Zásady ochrany soukromí aplikace Emmy (pacientská část) a www.sestraemmy.cz
Na zachování vašeho soukromí nám velmi záleží. Tyto zásady ochrany soukromí (dále jen „Zásady“) mají za cíl transparentním způsobem informovat o zpracování vašich osobních údajů v souvislosti s provozem pacientské části webové aplikace Emmy přístupné na adrese https://moje.sestraemmy.cz/ (dále jen „Aplikace“) a webové stránky přístupné na adrese www.sestraemmy.cz (dále jen „Web“). Zásady tvoří neoddělitelnou součást podmínek použití pacientské části Aplikace (dál jen „Podmínky“).
1. Role při zpracování
1.1. Naše společnost Emmy Medical s.r.o., IČO: 06785247, se sídlem Levohradecké nám. 1066, 252 63 Roztoky (dále jen „Emmy“ či “My”) může být ve vztahu ke zpracování vašich osobních údajů správcem či zpracovatelem. Role Emmy vždy záleží na účelu zpracování.
1.2. Emmy je správcem především v souvislosti s vedením vašeho pacientského uživatelského účtu v Aplikaci (dále jen „Uživatelský účet“), provozem rozhraní Aplikace a Webu. Ohledně řešení vašich požadavků v Aplikaci (dále jen „Požadavky“), včetně objednání k osobní návštěvě, související komunikacea v případě, že Emmy bude udělen pokyn od vámi zvolených poskytovatelů zdravotnických služeb (dále jen „PZS“) i pro zpracování vaší zdravotnické dokumentace pomocí převodu na text (OCR) a AI modelů, je správcem vždy zvolený PZS. Emmy pak pro PZS působí v roli zpracovatele, který údaje zpracovává na odpovědnost PZS.
1.3. Emmy v žádném případě není správcem ve vztahu k vašim citlivým údajům o zdravotním stavu zpracovávaným v Aplikaci. Tím je vždy pouze vámi zvolený PZS, s nímž komunikujete. Emmy a PZS v žádném případě nevystupují jako společní správci údajů. Role Emmy je omezena na poskytnutí technického řešení v podobě Aplikace a zpracování osobních údajů zadaných do Aplikace PZS výhradně pro účely stanovené PZS a v souladu s jeho pokyny. Emmy nerozhoduje o tom, jaké údaje, jakým způsobem a za jakým účelem budou zpracovány prostřednictvím Aplikace.
1.4. Jako registrovaný uživatel Aplikace (dále jen „Uživatel“) snadno určíte, který PZS je správcem osobních údajů ve vztahu k vašim Požadavkům viditelným v Aplikaci. Zvolený PZS je vždy zřetelně identifikován v rozhraní Aplikace.
2. Emmy jako správce
Emmy může jako správce zpracovávat vaše osobní údaje pro níže uvedené účely. Při těchto zpracováních nedochází k žádnému automatizovanému rozhodování, včetně profilování.
Emmy je správcem pro následující účely:
2.1. Vedení Uživatelského účtu v Aplikaci
Tento účel zahrnuje také propojování se zvolenými PZS (předávání údajů za účelem ověření Uživatele), zasílání upozornění Aplikace na změny stavu vašich Požadavků, zasílání informací ohledně smluvního vztahu a poskytování služeb podpory ve vztahu k Uživatelskému účtu. Právním základem daného zpracování je jednání o smlouvě či její plnění (čl. 6 odst. 1 písm. b) GDPR).
Dotčenými kategoriemi osobních údajů mohou být:
identifikační údaje (např. jméno, příjmení, dat. narození, číslo pojištěnce, pohlaví), kontaktní údaje (např. e-mail, telefon, adresa), přihlašovací údaje, nastavení a údaje o aktivitě Uživatelského účtu (např. časové údaje, předvolby PZS, došlá upozornění, IP adresa), údaje o smluvním vztahu (např. jeho počátek), obsah komunikace (ohledně podpory).
Zdrojem údajů jste zpravidla přímo vy, přičemž pouze některé pomocné údaje mohou být shromažďovány automaticky. Poskytnutí identifikačních a kontaktních údajů je smluvním požadavkem, a proto při neposkytnutí těchto údajů nelze Uživatelský účet založit. Číslo pojištěnce (rodné číslo) potřebujeme, abychom ho mohli předávat PZS za účelem ověření Uživatele.
