Zásady zpracování osobních údajů

Úvod

Tento dokument vysvětluje, jak společnost MAGNAPRO s.r.o. zpracovává osobní údaje v souvislosti s provozem služby DataDent, webových stránek, registrací, smluvní agendou, fakturací, uživatelskými účty, technickým provozem, cookies a komunikací se zákazníky.

Dokument rozlišuje dvě roviny zpracování:

• MAGNAPRO jako samostatný správce osobních údajů — zejména registrační, smluvní, fakturační, autentizační, technická, webová, cookies a komunikační data.
• MAGNAPRO jako zpracovatel osobních údajů — pacientská data zpracovávaná v aplikaci DataDent jménem konkrétní ordinace nebo kliniky. V této oblasti je správcem osobních údajů vždy příslušná ordinace nebo klinika a vztah je upraven samostatnou smlouvou o zpracování osobních údajů (DPA).

Tyto zásady se vztahují zejména na situace, kdy společnost MAGNAPRO s.r.o. vystupuje jako samostatný správce osobních údajů.

Čl. 1 Identifikace správce

1.1. Správcem osobních údajů pro účely popsané v tomto dokumentu je:

1.2. Společnost MAGNAPRO s.r.o. má sídlo v České republice, tedy v Evropské unii. Zástupce správce v EU se proto neuplatní.

1.3 Kontaktní místo pro otázky ochrany osobních údajů

Čl. 2 Kategorie zpracovávaných osobních údajů

2.1. Zpracováváme zejména tyto kategorie osobních údajů:

• Identifikační a kontaktní údaje — jméno, příjmení, pracovní pozice, e-mail, telefon, název ordinace nebo společnosti, IČO, DIČ, sídlo, fakturační adresa a kontaktní adresa.
• Registrační a uživatelské údaje — údaje potřebné pro vytvoření a správu účtu, přihlašovací identifikátor, e-mail uživatele, role, oprávnění, stav účtu, datum vytvoření účtu, datum posledního přihlášení a potvrzení seznámení s právní dokumentací.
• Smluvní a fakturační údaje — údaje potřebné pro uzavření a plnění smlouvy, správu předplatného, vystavení daňových dokladů, evidenci plateb a správu objednávek.
• Technické, bezpečnostní a provozní údaje — IP adresa, datum a čas přístupu, identifikace zařízení a prohlížeče, systémové a bezpečnostní logy, údaje o chybách, pokusy o přihlášení, auditní záznamy a informace o podezřelých aktivitách.
• Komunikační údaje — obsah e-mailové, telefonické nebo jiné komunikace, servisní požadavky, odpovědi na dotazy a informace o vyřízení požadavku.
• Marketingové a obchodní komunikační údaje — e-mailová adresa, informace o souhlasu, odhlášení z komunikace, evidence odeslaných obchodních sdělení a technické údaje nutné pro doručení.
• Cookies a obdobné technologie — identifikátory uložené v prohlížeči, nastavení souhlasů, technické cookies a případně analytické nebo marketingové cookies, pokud k nim byl udělen souhlas.
• Platební údaje při platbě přes platební bránu — pokud je platba předplatného nebo jiného poplatku realizována prostřednictvím platební brány GoPay, můžeme zpracovávat identifikační a fakturační údaje plátce, údaj o transakci, částce, měně, datu a stavu platby, omezená platební metadata a identifikátor platby nebo objednávky. Údaje o samotné platební kartě nezpracováváme a neukládáme; tyto údaje zpracovává přímo poskytovatel platební brány.

Čl. 3 Účely zpracování a právní základy

3.1. Osobní údaje zpracováváme pro tyto účely:

3.1 Registrace, vytvoření účtu a poskytování služby DataDent

Osobní údaje zpracováváme za účelem vytvoření a správy uživatelského účtu, uzavření a plnění smlouvy, nastavení uživatelských rolí a oprávnění a poskytování služby DataDent.

Právní základ: plnění smlouvy nebo provedení opatření před uzavřením smlouvy podle čl. 6 odst. 1 písm. b) GDPR.

3.2 Smluvní, zákaznická a provozní komunikace

Osobní údaje zpracováváme za účelem komunikace se zákazníky, vyřizování dotazů, podpory, servisních požadavků, provozních oznámení a informování o důležitých změnách služby.

