Ochrana osobních údajů při e-rezervaci

28. 2. 2020 · 11 minut čtení

 

  1. Úvod
    1. Účelem tohoto dokumentu Ochrana osobních údajů při e-rezervaci (dále jen „zásady“) je podrobné vysvětlení podmínek zpracování osobních údajů, k němuž dochází ze strany společnosti ČESKÁ LÉKÁRNA HOLDING, a.s., IČ: 28511298, sídlem Nové sady 996/25, Staré Brno, 602 00 Brno, zapsané v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl B, vložka 6919 (dále jen „správce“), při rezervaci léčivého přípravku předepsaného na elektronickém předpisu (dále též jen „e-rezervace“) na stránkách www.drmaxlekynapredpis.cz (dále jen „webová stránka“). Správce určuje účel a prostředky zpracování osobních údajů na webové stránce. Mimo provozování webové stránky správce provozuje též síť lékáren a výdejen zdravotnických prostředků Dr. Max v České republice (společně dále jen „lékárna“).
    2. Při provozování webové stránky jsou zpracovávány osobní údaje zákazníka, který je fyzickou osobou a který provede na webové stránce rezervaci zboží (dále také jen „zákazník“ či „subjekt“). Osobním údajem je jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt se považuje za určený nebo určitelný, jestliže lze subjekt přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu; osobním údajem je například jméno, příjmení, e-mail, mobilní telefon (společně dále jen „osobní údaj“ či „údaj“).
    3. Osobní údaje subjektu jsou zpracovávány v souladu s těmito zásadami. Zpracováním osobních údajů je jakákoliv operace nebo soustava operací prováděná s osobními údaji automatizovaně nebo manuálně, prostředky výpočetní techniky i jinými prostředky, a to zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, uchovávání, třídění nebo kombinování, blokování a likvidace (dále jen „zpracování“).
    4. Subjekt je povinen si tyto zásady pečlivě prostudovat dříve, než provede e-rezervaci na webové stránce (dále také jen „transakce“). V případě, že subjekt kterémukoliv bodu nebo podmínce dle těchto zásad nerozumí, může se obrátit na správce na kontaktech uvedených níže.
    5. K ochraně poskytnutých osobních údajů přistupuje správce s vysokou pečlivostí. Osobní údaje jsou správcem zpracovávány transparentně a v souladu s příslušnou účinnou právní úpravou.
    6. Správce zásadně shromažďuje jen ty osobní údaje, které skutečně potřebuje ke stanovenému účelu. Správce vše činí tak, aby průběžně hodnotil zpracování, ať již z hlediska náležitého zabezpečení, minimalizace osobních údajů, tak i z hlediska transparentnosti, korektnosti a zákonnosti.  Správce dodržuje zásadu odpovědnosti, integrity, důvěrnosti, přesnosti a omezení uložení.
    7. Správce při provozování webové stránky nezpracovává zvláštní kategorie osobních údajů, jimiž jsou údaje vypovídající o rasovém nebo etnickém původu, politických názorech, členství v odborech, náboženském vyznání či filozofickém přesvědčení, zdravotním stavu, sexuálním životě či sexuální orientaci subjektu. V rámci procesu e-rezervace jsou sice zpracovávány mimo jiné i údaje o léčivých přípravcích (dále jen „přípravek“), které si zákazník rezervoval, tyto údaje však nevypovídají o zdravotním stavu zákazníka, protože správce dále nezpracovává, pro koho je daný přípravek určen, byť k takovému zjištění může při zpracování údajů pro daný účel dojít. Pokud například zákazník rezervuje na webových stránkách přípravek, který je určen pro jeho rodinného příslušníka, e-rezervace bude správcem zaznamenána s údaji zákazníka, který ji učinil, tato skutečnost nicméně nevypovídá o zdravotním stavu tohoto zákazníka.
    8. Tyto zásady jsou platné a účinné od 19.04.2020. Správce je oprávněn v případě potřeby zásady změnit, avšak toto nemá dopad na podmínky již odsouhlaseného zpracování. Při užívání webových stránek je subjekt povinen znění zásad pravidelně kontrolovat.

 

  1. Kontaktní údaje správce
    1. Kontaktní údaje správce jsou následující:
      1. info@drmax.cz;
      2. +420 516 770 100;
      3. ČESKÁ LÉKÁRNA HOLDING, a.s., Kontaktní centrum Dr. Max, Nové sady 996/25, 602 00 Brno.
    2. Správce jmenoval pověřence pro ochranu osobních údajů, jehož kontaktní údaje jsou následující:
      1. dpo@drmax.cz;
      2. ČESKÁ LÉKÁRNA HOLDING, a.s., Pověřenec pro ochranu osobních údajů, Na Florenci 2116/15, Nové Město, 110 00 Praha 1.

