Zásady ochrany soukromí aplikace Emmy Medical (část PZS)

Tyto zásady ochrany soukromí (dále jen „Zásady“) mají za cíl transparentním způsobem informovat o zpracování osobních údajů v souvislosti s provozem části webové aplikace Emmy určené poskytovatelům zdravotních služeb (dále jen „PZS“), který je přístupná na adrese https://dr.sestraemmy.cz/ (dále jen „Aplikace“). Zásady tvoří neoddělitelnou součást veřejných obchodních podmínek části Aplikace určené PZS.


1. Role Emmy a subjekty

1.1.
Společnost Emmy Medical s.r.o., IČO: 06785247, se sídlem Levohradecké nám. 1066, 252 63 Roztoky (dále jen „Emmy“) může být ve vztahu ke zpracování osobních údajů v souvislosti s provozem Aplikace správcem či zpracovatelem. Role Emmy vždy záleží na účelu zpracování.

1.2. Dotčenými subjekty zpracování osobních údajů dle těchto Zásad je PZS, který je fyzickou osobou (dále jen „PZS FO“), případně osoba zastupující PZS, který je právnickou osobou (dále jen „Zástupce“), a dále všichni uživatelé zákaznického účtu PZS v Aplikaci (dále jen „Zákaznický účet“).


2. Emmy jako správce

Při žádném v tomto článku uvedeném zpracování nedochází k automatizovanému rozhodování, včetně profilování.

Emmy je správcem pro následující účely:

2.1. Administrace smluvního vztahu s PZS a vedení Zákaznického účtu

Emmy může zpracovávat osobní údaje PZS FO, případně Zástupce, a to pro účely administrace smlouvy mezi Emmy a PZS (dále jen „Smlouva“) a založení a vedení Zákaznického účtu, což zahrnuje též uvádění osobních údajů PZS FO v pacientské části Aplikace či upozorněních Aplikace. Údaje PZS FO je pak Emmy oprávněna uvádět na základě Smlouvy i mimo Aplikaci jako referenci. Kromě toho tento účel zahrnuje ještě poskytování služeb podpory k Zákaznickému účtu.

Právním základem daného zpracování je v případě PZS FO jednání o smlouvě či její plnění (čl. 6 odst. 1 písm. b) GDPR). V případě Zástupce jsou pak právním základem oprávněné zájmy Emmy a PZS (čl. 6 odst. 1 písm. f) GDPR) na realizaci smluvního vztahu.

Dotčenými kategoriemi osobních údajů mohou být:

identifikační údaje (např. jméno, příjmení), kontaktní údaje (např. e-mail, telefon, adresa), přihlašovací údaje, nastavení a údaje o používání (např. časové údaje, IP adresa), údaje o vztahu k PZS a Smlouvě (např. funkce, podpis), obsah komunikace (ohledně podpory).

Zdrojem údajů je přímo subjekt, resp. PZS. Bez poskytnutí identifikačních a kontaktních údajů nelze uzavřít Smlouvu.

Údaje budou pro tento účel zpracovávány po dobu trvání Smlouvy, přičemž následně mohou být některé údaje dále zpracovávány na základě oprávněných zájmů Emmy (čl. 6 odst. 1 písm. f) GDPR) na obranu práv a majetku, a to až po dobu zákonných promlčecích lhůt.

2.2. Zajišťování provozu Aplikace a jejího zlepšování

Emmy může zpracovávat osobní údaje uživatelů Zákaznického účtu Aplikace, a to pro zajišťování bezpečnosti, dostupnosti a výkonu Aplikace, jakož i pro její další vývoj. Právním základem daného zpracování jsou oprávněné zájmy Emmy na poskytování kvalitních služeb (čl. 6 odst. 1 písm. f) GDPR).

Dotčenými kategoriemi osobních údajů mohou být:

identifikační údaje (např. jméno, příjmení), kontaktní údaje (např. e-mail), údaje o používání (např. počet návštěv, počet a typy zadaných požadavků, časové údaje, IP adresa, lokalita, zařízení), zpětná vazba.

Zdrojem údajů je primárně jejich automatický sběr (logování), k němuž můžeme využít i nástroje třetích stran , avšak při získávání zpětné vazby můžeme využít i údaje poskytnuté přímo subjektem.

Údaje budou pro tento účel zpracovávány po dobu nezbytnou k naplnění uvedeného účelu, která v některých případech činí 6 měsíců.

2.3. Zasílání obchodních sdělení

Tento účel zahrnuje zasílání newsletterů a dalších sdělení, které nespadají pod jiný účel zpracování uvedený v těchto Zásadách, a to PZS FO či Zástupci. Právním základem daného zpracování jsou oprávněné zájmy Emmy na udržování kontaktu se zákazníkem (čl. 6 odst. 1 písm. f) GDPR).

Dotčenými kategoriemi osobních údajů jsou:

identifikační údaje (např. jméno, příjmení), kontaktní údaje (např. e-mail, telefon).

Zdrojem údajů je přímo subjekt, resp. PZS, přičemž se jedná o údaje zadané při registraci.Údaje budou pro tento účel zpracovávány do odmítnutí zasílání sdělení (odhlášením odběru) nebo vznesení námitek proti tomuto zpracování, nejdéle však po dobu trvání Smlouvy.

2.4. Plnění právních povinností

Tento účel zahrnuje zpracování údajů uživatelů Zákaznického účtu ke splnění povinností Emmy vyplývající z právních předpisů – např. reakce na porušení zabezpečení údajů, reakce na uplatnění práv apod. Právním základem těchto zpracování je splnění právní povinnosti Emmy (čl. 6 odst. 1 písm. c) GDPR).

Dotčenými kategoriemi údajů mohou být:

identifikační údaje (např. jméno, příjmení), kontaktní údaje (např. e-mail, telefon), údaje o smluvním vztahu, další údaje nezbytné ke splnění příslušné povinnosti.

Zdrojem údajů může být přímo subjekt, resp. PZS, nebo se může jednat o údaje automaticky shromážděné.

Údaje budou pro tento účel zpracovávány po dobu nezbytnou ke splnění příslušné právní povinnosti nebo přímo právními předpisy stanovenou. 


3. PZS jako správce a Emmy jako zpracovatel

Ve vztahu k většině osobních údajů uživatelů Zákaznického účtu zpracovávaných v Aplikaci, vystupuje Emmy v roli zpracovatele. Pro níže uvedený obecný účel zpracování je totiž správcem přímo PZS.

PZS jako správce odpovídá za to, aby měl ke zpracování právní základ, a aby uživatelům Zákaznického účtu byly poskytnuty veškeré informace o zpracování údajů, které prostřednictvím Aplikace provádí. Informace uvedené v tomto čl. 3 pouze obecné a informativní povahy, přičemž jejich správnost a úplnost není zaručena.

PZS zpracovávají údaje uživatelů Zákaznického účtu pro následující účel:

3.1. Přístup k Zákaznickému účtu a jeho užívání

Tento účel zahrnuje správu uživatelů Zákaznického účtu a jejich oprávnění, jakož i vedení záznamů o přístupech a aktivitě uživatelů Zákaznického účtu, včetně uvádění osobních údajů v pacientské části Aplikace.

Právním základem může být plnění smlouvy, zpravidla pracovní, mezi PZS a uživatelem Zákaznického účtu (čl. 6 odst. 1 písm. b) GDPR), případně plnění právní povinnosti PZS (čl. 6 odst. 1 písm. c) GDPR) či oprávněné zájmy PZS (čl. 6 odst. 1 písm. f) GDPR).

Dotčenými kategoriemi osobních údajů jsou:

identifikační údaje (např. jméno, příjmení,), kontaktní údaje (např. e-mail, telefon, adresa), přihlašovací údaje, nastavení a oprávnění, údaje o vztahu k PSZ (funkce, pracoviště), údaje o přístupech a aktivitě (např. časové údaje, změny).

Zdrojem údajů je přímo subjekt, resp. PZS, nebo se může jednat o údaje shromážděné při plnění pracovních úkolů subjektem. Příjemci údajů jsou zaměstnanci PSZ, pacienti (uživatelé pacientské části Aplikace) a Emmy jako zpracovatel.

Údaje budou pro tento účel zpracovávány PZS v Aplikaci po dobu nezbytnou ke splnění účelu zpracování. Údaje budou z Aplikace odstraněny v případě ukončení smluvního vztahu mezi Emmy a PZS.

3.2 Organizace poskytování zdravotních služeb

Emmy je pro PZS zpracovatelem osobních údajů pro organizaci poskytování zdravotních služeb. Tento účel zahrnuje vedení adresáře pacientů, ověření a příjem požadavků od pacientů, případně zakládání požadavků ze strany PZS. Dále pak zahrnuje řešení evidovaných požadavků, včetně objednávání k osobním návštěvám a provádění související komunikace, tj. zasílání zpráv do Aplikace či připomínek.

Po aktivní volbě PZS (PZS bude mít informaci o aktivování rozšíření uvedenou v profilu PZS v Aplikaci) je součástí také využití OCR a AI technologie pro zlepšení a zrychlení poskytování zdravotních služeb daným PZS. Emmy postupuje při využívání této technologie pouze na základě pokynů PZS. Dokumenty nahrané do Aplikace se poté pomocí OCR technologie převedou do textové podoby, v AI uzavřeném prostředí se připraví informace pro PZS, které Emmy zasílá PZS. PZS v žádném případě na tyto výstupy nespoléhá a vždy musí kontrolovat shodu s originálem. Informace o bezpečnostních opatřeních při využívání AI a OCR jsou uvedeny v ustanovení 5.4 těchto Zásad.