Právní základ: plnění smlouvy podle čl. 6 odst. 1 písm. b) GDPR a oprávněný zájem podle čl. 6 odst. 1 písm. f) GDPR na zajištění řádné komunikace, podpory a provozu služby.

3.3 Fakturace, účetnictví, daňová agenda a evidence plateb

Osobní údaje zpracováváme za účelem vystavení daňových dokladů, vedení účetnictví, evidence plateb, správy objednávek, plnění daňových povinností a případně zpracování platebních údajů souvisejících s úhradou služby.

Pokud je platba realizována prostřednictvím platební brány GoPay, zpracováváme pouze údaje nezbytné pro evidenci objednávky, platby, transakce a splnění účetních a daňových povinností. Údaje o platební kartě nezpracováváme ani neukládáme.

Právní základ: splnění právní povinnosti podle čl. 6 odst. 1 písm. c) GDPR a plnění smlouvy podle čl. 6 odst. 1 písm. b) GDPR.

3.4 Bezpečnost, audit, ochrana služby a právní nároky

Osobní údaje zpracováváme za účelem zabezpečení služby, prevence zneužití, detekce podezřelých aktivit, vedení auditních záznamů, řešení bezpečnostních incidentů, ochrany dat a ochrany právních nároků.

Právní základ: oprávněný zájem podle čl. 6 odst. 1 písm. f) GDPR na ochraně služby, uživatelů, klientů, dat a právních nároků; v některých případech také splnění právní povinnosti podle čl. 6 odst. 1 písm. c) GDPR.

3.5 Cookies a měření návštěvnosti

Technicky nezbytné cookies používáme pro fungování webu, aplikace, přihlášení, zabezpečení, správu relace a uložení volby cookies.

Analytické, marketingové nebo jiné netechnické cookies používáme pouze na základě souhlasu.

Právní základ: oprávněný zájem u technicky nezbytných cookies; souhlas podle čl. 6 odst. 1 písm. a) GDPR u netechnických cookies a obdobných technologií. Podrobnosti viz Zásady cookies.

3.6 Marketingová komunikace a obchodní sdělení

Pokud uživatel udělil souhlas, případně pokud jde o stávajícího klienta a komunikace se týká obdobných produktů nebo služeb, můžeme zasílat obchodní sdělení, novinky, informace o rozšíření služby, nabídky nebo marketingová oznámení.

Rozlišujeme:

• Provozní oznámení — například informace o výpadcích, údržbě, bezpečnosti, změnách služby, důležitých změnách dokumentace a changelogy. Tato oznámení jsou součástí poskytování služby a zpravidla je nelze odhlásit bez ukončení smluvního vztahu.
• Marketingová obchodní sdělení — například nabídky, obchodní novinky nebo propagační sdělení. Tato sdělení lze kdykoli odhlásit prostřednictvím odkazu v e-mailu nebo zasláním žádosti na kontaktní e-mail.

Právní základ: souhlas podle čl. 6 odst. 1 písm. a) GDPR, oprávněný zájem u stávajících zákazníků podle čl. 6 odst. 1 písm. f) GDPR a pravidla pro obchodní sdělení podle § 7 zákona č. 480/2004 Sb.

3.7 Důsledky neposkytnutí údajů

Poskytnutí registračních, kontaktních, smluvních a fakturačních údajů je smluvním požadavkem nezbytným pro uzavření a plnění smlouvy o poskytování služby DataDent. Bez poskytnutí těchto údajů nelze uzavřít smlouvu, aktivovat účet, poskytovat službu, vystavit daňový doklad ani zajistit potřebnou zákaznickou podporu.

Poskytnutí údajů pro marketingová sdělení a netechnické cookies je dobrovolné. Pokud souhlas neudělíte nebo jej odvoláte, nebude to mít vliv na možnost využívat základní službu DataDent.

3.8 Automatizované rozhodování a profilování

Neprovádíme automatizované rozhodování, které by mělo pro subjekt údajů právní účinky nebo se jej obdobným způsobem významně dotýkalo ve smyslu čl. 22 GDPR.

Některé technické operace mohou mít automatizovaný charakter, například detekce bezpečnostních incidentů, rate limiting, dočasné blokace podezřelých přístupů, lockout při opakovaných chybných přihlášeních nebo bezpečnostní upozornění. Tyto operace slouží výlučně k ochraně služby, uživatelů a dat a nemají povahu automatizovaného rozhodování s právními účinky.

