Ochrana osobních údajů – AlphaLabs

  1. Společnost AlphaLabs s.r.o., IČO 10822577, se sídlem Bubenské nábřeží 1594/6, Holešovice, 170 00 Praha 7 (dále jen „AlphaLabs“), je poskytovatelem zdravotních služeb dle § 11 zákona č. 372/2011 Sb., o zdravotních službách. Kontaktní údaje společnosti jsou: info@alphalabs.cz tel: 910 920 790. AlphaLabs ve vztahu ke klientům, obchodním partnerům, svým zaměstnancům i uchazečům o zaměstnání vystupuje v pozici správce osobních údajů ve smyslu nařízení GDPR, není-li dále stanoveno jinak. 
  2. Termíny jako nařízení GDPR, správce, osobní údaje, subjekt údajů a další jsou vysvětleny níže.
  3. AlphaLabs zavedl za účelem ochrany zpracovávaných osobních údajů komplexní compliance program, který zajišťuje zákonnost a bezpečnost zpracování. Součástí compliance programu jsou mj. interní předpisy společnosti, záznamy o činnostech zpracování (ve smyslu čl. 30 nařízení GDPR), skartační plány, informační dokumenty pro subjekty údajů, jakož i příslušné zpracovatelské smlouvy (ve smyslu čl. 28 nařízení GDPR).

Osobní údaje klientů a zákazníků

  1. Pokud jste klientem AlphaLabs nebo se jím chcete stát – objednáte se na úvodní konzultaci, zpracovává o Vás AlphaLabs řadu osobních údajů, z nichž některé mohou tvořit tzv. zvláštní kategorii osobních údajů (dříve také „citlivé údaje“), a to zejména údaje o Vašem zdravotním stavu.
  2. V případě žádosti o úvodní konzultaci (objednání on-line, telefonicky, e-mailem či na pobočce) zpracovává AlphaLabs Vaše jméno, přímení, e-mail a telefonní číslo. Na úvodní konzultaci Vám bude předložen k vyplnění anamnestický dotazník obsahující některé údaje o Vašem zdravotním. Tyto osobní údaje jsou společností AlphaLabs zpracovávány za účelem uzavření smlouvy o poskytování zdravotních služeb a v případě jejího uzavření budou coby součást Vaší zdravotnické dokumentace dále zpracovávány, jak je popsáno níže. Pokud smlouvu o poskytování zdravotních služeb neuzavřete, budou Vaše osobní údaje v rozsahu, v jakém je AlphaLabs ze zákona povinen vést o úvodním vyšetření zdravotnickou dokumentaci, zpracovávány po dobu vyžadovanou zákonem, a v ostatním rozsahu budou vymazány ve lhůtě 5 let. Vaše kontaktní údaje (jméno, přímení, e-mail, telefonní číslo) bude AlphaLabs pro případ vyžádání další bezplatné konzultace evidovat po dobu 5 let a následně budou smazány, a to i v případě, že se na úvodní konzultaci objednáte, avšak nedostavíte se. Právním důvodem tohoto zpracování je provedení opatření před uzavřením smlouvy, o jejichž provedení klient požádal, a oprávněné zájmy AlphaLabs (ochrana pro případ sporu a zájem na minimalizaci počtu opakovaných bezplatných konzultací). 
  3. V případě zájmu o testosteronovou léčbu vyplníte dokument „Informovaný souhlas klienta s testosteronovou léčbou“ a „Smlouvu o péči o zdraví a o členství v prémiovém programu privátní zdravotní péče,“ kterou uzavřete s AlphaLabs a na základě které se stáváte klientem AlphaLabs. AlphaLabs jako správce vede evidenci klientů a zdravotnickou dokumentaci klientů v souladu s příslušnými právními předpisy, zejména zákonem č. 372/2011 Sb., o zdravotních službách, a vyhláškou č. 98/2012 Sb., o zdravotnické dokumentaci, a dalšími předpisy, kterými je AlphaLabs povinen se řídit. 
  4. Osobní údaje klientů AlphaLabs zpracovává v nezbytném rozsahu podle rozsahu poskytovaných zdravotních služeb, a to zejména