Právním základem může být jednání o smlouvě či její plnění (čl. 6 odst. 1 písm. b)GDPR), případně plnění právní povinnosti PZS (čl. 6 odst. 1 písm. c) GDPR). Citlivé údaje o zdravotním stavu jsou pak zpravidla PZS zpracovávány na právním základě poskytování zdravotní péče dle čl. 9 odst. 2 písm. h) GDPR, případně výslovného souhlasu dle čl. 9 odst. a) GDPR, pokud byl PZS udělen.

Dotčenými kategoriemi osobních údajů mohou být:

identifikační údaje pacientů
(např. jméno, příjmení, dat. narození), kontaktní údaje pacientů (např. e-mail, telefon, adresa), údaje týkající se požadavku pacienta (např. údaje o zdravotním stavu, údaje o objednání k PZS, údaje o zaměstnání), údaje o pojištění pacienta (např. typ, zdravotní pojišťovna, číslo pojištěnce), údaje o registraci u PZS (včetně např. jazyka komunikace).

Zdrojem údajů je přímo pacient nebo se může jednat o údaje shromážděné při poskytování zdravotní péče, včetně údajů ze státních registrů či registrů zdravotních pojišťoven. Příjemci údajů jsou zaměstnanci PZS a Emmy (primárně jako zpracovatel).

Údaje budou pro tento účel zpracovávány PZS v Aplikaci po dobu nezbytnou ke splnění účelu zpracování. PZS je jako správce oprávněn veškeré údaje z Aplikace kdykoliv odstranit. Údaje budou z Aplikace odstraněny také v případě ukončení smluvního vztahu mezi Emmy a PZS.

4. Příjemci a předávání údajů

4.1.
Osobní údaje zpracovávané Emmy jako správcem, mohou být ve striktně nezbytném rozsahu zpřístupněny osobám podílejícím se na jejich zpracování. Těmi jsou zaměstnanci Emmy a pečlivě zvolení zpracovatelé, zejména pak osoby podílející se na údržbě a podpoře Aplikace a poskytovatelé služeb v oblasti IT, jejichž aktuální seznam najdete na konci tohoto dokumentu.

4.2. Údaje PZS FO a Zástupce, zpracovávané Emmy jako správcem, mohou být zpřístupněny uživatelům Zákaznického účtu. Příjemci údajů PZS FO mohou být dále též pacienti (uživatelé pacientské části Aplikace) či veřejnost. Případně mohou být údaje zpracovávané Emmy v nezbytném rozsahu zpřístupněny též poradcům Emmy vázaným povinností mlčenlivosti (např. advokátům), a v rozsahu stanoveném právními předpisy pak rovněž orgánům veřejné moci.

4.3. Zpracovávané osobní údaje nebude Emmy zpřístupňovat třetím osobám jinak, než jak je uvedeno v těchto Zásadách.

4.4. Zpracovávané osobní údaje jsou uchovávány na serverech v data centru pověřeného zpracovatele Amazon Web Services EMEA SARL, které se nachází v EU. K předávání zpracovávaných osobních údajů do třetích zemí (zpravidla USA) může docházet jen ve zcela omezeném rozsahu (např. v souvislosti s užíváním Google Analytics), přičemž v takovém případě jsou vždy poskytnuty vhodné záruky, a to prostřednictvím tzv. standardních smluvních doložek, jejichž kopii si můžete vyžádat, případně jsou naši zpracovatelé registrovaní v tzv. EU-U.S. Data Privacy Framework, tedy na základě rozhodnutí o přiměřenosti Evropské komise poskytují stejnou ochranu,jako kdyby byla data v EU.

5. Bezpečnost

5.1. Na bezpečnosti vašich údajů a údajů pacientů nám opravdu záleží, a proto při jejich zpracování, ať již v roli správce či zpracovatele, klademe důraz na přísná bezpečnostní opatření.

5.2. Veškeré údaje vyměňované mezi pacienty a PZS jsou při přenosu šifrovány a rovněž jsou šifrovány při uložení („at rest“). Naši proškolení zaměstnanci budou k údajům pacientů přistupovat pouze v nezbytných případech a v souladu s těmito Zásadami, přičemž k přístupu je oprávněn jen minimální počet určených zaměstnanců, kteří jsou navíc vázáni povinností mlčenlivosti.