Čl. 4 Pacientská data v aplikaci DataDent

4.1. Tento dokument se vztahuje především na zpracování osobních údajů, u nichž společnost MAGNAPRO s.r.o. vystupuje jako samostatný správce.

4.2. Pacientská data zpracovávaná v aplikaci DataDent, zejména údaje uvedené ve zdravotnických formulářích, anamnézách, informovaných souhlasech, pooperačních pokynech, fotografiích, přílohách nebo jiné zdravotnické dokumentaci, jsou zpracovávána jménem konkrétní ordinace nebo kliniky.

4.3. V této oblasti je správcem osobních údajů vždy příslušná ordinace nebo klinika. Společnost MAGNAPRO s.r.o. zde vystupuje jako zpracovatel osobních údajů a zpracování se řídí samostatnou smlouvou o zpracování osobních údajů (DPA) uzavřenou s ordinací nebo klinikou.

4.4. Pokud jste pacientem ordinace, informace o zpracování vašich zdravotních údajů najdete přímo u formuláře, který vyplňujete, nebo v dokumentu „GDPR informace pro pacientské formuláře". Správcem vašich pacientských údajů je vždy konkrétní ordinace nebo klinika.

Čl. 5 Zdroje osobních údajů

5.1. Osobní údaje získáváme zejména:

• přímo od vás při registraci, objednávce, uzavření smlouvy, komunikaci nebo používání služby,
• od osoby oprávněné jednat za klienta, například od hlavního lékaře, statutárního zástupce nebo administrátora účtu,
• z veřejných rejstříků a evidencí, zejména obchodního rejstříku, živnostenského rejstříku nebo registru ekonomických subjektů (ARES),
• z platební brány nebo bankovních výpisů v rozsahu nezbytném pro evidenci platby,
• automaticky při používání webu nebo aplikace, zejména prostřednictvím technických a bezpečnostních logů, cookies a obdobných technologií.

5.2. Pokud osobní údaje nezískáváme přímo od vás, informujeme vás v rozsahu vyžadovaném čl. 14 GDPR, pokud se neuplatní některá z výjimek podle GDPR.

Čl. 6 Příjemci a kategorie příjemců

6.1. Osobní údaje můžeme předávat pouze v nezbytném rozsahu a pouze důvěryhodným příjemcům, kteří nám pomáhají zajistit provoz služby, splnit smluvní nebo právní povinnosti nebo chránit naše oprávněné zájmy.

6.2. Příjemci mohou být zejména:

• poskytovatelé serverové, hostingové, zálohovací a technické infrastruktury,
• poskytovatelé e-mailových a komunikačních služeb,
• poskytovatelé účetních, daňových a právních služeb,
• poskytovatelé analytických, mapových nebo jiných externích služeb, pokud jsou aktivovány a pokud jsou splněny podmínky pro jejich použití,
• poskytovatelé platebních služeb, zejména GoPay s.r.o., IČO 26046768, pokud je platba realizována prostřednictvím GoPay; v rozsahu poskytování platebních služeb vystupuje GoPay jako samostatný správce platebních údajů,
• orgány veřejné moci, pokud nám předání ukládá právní předpis nebo závazné rozhodnutí.

6.3. Konkrétní seznam zpracovatelů a subzpracovatelů je uveden v samostatném dokumentu „Seznam zpracovatelů a subzpracovatelů DataDent", případně ve zpracovatelské smlouvě (DPA).

Čl. 7 Předávání osobních údajů mimo EU/EHP

7.1. Osobní údaje se snažíme zpracovávat primárně v České republice a v rámci Evropské unie nebo Evropského hospodářského prostoru.

7.2. K předání osobních údajů mimo EU/EHP může dojít zejména při využití některých externích služeb, například služeb poskytovaných společnostmi se sídlem v USA. V takovém případě používáme odpovídající mechanismus podle GDPR, zejména:

• rozhodnutí Evropské komise o odpovídající úrovni ochrany,
• EU-US Data Privacy Framework, pokud je příjemce platně certifikován,
• standardní smluvní doložky Evropské komise (SCC),
• doplňková technická a organizační opatření, pokud jsou nezbytná.

