týkají. Pokud ano, předá žádost k vyřízení pověřenému pracovníkovi IT oddělení, který ve strukturovaném, běžně používaném a strojově čitelném formátu předá žadateli nebo na žádost žadatele jinému správci.


Právo na opravu osobních údajů

5. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů. Žádost o opravu osobních údajů zpracovávaných společností předá zaměstnanec, který ji obdržel, pověřenému zaměstnanci s oprávněným přístupem k osobním údajům žadatele. Ten ověří, zda společnost zpracovává osobní údaje žadatele a zda se žadatel jeví být tou osobou, jíž se zpracovávané osobní údaje týkají. Pokud ano, opraví nebo doplní zpracovávané osobní údaje žadatele dle žádosti. Doplnění osobních údajů žadatele o nové osobní údaje na základě žádosti je možné pouze tehdy, pokud zpracování takových nových údajů odpovídá účelu zpracování. O opravě nebo doplnění osobních údajů společnost žadatele vyrozumí.


Právo na výmaz osobních údajů (právo být zapomenut)

6. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se ho týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud:

  • již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, nebo
  • subjekt vznesl námitky proti zpracování podle čl. 21 odst. 1 nařízení a neexistují žádné převažující oprávněné důvody pro zpracování, nebo
  • osobní údaje subjektu byly zpracovány protiprávně, nebo
  • osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo České republiky.

Žádost o výmaz osobních údajů zpracovávaných společností předá zaměstnanec, který ji obdržel, pověřenému zaměstnanci s oprávněným přístupem k osobním údajům žadatele. Ten ověří, zda společnost zpracovává osobní údaje žadatele a zda se žadatel jeví být tou osobou, jíž se zpracovávané osobní údaje týkají. Pokud ano a je-li dána některá z podmínek pro výmaz osobních údajů žadatele (viz a) až d) výše), osobní údaje vymaže.


Právo na výmaz osobních údajů (právo být zapomenut)

7. Subjekt údajů má právo na to, aby správce omezil zpracování, pokud:

  • subjekt popírá přesnost zpracovávaných osobních údajů, a to na dobu potřebnou k ověření přesnosti osobních údajů, nebo
  • zpracování osobních údajů je protiprávní, ale subjekt odmítá výmaz a žádá místo toho omezení jejich použití, nebo
  • společnost již osobní údaje nepotřebuje pro účely zpracování, ale subjekt je požaduje pro určení, výkon nebo obhajobu svých právních nároků, nebo
  • subjekt vznesl námitku proti zpracování podle čl. 21 odst. 1 nařízení, a to na dobu potřebnou k ověření, zda oprávněné důvody společnosti převažují nad oprávněnými důvody subjektu.

Žádost o omezení zpracování osobních údajů zpracovávaných společností předá zaměstnanec, který ji obdržel, pověřenému zaměstnanci s oprávněným přístupem k osobním údajům žadatele. Ten ověří, zda společnost zpracovává osobní údaje žadatele a zda se žadatel jeví být tou osobou, jíž se zpracovávané osobní údaje týkají. Pokud ano a je-li dána některá z podmínek pro omezení zpracování osobních údajů žadatele (viz a) až d) výše), označí osobní údaje žadatele na dobu omezení zpracování alespoň tak, aby zejména nemohly být žádným způsobem užívány. Označení omezení zpracování osobních údajů musí být srozumitelné pro všechny, osoby, které mají k osobním údajům přístup, a lze jej učinit např. vyjmutím a přesunem údajů do jiné databáze.


Právo vznést námitku proti zpracování osobních údajů

8. Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování svých osobních údajů pro účely oprávněných zájmů správce nebo pro účely splnění úkolu prováděného ve veřejném zájmu, včetně profilování pro tyto účely. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Žádost s námitkou ke zpracování osobních údajů zpracovávaných společností předá zaměstnanec, který ji obdržel, pověřenému zaměstnanci s oprávněným přístupem k osobním údajům žadatele. Ten ověří, zda společnost zpracovává jakékoliv osobní údaje žadatele a zda se žadatel jeví být tou osobou, jíž se zpracovávané osobní údaje týkají. Pokud ano a jedná-li se o námitku proti zpracování osobních údajů žadatele pro účely oprávněných zájmů správce nebo pro účely splnění úkolu prováděného ve veřejném zájmu, včetně profilování, posoudí pověřený zaměstnanec, zda oprávněné důvody společnosti pro zpracování převažují nad zájmy nebo právy žadatele. Pokud ne, údaje zpracovávané pro takové účely se vymažou.

VIII. Definice

Pro účely této informace o zpracovávání osobních údajů se rozumí:

  • „nařízením GDPR“ NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů);
  • „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
  • „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
  • „správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;
  • „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
  • „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;
  • „souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
  • „porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;
  • „údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;
  • „závaznými podnikovými pravidly“ koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazený na území členského státu při jednorázových nebo souborných předáních osobních údajů správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost.