Zásady zpracování osobních údajů dle Nařízení GDPR
Z platné právní úpravy, tj. zákona č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů ve znění pozdějších předpisů a především z Nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen “Nařízení GDPR”) ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), které nabývá účinnosti ke 25. květnu 2018, pro nás vyplývá řada povinností týkajících se ochrany osobních údajů.
Níže uvedené zásady zpracování osobních údajů společnostmi:
poskytují informace o tom, jaké osobní údaje jako společní správci o Vás při prodeji a poskytování lázeňských léčebně rehabilitačních a ubytovacích služeb, při návštěvách našich internetových stránek, při rezervování pobytu prostřednictvím e-shopu a při kontaktu se stávajícími i potenciálními zákazníky, k jakým účelům a jak dlouho tyto osobní údaje v souladu s platnými právními předpisy zpracováváme, komu a z jakého titulu je můžeme (případně musíme) poskytnout, a rovněž informovat o tom, jaká práva Vám v souvislosti se zpracováním Vašich osobních údajů náleží.
Stanovili jsme společné účely a prostředky zpracování společných správců osobních údajů a vymezili jsme také mezi sebou transparentním ujednáním své podíly na odpovědnostech za plnění povinností uložených výše uvedeným Nařízením GDPR. Problematice ochrany osobních údajů se aktivně věnujeme, snažíme se sledovat aktuální vývoj v oblasti bezpečnosti informací, národní legislativy a legislativy EU, abychom správně implementovali veškeré požadavky uložené regulatorním rámcem pro ochranu osobních údajů.
V souladu s požadavky Nařízení GDPR má každý z výše uvedených správců jmenovaného pověřence pro ochranu osobních údajů (“Data Protection Officer”), který zajišťuje výkon Vašich práv v oblasti ochrany osobních údajů, monitoruje soulad činností s požadavky Nařízení a je vybaven dostatečnými kompetencemi k ovlivňování nastavení nových i stávajících postupů v zájmu maximální možné míry ochrany Vašich osobních údajů.
Osobním údajem dle Nařízení GDPR je jakýkoliv údaj, který se týká přímo či nepřímo identifikovatelné osoby. Osobní údaje zpracováváme ručně i automatizovaně, přičemž platí, že pro jednotlivé způsoby zpracování osobních údajů máme stanovená jasná pravidla a s využitím vnitřních předpisů také vedeme evidenci veškerých činností, při kterých dochází ke zpracováním osobních údajů. V souvislosti s prodejem a poskytováním služeb mohou být z naší strany zpracovávány následující kategorie osobních údajů.
Základní osobní identifikační údaje a další údaje vzniklé při léčebném pobytu:
Věrnostní programy / kluby:
Abychom Vás mohli informovat o novinkách, slevách a dalších výhodách členství věrnostního programu/klubu, nabídkách lázeňských pobytů a léčebných programů, poskytujete nám souhlas se zpracováním Vašich osobních údajů uvedených v přihlášce do věrnostního programu/klubu. Přihláška do věrnostního programu/klubu obsahuje následující osobní údaje: jméno a příjmení, datum narození, bydliště, kontaktní telefon a e-mailová adresa). Spolu s těmito údaji zpracováváme také informace o čerpaných výhodách v podobě věrnostních bodů, které se automatizovaně načítají při čerpání našich služeb. Podrobnosti a pravidla provozování každého věrnostního programu/klubu jsou vždy upraveny konkrétními podmínkami, s kterými Vás v případě zájmu o členství seznámíme před registrací.
Kamerové systémy:
Ve vybraných prostorách je provozován kamerový systém a to výhradně za účelem střežení objektu v příčinné souvislosti s ochranou majetku případně z důvodu ochrany oprávněných zájmů. Kamerové systémy jsou provozovány v reálném čase bez ukládání obrazového záznamu. Lokality, ve kterých je kamerový systém provozován, jsou řádně a viditelně označeny před vstupem do sledovaného prostoru.
Zpracovávání cookies z našich internetových stránek:
Při návštěvě našich webových stránek, i v případě, že nevytvoříte rezervaci, můžeme formou malých textových souborů, tzv. cookies zpracovávat informace o chování na internetových stránkách za účelem vylepšení provozu internetových stránek a a pro účely internetové reklamy. Většina prohlížečů automaticky přijímá soubory cookies ve výchozím nastavení. Je tedy možné soubory cookies v nastavení Vašeho prohlížeče odmítnout anebo povolit užívání jen některých. Pokud vytvoříte rezervaci, náš systém zaregistruje, z jakého zařízení a které webové stránky byla provedena.