    • identifikační údaje,
    • adresní údaje,
    • kontaktní údaje,
    • platební údaje,
    • údaje o zdravotním stavu a lékařské záznamy, včetně např. zpráv, grafů, anamnéz, nálezů, předpisů, diagnóz, lékařských testů, výsledků testů apod.,
    • další údaje nezbytné pro stanovené účely zpracování (viz níže).
  5. Tyto osobní údaje AlphaLabs zpracovává za účelem uzavírání a plnění příslušné smlouvy uzavřené s klientem, vedení zdravotnické dokumentace dle právních předpisů, vedení účetnictví společnosti, ochranu práv společnosti. Právním důvodem (slovy nařízení GDPR) zpracování těchto osobních údajů je plnění smlouvy, plnění právních povinností AlphaLabs a ochrana oprávněných zájmů AlphaLabs.
  6. AlphaLabs také zaznamenává e-mailovou a telefonickou komunikaci klientů se společností za účelem plnění smlouvy uzavřené s klientem a ochrany oprávněných zájmů společnosti a vede evidenci klientů v rámci účetní a právní agendy společnosti za účelem plněních povinnosti uložených společnosti právními předpisy, plnění smlouvy uzavřené s klientem a ochrany oprávněných zájmů společnosti.
  7. Osobní údaje klientů v rámci komunikace s klienty a evidence klientů jsou uchovávány po dobu 5 let od posledního poskytnutí zdravotní služby klientovi. Tato lhůta platí i pro osobní údaje zpracovávané v rámci zdravotnické dokumentace při následném poskytování zdravotních služeb, ledaže příslušné předpisy vyžadují lhůty delší. 

Osobní údaje obchodních partnerů a jejich kontaktních osob

  1. AlphaLabs zpracovává osobní údaje svých obchodních partnerů, jako jsou například dodavatelé materiálu, úklidových služeb, energií, pronajímatelé obchodních prostor, poskytovatelé IT služeb atd. V rámci těchto obchodních vztahů AlphaLabs zpracovává osobní údaje obchodního partnera, pokud je fyzickou osobou, a osobní údaje dalších osob, s nimiž se AlphaLabs v rámci smluvního vztahu s partnerem setkává, tj. zejména statutárních orgánů či členů statutárních orgánů partnerů, kontaktních osob partnerů či jiných osob jednajících za partnera. Osobní údaje těchto subjektů AlphaLabs jako správce zpracovává za účelem uzavření a plnění smlouvy s partnerem, vedení účetnictví AlphaLabs či plnění jiných povinností AlphaLabs a za účelem ochrany AlphaLabs zejm. pro případy vymáhání plnění povinností a sporů, a to v rozsahu:

    • identifikační údaje, 
    • kontaktní údaje.
  2. Právním důvodem (slovy nařízení GDPR) zpracování těchto osobních údajů je plnění smlouvy, plnění právních povinností AlphaLabs a ochrana oprávněných zájmů AlphaLabs.
  3. Osobní údaje obchodních partnerů a jejich kontaktních osob jsou uchovávány po dobu 4 let od ukončení smluvního vztahu. 

Osobní údaje uchazečů o zaměstnání

  1. V případě, že se chcete stát zaměstnancem AlphaLabs a zašlete nám e-mailem Váš životopis a motivační dopis, případně další dokumenty související s výběrovým řízením, bude AlphaLabs po dobu trvání výběrového řízení zpracovávat osobní údaje v těchto dokumentech a e-mailové komunikaci obsažené.
  2. V případě nepřijetí do pracovněprávního poměru budou Vaše osobní údaje nejpozději do 1 roku vymazány, ledaže požádáte o další uchování těchto osobních údajů za účelem účasti v dalším výběrovém řízení.
  3. Účelem zpracování osobních údajů uchazečů o zaměstnání je realizace výběrového řízení, do něhož je subjekt údajů (uchazeč) na vlastní žádost zapojen. Právní důvodem je provedení opatření před uzavřením smlouvy přijatých na žádost subjektu údajů.

Kamerové systémy

  1. AlphaLabs provozuje bezpečnostní kamerový systém (bez zvukového záznamu) monitorující vymezené prostory společnosti, a to za účelem ochrany majetku společnosti, bezpečnosti osob vstupujících do prostor společnosti a ochrany jejich majetku a zdraví a kontroly plnění hygienických předpisů a příslušných norem vzhledem k povaze provozu.
  2. Záznamy z bezpečnostních kamer se uchovávají po dobu 7 dnů, není-li stanoveno jinak, a po uplynutí této doby jsou automaticky vymazány. Právním důvodem zpracování je oprávněný zájem společnosti dle čl. 6 odst. 1 písm. f) nařízení GDPR.

Příjemci osobních údajů

  1. AlphaLabs předává osobní údaje níže uvedeným příjemcům – zpracovatelům či správcům. Seznam příjemců společnost pravidelně aktualizuje.
  2. AlphaLabs jako správce využívá pro zpracování osobních údajů pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky nařízení GDPR a jiných právních předpisů, zásady bezpečnosti zpracování AlphaLabs a aby byla zajištěna ochrana práv subjektů údajů.
  3. Příjemci osobních údajů 

    • Labs1503 a.s.,
    • Labs1503 distribution a.s. 
    • Voksys, s.r.o. (IT služby), 
    • Freshworks, Inc., 
    • Google Ireland Limited
    • Asseco Solutions, a.s. (Helios)
    • Facebook
    • Devire, s.r.o.
    • LMC, s.r.o.
    • V nezbytných případech mohou být osobní údaje v nezbytném rozsahu předávány právním poradcům společnosti.