5.3. AWS, které Emmy využívá jako poskytovatele IT infrastruktury, jsou držitelem bezpečnostních certifikací ISO 27001, ISO 27017 a ISO 27018. Služby AWS jsou používány poskytovateli bankovních, finančních a zdravotnických služeb po celém světě. Více informací ohledně bezpečnosti datacenter AWS (v angličtině) najdete zde.

5.4. Po aktivní volbě PZS bude v Aplikaci využita funkce OCR a AI. Osobní údaje pacientů jsou zpracovávány v této souvislosti jenom pro dobu nezbytnou k poskytování těchto funkcí (tzn. vteřiny až několik málo minut), tyto údaje jsou následně uchovávány pouze v Aplikaci. AI poskytovaná funkce zaručuje, že vložená data nejsou používána pro další trénování jazykových modelů. Více informací ohledně bezpečnosti a ochrany osobních údajů pro AI (v angličtině) najdete zde.


6. Cookies

6.1. Aplikace využívá souborů cookies, tak jak je popsáno v zásadách používání cookies, které jsou dostupné zde.


7. Obchodní sdělení

7.1.
Pokud to při uzavírání Smlouvy PZS FO či Zástupce neodmítne, je Emmy oprávněna využít registrované kontakty (e-mail, telefon) k zasílání zpráv, které mají povahu obchodních sdělení. Zpracování osobních údajů v takovém případě popisuje čl. 2.3. Zasílání sdělení je možné následně odmítnout způsobem uvedeným v každém jednotlivém sdělení, například prostřednictvím odhlašovacího odkazu.


8. Práva subjektů

Ve vztahu ke zpracování svých osobních údajů mají subjekty, vždy když jsou splněny podmínky stanovené právními předpisy, níže uvedená práva. Tato práva je možné vůči Emmy jako správci uplatňovat prostřednictvím kontaktních údajů v čl. 8. Ohledně zpracování, kde je správcem PZS (viz čl. 3), je třeba práva uplatňovat přímo u PZS.

Subjektu údajů náleží následující práva:

8.1. Právo na přístup k osobním údajům, tj. právo požadovat potvrzení, zda jsou zpracovávány vaše údaje, a v případě, že ano, tak získat informace o předmětném zpracování, případně kopii zpracovávaných údajů;

8.2. Právo požadovat opravu nepřesných či doplnění neúplných údajů;

8.3. Právo požadovat bezodkladný výmaz zpracovávaných údajů, pokud je dán některý z důvodů dle právních předpisů;

8.4. Právo požadovat dočasné omezení zpracování osobních údajů, pokud je dán některý z důvodů dle právních předpisů;

8.5. Právo vznést námitku proti zpracování údajů na právním základě oprávněných zájmů, případně pro účely přímého marketingu;

8.6. Právo kdykoliv odvolat udělený souhlas se zpracováním osobních údajů;

8.7. Právo na přenositelnost osobních údajů, tj. právo požadovat zpracovávané údaje ve strukturovaném, strojově čitelném formátu, pokud jsou dány podmínky dle právních předpisů.


9. Kontakt

9.1.
S požadavky na uplatnění práv či jakýmikoliv dotazy ohledně zpracování osobních údajů můžete kontaktovat našeho pověřence pro ochranu osobních údajů prostřednictvím e-mailu poverenec@sestraemmy.cz, případně se na nás obrátit písemně na adrese sídla společnosti. V případě, že má subjekt stížnost ohledně zpracování osobních údajů, má právo se s ní obrátit přímo na dozorový úřad, kterým je Úřad pro ochranu osobních údajů.


SEZNAM ZPRACOVATELŮ OSOBNÍCH ÚDAJŮ

- Amazon Web Services EMEA SARL, Czech Branch, IČO: 09049266, se sídlem Sokolovská 689/115, 186 00 Praha
- Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA, 94043, USA
- Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA
- Zendesk Inc., 989 Market Street, San Francisco, CA 94103, USA
- Formagrid Inc. (AirTable), 799 Market Street Fl 8, San Francisco, CA 94103, USA
- Pipedrive Inc., 530 5th Ave Ste 802, New York, NY 10036, USA
- Solitea, a.s. (provozovatel služby iDoklad), IČO 01572377, se sídlem Drobného 555/49, Ponava, 60200 Brno
- Vocalls Inc s.r.o., IČO 06413421, se sídlem Rostovská 314/14, Vršovice, 101 00 Praha 10
- ROBOTEER AUTOMATION LIMITED, 15 Bridge Road, Wellington, Telford, TF1 1EB, Spojené království
- SENDINBLUE — 106 boulevard Haussmann, 75008 Paris, Francie

Verze 1.3

Účinnost od: 6. srpna 2024

Dokument ke stažení
zde.

(Předchozí verze dokumentu ke stažení
zde.)

Zpět na hlavní stránku