Údaje z komunikace mezi námi a zákazníkem:
Na webových stránkách používáme online komunikačních služeb mezi uživatelem a našimi operátory za účelem provedení rezervace pobytu v lázeňském hotelu. Do této kategorie také patří další údaje, které vznikají ve stejné souvislosti při komunikaci mezi námi a zákazníkem v písemné či elektronické podobě, záznamy telefonických hovorů a dalších online komunikačních prostředků (chaty či videochaty) používaných pracovníky zákaznické linky.
Rezervační portály dalších provozovatelů:
Na základně smluvních vztahů spolupracujeme s několika provozovateli rezervačních portálů (například Booking.com, Sanatoriums.com, rezervaceubytovani.cz, spabooking.cz, …). V těchto případech poskytujete své osobní údaje primárně těmto provozovatelům. Takto poskytnuté osobní údaje zpracováváme pouze za účelem vyřízení Vaší poptávky.
Zprostředkovatelé pobytů (cestovní kanceláře):
Na základně smluvních vztahů dále spolupracujeme se zprostředkovateli pobytů zahraničních i tuzemských klientů. Také těmto zprostředkovatelům poskytujete své osobní údaje, které zpracováváme výhradně za účelem poskytnutí našich služeb a následného vyúčtování pobytů.
Údaje obsažené v návrhu na lázeňskou péči a údaje vyplněné v registrační kartě, společně s údaji o úhradě pobytu zpracováváme na základě právního vztahu mezi Vámi (případně Vaší zdravotní pojišťovnou) a naší společností. Předmětem tohoto právního vztahu je poskytování lázeňské léčebně rehabilitační péče a souvisejících služeb (ubytovacích, stravovacích apod.). Účelem takového zpracování je poskytování uvedených služeb. Návrh na lázeňskou péči získáváme od Vaší zdravotní pojišťovny.
Obdobně též údaje o Vašich absolvovaných léčebných pobytech zpracováváme na témže právním základě, v případě hrazených služeb lázeňské léčebně rehabilitační péče (komplexní nebo příspěvkové péče) se k němu přidává naše povinnost poskytnout zdravotní pojišťovně údaje o výkonech zdravotní péče poskytnutých Vám v našich zařízeních a další údaje vyžadované zdravotními pojišťovnami a umožnit jejich kontrolu pojišťovnami.
Za účelem poskytování lázeňské léčebně rehabilitační péče a souvisejících služeb zpracováváme údaje o poskytnuté péči po dobu Vašeho léčebného pobytu v našich lázních a po jeho ukončení po dobu, po kterou je zdravotní pojišťovna na základě obecně závazných právních předpisů oprávněna provést kontrolu poskytnutých hrazených služeb a jejich vyúčtování. Obdobně v případě příspěvkové péče, či v případě péče hrazené samoplátcem zpracováváme o poskytnuté péči po dobu, v níž je samoplátce oprávněn zpochybnit poskytnutí péče.
V průběhu léčebného pobytu vedeme za podmínek stanovených zákonem č. 372/2011 Sb. o zdravotních službách a souvisejícím prováděcími právním předpisem zdravotnickou dokumentaci v listinné a elektronické podobě, která je chráněna před nahlížením nebo jiným nakládáním neoprávněnými osobami nebo ztrátou. Zdravotnickou dokumentaci v listinné a elektronické podobě uchováváme v souladu s s vyhláškou MZ č. 98/2012 Sb. po dobu 10 let od ukončení lázeňské léčebně rehabilitační péče.
V případě cizinců zpracováváme údaje nutné pro hlášení pobytu cizinců, a to na základě povinnosti uložené zákonem č. 326/1999 Sb. o pobytu cizinců na území České republiky a o změně některých zákonů, ve znění pozdějších předpisů. Toto zpracování provádíme výhradně za účelem splnění uvedené povinnosti, zahrnuje předání údajů obsažených v registrační kartě cizinecké policii.