7.3. U služeb společnosti Google LLC vycházíme z mechanismu EU-US Data Privacy Framework, pokud je pro konkrétní službu a konkrétního příjemce použitelný. Pokud by tento mechanismus nebyl použitelný, posoudíme použití standardních smluvních doložek a dalších doplňkových opatření.

7.4. V současné době se může jednat zejména o služby Google Analytics 4, Google Maps, případně technické služby související se zobrazením externího obsahu nebo měřením návštěvnosti, pokud jsou v konkrétním případě aktivovány a používány.

7.1 Google Maps a externí obsah

Na webových stránkách služby DataDent nebo ve veřejných profilech ordinací či lékařů může být vložen externí obsah třetích stran, zejména Google Maps.

Podle aktuálního technického nastavení se tento externí obsah může načítat automaticky při zobrazení příslušné stránky. Při načtení externího obsahu může dojít ke zpřístupnění některých technických údajů třetí straně, zejména společnosti Google LLC, například IP adresy, údajů o zařízení, prohlížeči, čase přístupu a informace o navštívené stránce.

Použití Google Maps nebo obdobného externího obsahu slouží zejména k zobrazení polohy ordinace, pracoviště nebo jiných veřejně zobrazovaných informací. Podrobnosti o zpracování údajů společností Google se řídí jejími vlastními podmínkami a zásadami ochrany osobních údajů.

Pokud uživatel nechce, aby při návštěvě stránky docházelo k načítání externího obsahu třetích stran, může využít nastavení svého prohlížeče, rozšíření pro blokování externího obsahu nebo jiná technická opatření na své straně.

Čl. 8 Doba uchování osobních údajů

8.1. Osobní údaje uchováváme pouze po dobu nezbytnou pro naplnění účelu, pro který byly zpracovány, a následně po dobu vyžadovanou právními předpisy nebo potřebnou pro ochranu právních nároků.

• Uživatelské a klientské účty — po dobu trvání smluvního vztahu a poté nejvýše 4 roky po jeho skončení pro ochranu právních nároků, pokud právní předpis nebo konkrétní okolnosti nevyžadují delší dobu uchování.
• Smlouvy, objednávky a související dokumentace — po dobu trvání smluvního vztahu a následně zpravidla nejvýše 4 roky po skončení smluvního vztahu; v odůvodněných případech déle, pokud probíhá spor, reklamace, kontrola nebo jiné řízení.
• Fakturační, účetní a daňové doklady — po dobu stanovenou právními předpisy, zpravidla 10 let (zákon č. 235/2004 Sb., o DPH, § 35), pokud právní předpis nestanoví jinak.
• Bezpečnostní a technické logy — zpravidla 90 dní. V případě bezpečnostního incidentu, podezření na zneužití, vyšetřování incidentu nebo potřeby ochrany právních nároků mohou být uchovány po delší nezbytnou dobu.
• Souhlasy a odhlášení — po dobu nezbytnou k prokázání, že jsme postupovali v souladu s právními předpisy.
• Cookies — podle doby uvedené v samostatných Zásadách cookies nebo v nastavení cookies lišty.

Pacientská zdravotnická dokumentace je uchovávána ordinací jako samostatným správcem dle vyhlášky č. 444/2024 Sb. o zdravotnické dokumentaci (zpravidla 10 let od posledního poskytnutí zdravotní služby); MAGNAPRO jako zpracovatel ji uchovává jen po dobu trvání DPA s ordinací.

Čl. 9 Cookies a obdobné technologie

9.1. Na webových stránkách a v aplikaci můžeme používat cookies a obdobné technologie.

9.2. Technické cookies jsou nezbytné pro fungování webu nebo aplikace, například pro přihlášení, zabezpečení, správu relace, zapamatování základních nastavení nebo uložení volby cookies. Tyto cookies můžeme používat bez souhlasu, protože jsou nezbytné pro poskytování požadované služby.

9.3. Analytické, marketingové nebo obdobné netechnické cookies používáme pouze na základě vašeho předchozího souhlasu. Souhlas můžete kdykoli změnit nebo odvolat prostřednictvím nastavení cookies.

9.4. Souhlas s cookies ukládáme prostřednictvím technického záznamu v prohlížeči, například v localStorage nebo prostřednictvím technické cookie určené k uložení volby uživatele. Uživatel může svou volbu změnit z patičky webu prostřednictvím odkazu „Spravovat cookies".