 

  1. Zpracovávané osobní údaje, právní základ, účely a doba zpracování

E-rezervace zboží

  1. Za účelem přijetí a vyřízení e-rezervace zákazníka správce zpracovává osobní údaje zákazníka v následujícím rozsahu:
    • jméno, příjmení, telefonní číslo a e-mailová adresa zákazníka;
    • údaje o rezervovaném zboží (druh, množství, orientační doplatek);
    • údaje z lékařského předpisu nezbytné pro e-rezervaci;
    • údaj o lékárně, ve které si zákazník přeje zboží rezervovat;
    • případná poznámka k e-rezervaci, pokud ji zákazník uvede;
    • údaj o komunikaci mezi správcem a zákazníkem související s e-rezervací.

V případě, že zákazník využije Nouzovou službu a požádá o donášku léků domů, správce zpracovává též údaj o doručovací adrese.

  1. Údaje uvedené v předchozím odstavci správce zpracovává po dobu 5 let od vyřízení e-rezervace.
  2. Poskytnutí a zpracování těchto osobních údajů je nezbytné pro naplnění výše uvedeného účelu. Zpracování osobních údajů je současně nutné pro provedení opatření přijatých před uzavřením smlouvy a pro plnění smlouvy uzavřené mezi zákazníkem a správcem, pro plnění povinností správce vyplývajících z právních předpisů, a to zejména z předpisů upravujících poskytování zdravotních služeb, zacházení s léčivy a ochranu spotřebitele, a rovněž pro ochranu oprávněných zájmů správce z důvodu prokázání souladu při kontrolách ze strany orgánů dozoru a pro obhajobu a výkon práv správce.

 

  1. Způsob zpracování, zpracovatelé a příjemci
    1. Osobní údaje budou zpracovávány automatizovaným i manuálním způsobem vlastními zaměstnanci správce nebo osobami v postavení zpracovatelů, které správce zpracováním osobních údajů pověřil a s nimiž uzavřel příslušné smlouvy o zpracování osobních údajů (taková osoba dále jen „zpracovatel“). Zpracování bude prováděno rovněž prostředky výpočetní techniky.
    2. Subjekt bere na vědomí, že správce využívá ke splnění daného účelu zpracovatele, kteří mají přístup k nezbytnému rozsahu osobních údajů subjektu pro splnění svého úkolu. Jedná se o zpracovatele zejména z následujících kategorií:
  • osoby provádějící účetnictví, audit, právní služby;
  • osoby poskytující IT služby;
  • osoby zabývající se vývojem, prodejem a servisem lékárenských systémů;
  • osoby zabývající se vývojem a implementací podnikových systémů;
  • osoby zabývající se vývojem webových a mobilních aplikací.
    1. Osobní údaje subjektu mohou být poskytnuty též dalším příjemcům, kteří jsou zapojeni do provozu webových stránek. Těmito příjemci jsou zejména osoby provozující lékárny Dr. Max v ČR.
    2. Aktuální seznam příjemců, včetně zpracovatelů, si lze vyžádat na kontaktech správce uvedených v čl. II odst. 1 těchto zásad.
    3. Osobní údaje mohou být rovněž poskytnuty orgánům veřejné moci oprávněným získávat osobní údaje dle příslušných právních předpisů. Zpracování osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro daný účel zpracování.

 

  1. Uplatnění práv, odvolání souhlasu
    1. Veškeré dotazy, poznámky či žádosti týkající se zpracování osobních údajů, může subjekt směřovat na kontakty správce uvedené v čl. II odst. 1 těchto zásad.
    2. Není-li dotaz či žádost subjektu ke zpracování osobních údajů dle předchozího odstavce uspokojivě vyřízena, či má subjekt jiný dotaz, může se obrátit na pověřence správce pro ochranu osobních údajů na kontaktech uvedených v čl. II odst. 2 těchto zásad.
    3. O ukončení zasílání obchodních sdělení elektronickými prostředky může subjekt požádat též způsobem uvedeným v každém jednotlivém obchodním sdělení.
    4. Žádost, dotaz, odvolání souhlasu, uplatnění práva, požadavek na přístup či jiný požadavek subjektu bude po přijetí správcem zpracován bez zbytečného odkladu, v odůvodněných případech nejdéle do 1 měsíce. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další 2 měsíce. Odvolání souhlasu k zasílání obchodních sdělení prostřednictvím elektronických kontaktů (telefon, e-mailová adresa) bude vyřízeno bez zbytečného prodlení, nejpozději do 7 kalendářních dní.
    5. V případě potřeby mohou být při vyřizování požadavků dle tohoto článku V. zásad ze strany správce vyžadovány dodatečné informace pro přiřazení osoby ke konkrétnímu subjektu. V odůvodněných případech, pro ochranu práv subjektů, může být požadována kontrola/ověření identifikace osoby žadatele.
    6. Orgánem dozoru pro zpracování osobních údajů je Úřad pro ochranu osobních údajů, jehož kontaktní údaje jsou uvedeny na www.uoou.cz. Subjekt je oprávněn podat stížnost k orgánu dozoru.