Práva subjektů údajů

  1. Každá osoba, jejíž osobní údaje společnost zpracovává, má v souvislosti s ochranou osobních údajů zejména následující práva vyplývající z nařízení GDPR. K nim jsou níže v odst. 2 až 8 uvedeny zásady postupu společnosti a zaměstnanců při uplatnění práv subjektem, týká-li se uplatnění takových práv osobních údajů zpracovávaných společností jako správcem. Výkon některých práv subjektů údajů může být v souladu s právními předpisy přiměřeně omezen právy jiných osob.
  2. Pokud subjekt údajů udělili souhlas se zpracováním svých osobních údajů, má právo jej kdykoli odvolat.

    • Odvolat souhlas se zpracováním osobních údajů musí být stejně snadné, jako ho poskytnout. Souhlas lze odvolat písemně i prostřednictvím e-mailu v jakékoli formě dostatečně prokazující osobu subjektu údajů. Byl-li souhlas udělen telefonicky, lze jej odvolat i telefonicky.
    • Odvolání souhlasu je třeba vždy vyhovět a údaje zpracovávané na základě souhlasu dále nijak nezpracovávat a vymazat.
    • Odvoláním souhlasu není dotčeno zpracování osobních údajů probíhající na základě jiných právních důvodů, než je souhlas, zejména pro plnění smlouvy, jejíž stranou je subjekt údajů, nebo plnění právních povinností správce. Údaje zpracovávané na základě těchto jiných právních důvodů se následkem odvolání souhlasu nevymazávají.

Právo na přístup k osobním údajům

  1. Subjekt údajů má právo požadovat po správci, aby mu sdělil, zda zpracovává jeho osobní údaje. Pokud ano, má subjekt právo tyto osobní údaje a informace o zpracování od správce obdržet v rozsahu: účely zpracování, kategorie dotčených os. údajů, příjemci nebo kategorie příjemců os. údajů, plánovaná doba, po kterou budou os. údaje uloženy, nebo kritéria pro její stanovení, existence práva požadovat od správce opravu nebo výmaz os. údajů (viz níže), právo podat stížnost u ÚOOÚ, informace o zdroji os. údajů, skutečnost, že dochází k automatizovanému rozhodování nebo profilování. Jsou-li některé osobní údaje žadatele předávány do 3. zemí, má právo být informován o vhodných zárukách dle čl. 46 GDPR. Zaměstnanec, který žádost obdržel, ji předá pověřenému zaměstnanci s oprávněným přístupem k osobním údajům žadatele. Ten ověří, zda společnost zpracovává osobní údaje žadatele a zda se žadatel jeví být tou osobou, jíž se zpracovávané osobní údaje týkají. Pokud ano, poskytne žadateli informace o zpracování jeho osobních údajů.

Právo na přenositelnost osobních údajů

  1. Subjekt údajů má právo získat své osobní údaje, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, a to v případě, že se zpracování provádí automatizovaně a je založeno na souhlasu subjektu nebo je nezbytné pro plnění smlouvy. Rovněž má právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné. Zaměstnanec, který žádost obdržel, ji předá pověřenému zaměstnanci s oprávněným přístupem k osobním údajům žadatele. Ten ověří, zda společnost zpracovává osobní údaje žadatele a zda se žadatel jeví být tou osobou, jíž se zpracovávané osobní údaje týkají. Pokud ano, předá žádost k vyřízení pověřenému pracovníkovi IT oddělení, který ve strukturovaném, běžně používaném a strojově čitelném formátu předá žadateli nebo na žádost žadatele jinému správci. 

Právo na opravu osobních údajů

  1. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů. Žádost o opravu osobních údajů zpracovávaných společností předá zaměstnanec, který ji obdržel, pověřenému zaměstnanci s oprávněným přístupem k osobním údajům žadatele. Ten ověří, zda společnost zpracovává osobní údaje žadatele a zda se žadatel jeví být tou osobou, jíž se zpracovávané osobní údaje týkají. Pokud ano, opraví nebo doplní zpracovávané osobní údaje žadatele dle žádosti. Doplnění osobních údajů žadatele o nové osobní údaje na základě žádosti je možné pouze tehdy, pokud zpracování takových nových údajů odpovídá účelu zpracování. O opravě nebo doplnění osobních údajů společnost žadatele vyrozumí.