Údaje budou pro tento účel zpracovávány po dobu našeho smluvního vztahu, přičemž následně mohou být některé údaje dále zpracovávány na základě našich oprávněných zájmů (čl. 6 odst. 1 písm. f) GDPR) na obraně práv a majetku, a to až po dobu zákonných promlčecích lhůt.
2.2. Zajišťování provozu Aplikace a Webu a jejich zlepšování
Tento účel zahrnuje zajišťování bezpečnosti, dostupnosti a výkonu Aplikace a Webu, jakož i jejich další vývoj. Právním základem daného zpracování jsou oprávněné zájmy Emmy na poskytování kvalitních služeb (čl. 6 odst. 1 písm. f) GDPR).
Dotčenými kategoriemi osobních údajů mohou být:
identifikační údaje (např. jméno, příjmení), kontaktní údaje (např. e-mail), údaje o používání (např. počet návštěv, časové údaje, IP adresa, lokalita, zařízení), zpětná vazba.
Zdrojem údajů je primárně jejich automatický sběr (logování), k němuž můžeme využít i nástroje třetích stran (např. Google Analytics), avšak při získávání zpětné vazby můžeme využít i vámi poskytnuté údaje.
Údaje budou pro tento účel zpracovávány po dobu nezbytnou k jeho naplnění (zpravidla 6-14 měsíců). V případě potřeby mohou být tyto údaje využity též na základě našich oprávněných zájmů (čl. 6 odst. 1 písm. f) GDPR) na obraně práv a majetku.
2.3. Zasílání novinek a jiných sdělení
Tento účel zahrnuje zasílání newsletterů a dalších sdělení, jejichž zasílání nespadá pod jiný účel zpracování uvedený v těchto Zásadách, Uživatelům Aplikace. Právním základem daného zpracování jsou oprávněné zájmy Emmy na udržování kontaktu se zákazníkem (čl. 6 odst. 1 písm. f) GDPR).
Dotčenými kategoriemi osobních údajů jsou:
identifikační údaje (např. jméno, příjmení), kontaktní údaje (např. e-mail, telefon).
Zdrojem údajů jste přímo vy, přičemž se jedná o údaje zadané při založení Uživatelského účtu.
Údaje budou pro tento účel zpracovávány do odmítnutí zasílání sdělení (odhlášením odběru) nebo vznesení námitek proti tomuto zpracování, nejdéle však po dobu trvání našeho smluvního vztahu.
2.4. Reakce na dotazy
Tento účel zahrnuje vyřizování vašich dotazů či požadavků v případě, že nejste Uživatelem Aplikace a nemáte zájem se jím stát. Právním základem daného zpracování je váš souhlas vyjádřený společně se zasláním příslušného dotazu či požadavku (čl. 6 odst. 1 písm. a) GDPR).
Dotčenými kategoriemi osobních údajů jsou:
identifikační údaje (např. jméno, příjmení), kontaktní údaje (např. e-mail, telefon), obsah komunikace.
Zdrojem údajů jste přímo vy, přičemž se jedná o vámi zcela dobrovolně poskytnuté údaje.
Údaje budou pro tento účel zpracovávány po dobu nezbytnou k jeho naplnění.
2.5. Plnění právních povinností
Tento účel zahrnuje zpracování údajů ke splnění našich povinností vyplývající z právních předpisů – např. reakce na porušení zabezpečení údajů, reakce na uplatnění práv apod. Právním základem těchto zpracování je splnění právní povinnosti Emmy (čl. 6 odst. 1 písm. c) GDPR).
Dotčenými kategoriemi osobních údajů jsou:
identifikační údaje (např. jméno, příjmení), kontaktní údaje (např. e-mail, telefon), údaje o smluvním vztahu, další údaje nezbytné ke splnění příslušné povinnosti.
Zdrojem údajů můžete být přímo vy nebo se může jednat o údaje automaticky shromážděné.
Údaje budou pro tento účel zpracovávány po dobu nezbytnou ke splnění příslušné právní povinnosti nebo přímo právními předpisy stanovenou.
3. PZS jako správce a Emmy jako zpracovatel
Ve vztahu k většině vašich osobních údajů zpracovávaných v rámci Aplikace, vystupuje Emmy v roli zpracovatele. Pro níže uvedený obecný účel zpracování jsou totiž správci přímo vámi zvolení PZS.