Pokud jste nám poskytli souhlas ke zpracovávání Vašich kontaktních údajů a údajů o Vašich pobytech u nás, zpracováváme tyto údaje na základě Vašeho souhlasu (obdobně je tomu v případě Vašeho členství v našich věrnostních programech/klubech). Účelem zpracování je zde naše možnost informovat Vás (jako společní správci, ale i samostatně) o nabídkách našich lázeňských pobytů a léčebných programů a dalších zvýhodněných či společných akcích. Osobní údaje poskytnuté při registraci do věrnostního programu / klubu, spolu s automatizovaně zpracovávanými informace o čerpaných výhodách v podobě věrnostních bodů, uchováváme pouze po dobu členství ve věrnostním programu/klubu.
Záznamy telefonických hovorů jsou uchovávány po dobu 30 dnů a následně automaticky odmazávány. Záznamy dalších online komunikačních prostředků (chaty či videochaty) používaných pracovníky zákaznické linky ne neuchovávají.
Účetní a daňové doklady, kterými poskytnutou péči / pobyt vyúčtováváme, obsahují též některé osobní údaje (jméno a příjmení klienta, typ poskytnuté služby, datum vystavení dokladu a v případě výkazů pro zdravotní pojišťovnu jsou obsažena také čísla pojištěnců). Tyto doklady uchováváme v souladu s § 35 zákona č. 235/2004 Sb., o dani z přidané hodnoty po dobu 10 let od jejich vystavení.
Obecná doba zpracování osobních údajů:
V případě údajů, které zpracováváme na základě Vašeho výslovného souhlasu, vždy pečlivě zvažujeme a dle povahy konkrétního účelu vybíráme přiměřenou dobu platnosti souhlasu se zpracováním osobních údajů, která není delší než 10 let. Svůj souhlas se zpracováním osobních údajů můžete jednoduchým postupem uvedeným v článku VII. Informace o právech v souvislosti se zpracováním osobních údajů kdykoliv odvolat.
Vaše osobní údaje zpřístupňujeme výhradně příslušné zdravotní pojišťovně, pro účely kontroly, která je zdravotním pojišťovnám uložena obecně závaznými právními předpisy (zákon č. 48/1997 Sb. o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů, ve znění pozdějších předpisů). Jste-li samoplátcem poskytnuté péče, pak Vaše osobní údaje nezpřístupňujeme nikomu.
V případě cizinců jsme povinni předávat cizinecké policii osobní údaje obsažené v registrační kartě formou datové sady předávané prostřednictvím dálkového přístupu přes Internet (aplikace Ubyport).
Vaše osobní údaje můžeme předávat třetím stranám zajišťujícím pro nás podpůrné činnosti – rozesílání zásilek, vymáhání pohledávek, či právní služby. Tyto třetí strany jsou v postavení zpracovatele osobních údajů, předáváme jim pouze osobní údaje nezbytné pro daný účel (rozesílání zásilek, vymáhání pohledávek, či právní služby), a to pouze údaje těch klientů, kterých se konkrétní podpůrná činnost týká. Zpracovatele osobních údajů zajišťující výše uvedené činnosti pečlivě vybíráme a s každým uzavíráme smlouvu o zpracování osobních údajů, v rámci které má zpracovatel stanoveny přísné povinnosti související s ochranou a zabezpečením osobních údajů.
Zpracovatele osobních údajů průběžně měníme a doplňujeme, vzhledem k těmto aktualizacím a změnám jsme připraveni Vám k Vašemu písemnému, či e-mailovému dotazu sdělit aktuální seznam takovýchto subjektů, u nichž připadá v úvahu předání Vašich výše uvedených údajů.
Obchodní sdělení, která zasíláme pouze na základě Vašeho výslovného souhlasu se zpracováním osobních údajů pro marketingové a obchodní účely, jsou v souladu s požadavky zákona č. 480/2004 Sb., o některých službách informační společnosti zřetelně a jasně označena zkratkou “OS:” a je tak zřejmé, že uvedené sdělení je obchodním sdělením.
Z obchodních sdělení je také patrné, že jsme jejich odesílatelem a na konci obchodního sdělení je obsažen kontakt (resp. odkaz) pro odmítnutí zasílání těchto sdělení. Obchodní sdělení zasíláme pouze do doby, než vyslovíte nesouhlas.