9.5. Podrobnosti o používaných cookies jsou uvedeny v samostatném dokumentu Zásady cookies.

9.1 Externí obsah a Google Maps

Na některých stránkách služby DataDent, zejména u veřejných profilů ordinací nebo lékařů, může být vložen externí obsah třetích stran, zejména Google Maps. Podrobnější informace o automatickém načítání externího obsahu a možném zpřístupnění technických údajů třetím stranám jsou uvedeny v čl. 7.1 těchto zásad.

Čl. 10 Práva subjektů údajů

10.1. V souvislosti se zpracováním osobních údajů máte práva podle GDPR. Máte zejména právo:

• na přístup k osobním údajům (čl. 15 GDPR),
• na opravu nepřesných nebo neúplných údajů (čl. 16 GDPR),
• na výmaz osobních údajů, pokud jsou splněny podmínky GDPR (čl. 17 GDPR),
• na omezení zpracování (čl. 18 GDPR),
• na přenositelnost údajů (čl. 20 GDPR),
• vznést námitku proti zpracování založenému na oprávněném zájmu (čl. 21 GDPR),
• nebýt předmětem automatizovaného rozhodování s právními účinky (čl. 22 GDPR),
• odvolat souhlas, pokud je zpracování založeno na souhlasu (čl. 7 odst. 3 GDPR),
• podat stížnost u Úřadu pro ochranu osobních údajů.

10.2. Odvolání souhlasu nemá vliv na zákonnost zpracování provedeného před jeho odvoláním.

10.3. Souhlas s marketingovou komunikací můžete odvolat odhlašovacím odkazem v e-mailu nebo zasláním žádosti na kontaktní e-mail.

10.4. Souhlas s netechnickými cookies můžete změnit nebo odvolat v nastavení cookies.

10.1 Jak práva uplatnit

Svá práva můžete uplatnit prostřednictvím kontaktních údajů uvedených v tomto dokumentu. Při vyřízení žádosti můžeme požadovat přiměřené ověření totožnosti, pokud je to nezbytné k ochraně osobních údajů a zabránění jejich neoprávněnému zpřístupnění.

Na žádosti odpovídáme bez zbytečného odkladu, nejpozději ve lhůtách stanovených GDPR (zpravidla do jednoho měsíce; v odůvodněných případech lze lhůtu prodloužit o další dva měsíce).

Čl. 11 Jak nás můžete kontaktovat

11.1. Ve věcech ochrany osobních údajů nás můžete kontaktovat:

11.2. Máte také právo podat stížnost u dozorového úřadu:

Čl. 12 Zabezpečení osobních údajů

12.1. Přijímáme přiměřená technická a organizační opatření k ochraně osobních údajů, zejména:

• šifrovanou komunikaci přes HTTPS a HSTS,
• podporu vícefaktorového ověření, například TOTP, FIDO2/WebAuthn a záložní obnovovací kódy,
• šifrování vybraných citlivých kategorií dat (AES-256-GCM s per-záznam HKDF derivací),
• ochranu proti útokům hrubou silou — rate limiting, lockout a progresivní blokace podezřelých přístupů,
• bezpečnostní hlavičky a ochranu proti běžným webovým útokům (CSP, XSS, clickjacking),
• per-request CSRF ochranu s rotací tokenu,
• auditní a systémové logování vybraných bezpečnostních a administrátorských událostí,
• e-mailová upozornění u podezřelých aktivit (banování IP, opakovaná chybná přihlášení),
• provoz dat primárně v České republice na vlastní nebo smluvně zajištěné infrastruktuře,
• pravidelné zálohování s interně stanovenou retenční dobou,
• omezení přístupů podle rolí a principu need-to-know,
• závazky mlčenlivosti a školení osob, které mohou přijít do styku s osobními údaji.

12.2. Bezpečnostní opatření průběžně vyhodnocujeme a přizpůsobujeme povaze služby, rozsahu zpracování, technickému vývoji a zjištěným rizikům.

Čl. 13 Změny těchto zásad

13.1. Tyto zásady můžeme čas od času aktualizovat, zejména při změně služby, změně používaných dodavatelů, změně právních předpisů nebo změně způsobu zpracování osobních údajů.

13.2. Aktuální verze je vždy dostupná na webových stránkách služby DataDent. Pokud dojde k podstatné změně, informujeme uživatele vhodným způsobem, například e-mailem, oznámením v aplikaci nebo při dalším přihlášení.