Příslušný PZS jako správce odpovídá za to, aby měl ke zpracování právní základ, a aby vám byly poskytnuty veškeré informace o zpracování údajů, které prostřednictvím Aplikace provádí. S ohledem na to, že každý PZS má možnost ovlivnit rozsah zpracovávaných údajů, dobu jejich uchování i přesný účel zpracování, jsou informace uvedené v tomto čl. 3 pouze obecné a informativní povahy, přičemž jejich správnost a úplnost není zaručena.
PZS využívají Aplikaci zpravidla ke zpracování vašich údajů pro následující účel:
3.1. Organizace poskytování zdravotních služeb
Tento účel zahrnuje vedení adresáře pacientů, ověření vaší osoby jako Uživatele Aplikace a příjem vašich Požadavků, případně zakládání Požadavků ze strany PZS. Dále pak zahrnuje řešení evidovaných Požadavků, včetně objednávání k osobním návštěvám a provádění související komunikace, tj. zasílání zpráv do Aplikace či připomínek na vaše kontakty.
Po aktivní volbě PZS (PZS bude mít informaci o aktivování rozšíření uvedenou v profilu PZS v Aplikaci) je součástí také využití OCR (optické zpracování textu) a AI technologie pro zlepšení a zrychlení poskytování zdravotních služeb daným PZS. Emmy postupuje při využívání této technologie pouze na základě pokynů PZS. Dokumenty nahrané do Aplikace se poté pomocí OCR technologie převedou do textové podoby, v AI uzavřeném prostředí se připraví informace pro PZS, které Emmy zasílá PZS. PZS v žádném případě na tyto výstupy nespoléhá a vždy musí kontrolovat shodu s originálem. Informace o bezpečnostních opatřeních při využívání AI a OCR jsou uvedeny v ustanovení 5.4 těchto Zásad.
Právním základem může být jednání o smlouvě či její plnění (čl. 6 odst. 1 písm. b) GDPR), případně plnění právní povinnosti PZS (čl. 6 odst. 1 písm. c) GDPR). Citlivé údaje o zdravotním stavu jsou pak zpravidla PZS zpracovávány na právním základě poskytování zdravotní péče dle čl. 9 odst. 2 písm. h) GDPR, případně výslovného souhlasu dle čl. 9 odst. a) GDPR, pokud byl PZS udělen.
Dotčenými kategoriemi osobních údajů mohou být:
identifikační údaje (např. jméno, příjmení, dat. narození), kontaktní údaje (např. e-mail, telefon, adresa), údaje týkající se Požadavku (např. údaje o zdravotním stavu, údaje o objednání k PZS, údaje o zaměstnání), údaje o pojištění (např. typ, zdravotní pojišťovna, číslo pojištěnce), údaje o registraci u PZS (včetně např. jazyka komunikace).
Zdrojem údajů jste přímo vy nebo se může jednat o údaje shromážděné při poskytování zdravotní péče, včetně údajů ze státních registrů či registrů zdravotních pojišťoven. Příjemci údajů jsou zaměstnanci PZS a Emmy (primárně jako zpracovatel).
Údaje budou pro tento účel zpracovávány PZS v Aplikaci po dobu nezbytnou ke splnění účelu zpracování. PZS je jako správce oprávněn veškeré údaje z Aplikace kdykoliv odstranit. Údaje budou z Aplikace odstraněny také v případě ukončení smluvního vztahu mezi Emmy a PZS.
V souvislosti se zpracováním uvedených údajů mohou být, na základě oprávněného zájmu PZS na zjišťování efektivity používání Aplikace (čl. 6 odst. 1 písm. f), vytvářeny anonymní souhrnné statistiky vypovídající o používání aplikace pacienty.
3.2. Zasílání novinek a jiných sdělení
PZS může na základě svého oprávněného zájmu na vysoké informovanosti pacientů (čl. 6 odst. 1 písm. f) GDPR) využít jejich identifikační (jméno a příjmení) a kontaktní údaje (např. e-mail či telefon) za účelem zaslání newsletteru a jiných informačních sdělení, včetně sdělení ke zjištění zájmu o nabízené výkony, a to za předpokladu, že bude dodržena regulace zasílání obchodních sdělení (pokud je aplikovatelná). Příjemci údajů jsou zaměstnanci PZS a Emmy (jako zpracovatel). V případě epidemického výskytu závažného infekčního onemocnění (např. COVID-19) se pro využití výše uvedených údajů za účelem zaslání sdělení ke zjištění zájmu o očkování hrazené zdravotním pojištěním uplatní jiné právní základy (např. čl. 6 odst. 1 písm. e) a d) GDPR). Navíc není vyloučeno ani využití dalších údajů uvedených v čl. 3.1, včetně citlivých údajů o zdravotním stavu (na základě čl. 9 odst. 2 písm. i) GDPR). Regulace zasílání obchodních sdělení se v tomto případě neuplatní. S následnou realizací očkování mohou být spojeny též mimořádné ohlašovací povinnosti PZS (základem čl. 6 odst. 1 písm. c) GDPR), kdy jsou dalšími příjemci údajů zejména orgány veřejné moci (např. MZ, zdravotní pojišťovny).