 

  1. Podrobné poučení o právech
    1. Právo na přístup
  • Subjekt má právo získat od správce potvrzení, zda jsou jeho osobní údaje zpracovávány, a pokud ano, má právo požadovat informaci o účelu, kategoriích, zdroji, příjemcích, době zpracování, existenci práva na opravu, výmaz, omezení, námitky a podání stížnosti u dozorového úřadu.
  • Správce má nastavena opatření, aby každému subjektu poskytl veškeré informace a sdělení o zpracování. Správce informace poskytne elektronicky, popřípadě písemně.
  • Správce neodmítne vyhovět žádosti subjektu při výkonu práv subjektu, ledaže nemůže věrohodně zjistit totožnost subjektu údajů, k němuž se dotčené údaje vztahují.
  • Veškeré informace, sdělení a úkony jsou udělovány bezplatně. Pokud jsou žádosti podané subjektem vyhodnocené jako zjevně nedůvodné nebo nepřiměřené, a zejména pokud se opakují, může správce buď: (i) uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací, sdělení nebo s učiněním požadovaných úkonů, nebo (ii) odmítnout žádosti vyhovět.
  • Pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení subjektu.
    1. Právo na opravu
  • Subjekt má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se subjektu týkají.
  • S přihlédnutím k účelům zpracování má subjekt také právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.
    1. Právo na výmaz („právo být zapomenut“)
  • Subjekt má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se subjektu týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

a)  osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

b)  subjekt odvolá souhlas, na jehož základě byly údaje zpracovávány, a neexistuje žádný další právní důvod pro zpracování;

c)  subjekt vznese námitky proti zpracování (podle níže uvedeného „Práva vznést námitku“) a neexistují žádné převažující oprávněné důvody pro zpracování;

d)  osobní údaje byly zpracovány protiprávně;

e)  osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Evropské unie nebo členského státu, které se na správce vztahuje;

f)   osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti v případě osoby mladší 16 let, u níž musí ke zpracování dle účinné právní úpravy dát souhlas osoba vykonávající rodičovskou zodpovědnost.

  • Výše uvedené se neuplatní, pokud je zpracování nezbytné:

a)  pro výkon práva na svobodu projevu a informace;

b)  pro splnění právní povinnosti, jež vyžaduje zpracování podle právních předpisů, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;

c)  z důvodů veřejného zájmu v oblasti veřejného zdraví;

d)  pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely, pokud je pravděpodobné, že by výše uvedené právo znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování;

e)  pro určení, výkon nebo obhajobu právních nároků.

    1. Právo na omezení zpracování
  • Subjekt má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:

a)  pokud subjekt popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;

b)  zpracování je protiprávní a subjekt odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;

c)  správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt je požaduje pro určení, výkon nebo obhajobu právních nároků;

d)  pokud subjekt vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu.

  • Pokud bylo zpracování omezeno dle výše uvedeného „Práva na omezení zpracování“, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Evropské unie nebo některého členského státu.
    1. Právo na přenositelnost údajů
  • Subjekt má právo získat osobní údaje, které se jej týkají, které sdělil správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:

a)  zpracování je založeno na souhlasu nebo na smlouvě; nebo

b)  zpracování se provádí automatizovaně.

  • Předmětem „Práva na přenositelnost“ nejsou data získaná činností správce.
  • Při výkonu svého práva na přenositelnost údajů má subjekt právo na to, aby osobní údaje byly předány přímo správcem správci druhému, je-li to technicky proveditelné.
  • Výkonem výše uvedeného „Práva na přenositelnost údajů“ není dotčeno výše uvedené „Právo na výmaz“.
  • Výše uvedeným „Právem na přenositelnost údajů“ nesmí být nepříznivě dotčena práva a svobody jiných osob.
    1. Právo vznést námitku
  • Z důvodů týkajících se konkrétní situace subjektu, má subjekt právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají a které jsou zpracovávány na základě právního důvodu spočívajícím v oprávněném zájmu správce.
  • Pokud jsou osobní údaje zpracovány pro účely přímého marketingu (za základě oprávněného zájmu), má subjekt právo vznést kdykoli námitku proti zpracování osobních údajů, které se jej týkají, k takovému účelu, což zahrnuje i profilování, pokud se týká přímého marketingu. Pokud vznese subjekt námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.
  • Pokud jsou osobní údaje zpracovávány pro účely obrany proti nárokům subjektu, vymáhání pohledávek správce, k doložení souladu při provádění kontroly ze strany orgánu dozoru, má subjekt právo vznést kdykoliv námitku. Správce na základě této námitky přezkoumá zpracování a osobní údaje dále nezpracovává, pokud nebudou existovat závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
    1. Automatizované individuální rozhodování, včetně profilování
  • Subjekt má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro subjekt právní účinky nebo se jej obdobným způsobem významně dotýká.
  • Profilování, které je správcem prováděno, nemá pro subjekt právní účinky, ani se jej významně nedotýká.