Právo na výmaz osobních údajů (právo být zapomenut)

  1. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se ho týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud:

    • již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, nebo 
    • subjekt vznesl námitky proti zpracování podle čl. 21 odst. 1 nařízení a neexistují žádné převažující oprávněné důvody pro zpracování, nebo 
    • osobní údaje subjektu byly zpracovány protiprávně, nebo 
    • osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo České republiky. 

    Žádost o výmaz osobních údajů zpracovávaných společností předá zaměstnanec, který ji obdržel, pověřenému zaměstnanci s oprávněným přístupem k osobním údajům žadatele. Ten ověří, zda společnost zpracovává osobní údaje žadatele a zda se žadatel jeví být tou osobou, jíž se zpracovávané osobní údaje týkají. Pokud ano a je-li dána některá z podmínek pro výmaz osobních údajů žadatele (viz a) až d) výše), osobní údaje vymaže.

Právo na omezení zpracování osobních údajů

  1. Subjekt údajů má právo na to, aby správce omezil zpracování, pokud: 

    • subjekt popírá přesnost zpracovávaných osobních údajů, a to na dobu potřebnou k ověření přesnosti osobních údajů, nebo 
    • zpracování osobních údajů je protiprávní, ale subjekt odmítá výmaz a žádá místo toho omezení jejich použití, nebo 
    • společnost již osobní údaje nepotřebuje pro účely zpracování, ale subjekt je požaduje pro určení, výkon nebo obhajobu svých právních nároků, nebo 
    • subjekt vznesl námitku proti zpracování podle čl. 21 odst. 1 nařízení, a to na dobu potřebnou k ověření, zda oprávněné důvody společnosti převažují nad oprávněnými důvody subjektu. 

    Žádost o omezení zpracování osobních údajů zpracovávaných společností předá zaměstnanec, který ji obdržel, pověřenému zaměstnanci s oprávněným přístupem k osobním údajům žadatele. Ten ověří, zda společnost zpracovává osobní údaje žadatele a zda se žadatel jeví být tou osobou, jíž se zpracovávané osobní údaje týkají. Pokud ano a je-li dána některá z podmínek pro omezení zpracování osobních údajů žadatele (viz a) až d) výše), označí osobní údaje žadatele na dobu omezení zpracování alespoň tak, aby zejména nemohly být žádným způsobem užívány. Označení omezení zpracování osobních údajů musí být srozumitelné pro všechny, osoby, které mají k osobním údajům přístup, a lze jej učinit např. vyjmutím a přesunem údajů do jiné databáze.

Právo vznést námitku proti zpracování osobních údajů

  1. Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování svých osobních údajů pro účely oprávněných zájmů správce nebo pro účely splnění úkolu prováděného ve veřejném zájmu, včetně profilování pro tyto účely. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Žádost s námitkou ke zpracování osobních údajů zpracovávaných společností předá zaměstnanec, který ji obdržel, pověřenému zaměstnanci s oprávněným přístupem k osobním údajům žadatele. Ten ověří, zda společnost zpracovává jakékoliv osobní údaje žadatele a zda se žadatel jeví být tou osobou, jíž se zpracovávané osobní údaje týkají. Pokud ano a jedná-li se o námitku proti zpracování osobních údajů žadatele pro účely oprávněných zájmů správce nebo pro účely splnění úkolu prováděného ve veřejném zájmu, včetně profilování, posoudí pověřený zaměstnanec, zda oprávněné důvody společnosti pro zpracování převažují nad zájmy nebo právy žadatele. Pokud ne, údaje zpracovávané pro takové účely se vymažou.

Definice


Pro účely této informace o zpracovávání osobních údajů se rozumí:

  • „nařízením GDPR“ NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů);
  • „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
  • „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
  • „správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;
  • „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
  • „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;
  • „souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
  • „porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;
  • „údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;
  • „závaznými podnikovými pravidly“ koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazený na území členského státu při jednorázových nebo souborných předáních osobních údajů správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost.

Buďte opět na vrcholu svých sil

Zjistěte, jak můžeme pomoci i vám cítit se skvěle. Ozvěte se nám a získejte bezplatnou konzultaci.

Konzultace zdarma

Kliniky LABS1503

ALPHALABS je součástí rodiny klinik LABS1503, které od roku 2015 umožňují lidem vypadat, cítit se a žít lépe, mít kontrolu nad svým zevnějškem a milovat svoje tělo. Neustále sledujeme trendy, testujeme je, inovujeme, vývojem přivádíme k dokonalosti a nabízíme vám je tak, že jsou dostupné.

Bezplatná konzultace