V souvislosti s využitím zpracovatelských IT služeb může v omezeném rozsahu pro tento účel dojít k předání údajů do třetí země (USA), přičemž v takovém případě jsou poskytnuty vhodné záruky, a to prostřednictvím tzv. standardních smluvních doložek a závazných podnikových pravidel.
4. Příjemci a předávání údajů
4.1. Vaše osobní údaje, zpracovávané Emmy jako správcem, mohou být ve striktně nezbytném rozsahu zpřístupněny osobám podílejícím se na jejich zpracování. Těmi jsou zaměstnanci Emmy a naši pečlivě zvolení zpracovatelé, zejména pak osoby podílející se na údržbě a podpoře Aplikace, poskytovatelé služeb v oblasti IT či ověření identity, jejichž aktuální seznam najdete na konci tohoto dokumentu. Emmy smluvně zajišťuje, aby všichni její zaměstnanci a osoby oprávněné zpracovávat údaje na straně dalších zpracovatelů byly vázány povinností mlčenlivosti.
4.2. Vaše osobní údaje zpracovávané Emmy jako správcem, mohou být dále zpřístupněny vámi zvoleným PZS (zejména za účelem ověření Uživatele), v nezbytném rozsahu též našim poradcům vázaným povinností mlčenlivosti (např. advokátům), a v rozsahu stanoveném právními předpisy pak rovněž orgánům veřejné moci.
4.3. Můžete se spolehnout, že vaše osobní údaje nikomu neprodáme, a že je nebudeme zpřístupňovat třetím osobám jinak, než jak je popsáno v těchto zásadách.
4.4. Vaše osobní údaje jsou uchovávány na serverech v data centru našeho zpracovatele Amazon Web Services EMEA SARL (dále jen „AWS“), který se nachází v EU. K předávání vašich údajů do třetích zemí (zpravidla USA) může docházet jen v omezeném rozsahu (např. v souvislosti s používáním Webu, či využití nástrojů jako Google Analytics), přičemž v takovém případě jsou vždy poskytnuty vhodné záruky, a to prostřednictvím tzv. standardních smluvních doložek, jejichž kopii si můžete vyžádat, případně jsou naši zpracovatelé registrovaní v tzv. EU-U.S. Data Privacy Framework, tedy na základě rozhodnutí o přiměřenosti Evropské komise poskytují stejnou ochranu, jako kdyby byla data v EU.
5. Bezpečnost
5.1. Na bezpečnosti vašich údajů nám opravdu záleží, a proto při jejich zpracování, ať již v roli správce či zpracovatele, klademe důraz na přísná bezpečnostní opatření.
5.2. Veškeré údaje vyměňované mezi pacienty a PZS jsou při přenosu šifrovány a rovněž jsou šifrovány při uložení („at rest“). Naši proškolení zaměstnanci budou k vašim údajům přistupovat pouze v nezbytných případech a v souladu s těmito Zásadami, přičemž k přístupu je oprávněn jen minimální počet určených zaměstnanců, kteří jsou navíc vázáni povinností mlčenlivosti.
5.3. AWS, které Emmy využívá jako poskytovatele IT infrastruktury, jsou držitelem bezpečnostních certifikací ISO 27001, ISO 27017 a ISO 27018. K zabezpečení všech přístupů do Emmy využíváme služby Amazon Cognito. Služby AWS jsou používány poskytovateli bankovních, finančních a zdravotnických služeb po celém světě. Více informací ohledně bezpečnosti datacenter AWS (v angličtině) najdete zde.
5.4. Po aktivní volbě PZS bude v Aplikaci využita funkce OCR a AI. Osobní údaje pacientů jsou zpracovávány v této souvislosti jenom pro dobu nezbytnou k poskytování těchto funkcí (tzn. vteřiny až několik málo minut), tyto údaje jsou následně uchovávány pouze v Aplikaci. AI poskytovaná funkce zaručuje, že vložená data nejsou používána pro další trénování jazykových modelů. Více informací ohledně bezpečnosti a ochrany osobních údajů pro AI (v angličtině) najdete zde
6. Cookies
6.1. Aplikace a Web využívají souborů cookies, tak jak je popsáno v našich zásadách používání cookies, které jsou dostupné zde.
7. Obchodní sdělení
7.1. V případě, že vám budeme chtít zasílat obchodní sdělení, dáme vám nejprve možnost zasílání odmítnout. Pokud jej neodmítnete, bude Emmy oprávněna využít vaše kontakty (e-mail, telefon) k zasílání zpráv, které mají povahu obchodních sdělení. Zpracování vašich osobních údajů v takovém případě popisuje čl. 2.3. Zasílání sdělení můžete následně odmítnout způsobem uvedeným v každém jednotlivém sdělení, například prostřednictvím odhlašovacího odkazu.
7.2. Můžete se spolehnout, že možnosti vás kontaktovat nebudeme nadužívat a také vám nikdy nebudeme zasílat reklamní sdělení týkající se produktů či služeb třetích stran.
8. Vaše práva
Ve vztahu ke zpracování osobních údajů máte, vždy když jsou splněny podmínky stanovené právními předpisy, níže uvedená práva. Svá práva vůči Emmy jako správci můžete uplatňovat prostřednictvím našeho pověřence pro ochranu osobních údajů, jehož kontaktní údaje najdete v čl. 9. Berte prosím na vědomí, že ohledně zpracování, kde je správcem PZS (viz čl. 3), musíte svá práva uplatňovat přímo u příslušného PZS, jehož kontakt najdete v rozhraní Aplikace.
Jako subjektu údajů vám náleží následující práva:
8.1. Právo na přístup k osobním údajům, tj. právo požadovat potvrzení, zda jsou zpracovávány vaše údaje, a v případě, že ano, tak získat informace o předmětném zpracování, případně kopii zpracovávaných údajů;
8.2. Právo požadovat opravu nepřesných či doplnění neúplných údajů;
8.3. Právo požadovat bezodkladný výmaz zpracovávaných údajů, pokud je dán některý z důvodů dle právních předpisů;
8.4. Právo požadovat dočasné omezení zpracování osobních údajů, pokud je dán některý z důvodů dle právních předpisů;
8.5. Právo vznést námitku proti zpracování údajů na právním základě oprávněných zájmů, případně pro účely přímého marketingu;
8.6. Právo kdykoliv odvolat udělený souhlas se zpracováním osobních údajů;
8.7. Právo na přenositelnost osobních údajů, tj. právo požadovat zpracovávané údaje ve strukturovaném, strojově čitelném formátu, pokud jsou dány podmínky dle právních předpisů.
9. Kontakt
9.1. S požadavky na uplatnění práv či jakýmikoliv dotazy ohledně zpracování osobních údajů můžete kontaktovat našeho pověřence pro ochranu osobních údajů prostřednictvím e-mailu poverenec@sestraemmy.cz, případně se na nás obrátit písemně na adrese sídla společnosti. V případě, že budete mít stížnost ohledně zpracování osobních údajů, máte právo se s ní obrátit také přímo na dozorový úřad, kterým je Úřad pro ochranu osobních údajů.
SEZNAM ZPRACOVATELŮ OSOBNÍCH ÚDAJŮ
- Amazon Web Services EMEA SARL, Czech Branch, IČO: 09049266, se sídlem Sokolovská 689/115, 186 00 Praha
- Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA, 94043, USA
- Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA
- Zendesk Inc., 989 Market Street, San Francisco, CA 94103, USA
- Twilio, Inc., 375 Beale St Suite 300, San Francisco, CA 94105, USA
- TOPefekt s.r.o., IČO 29444268, se sídlem B. Němcové 767/13, 787 01 Šumperk
- Bankovní identita, a.s., IČO 09513817, se sídlem Smrčkova 2485/4, Libeň, 180 00 Praha 8
- Vocalls Inc s.r.o., IČO 06413421, se sídlem Rostovská 314/14, Vršovice, 101 00 Praha 10
- ROBOTEER AUTOMATION LIMITED, 15 Bridge Road, Wellington, Telford, TF1 1EB, Spojené království
- SENDINBLUE — 106 boulevard Haussmann, 75008 Paris, Francie
Verze 1.3
Účinnost od 6. srpna 2024
Dokument ke stažení zde.
(Předchozí verze dokumentu ke stažení zde.)