Dle platné právní úpravy v oblasti ochrany osobních údajů máte následující práva při jejichž výkonu ověřujeme oprávněnost žádostí, kterým následně vyhovíme bez zbytečného odkladu, nejdéle v lhůtách uložených Nařízením GDPR. Za účelem rychlého vyřízení Vaší žádosti doporučujeme využít strukturovaného formuláře v elektronické podobě, který je dostupný na našich webových stránkách.
Právo na odvolání souhlasu se zpracováním osobních údajů:
V souladu s článkem 7. Nařízení GDPR můžete svůj souhlas se zpracováním osobních údajů pro marketingové a obchodní účely kdykoliv odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který jste nám dali před jeho odvoláním. Odvolání souhlasu proveďte výslovnou, srozumitelnou a dostatečně určitou žádostí zaslanou na adresu pověřence pro ochranu osobních údajů.
Právo na přístup k osobním údajům:
V souladu s článkem 15. Nařízení GDPR máte právo na přístup k osobním údajům, které ve Vašem případě zpracováváme. Toto právo zahrnuje získat od nás především:
Právo na potvrzení o zpracování osobních údajů spolu s právem na kopii osobních údajů uplatněte písemně na adrese pověřence pro ochranu osobních údajů.
Rádi bychom Vás upozornili, že v případě opakovaných žádostí jsme v souladu s Nařízením GDPR oprávněni účtovat za kopii osobních údajů přiměřený poplatek jenž bude odvozen od administrativních nákladů.
Právo na opravu osobních údajů:
V souladu s článkem 16. Nařízení GDPR máte právo na opravu Vašich osobních údajů v případě, že by byly v kterémkoli směru nesprávné, či nepřesné. Žádost na opravu osobních údajů uplatněte na adrese pověřence pro ochranu osobních údajů.
Právo na výmaz (“právo být zapomenut”):
V souladu s článkem 17. Nařízení GDPR máte právo na výmaz osobních údajů, které o Vás zpracováváme, pokud neprokážeme oprávněné důvody jejich zpracování. V rámci vnitřní předpisové dokumentace, interních procesů a podpůrných informačních systémů máme nastaveny mechanismy pro zajištění automatické anonymizace či výmazu osobních údajů v případech, kdy již nejsou potřebné pro účely, pro které byly shromážděny a zpracovány.
Pokud se domníváte, že jsme neprovedli výmaz Vašich osobních údajů a zpracováváme je tak nadále protiprávně, obraťte se s žádostí na výmaz na níže uvedenou adresu pověřence pro ochranu osobních údajů.
Právo na omezení zpracování:
V souladu s článkem 18. Nařízení GDPR máte do vyřešení Vašeho podnětu právo za omezené zpracování Vašich osobních údajů, pokud budete popírat přesnost Vašich osobních údajů, zpochybňovat důvody jejich zpracování nebo pokud podáte dle článku 21 Nařízení GDPR námitku proti jejich zpracování.
S žádostí směřující k omezení zpracování Vašich osobních údajů se obraťte na níže uvedenou adresu pověřence pro ochranu osobních údajů.
Oznamovací povinnost při opravě nebo výmazu nebo omezení zpracování:
Dojde-li na základě Vaší žádosti k opravě nebo výmazu osobních údajů, budeme v souladu s článkem 19. Nařízení GDPR informovat jednotlivé příjemce. To neplatí pro případy, kdy se takové informování ukáže jako nemožné, případně by vyžadovalo nepřiměřené úsilí. Na základě žádosti Vám také můžeme poskytnout informaci o těchto příjemcích. Žádost na poskytnutí informace o příjemcích Vašich osobních údajů uplatněte na adrese pověřence pro ochranu osobních údajů.
Právo na přenositelnost osobních údajů:
V souladu s článkem 20. Nařízení GDPR máte právo získat osobní údaje, které se Vás týkají a které jste nám poskytli, ve strukturovaném, běžně používaném a strojově čitelném formátu. Máte také právo požádat nás o předání těchto údajů jinému správci.
Pokud jsou Vámi poskytnuté osobní údaje automatizovaně zpracovávány, zajistíme po dohodě jejich předání ve strukturovaném, běžně používaném a strojově čitelném formátu. Bude-li to technicky proveditelné, můžeme Vaše údaje přímo předat i Vámi určenému správci.
Žádost můžete uplatnit na níže uvedené adrese pověřence pro ochranu osobních údajů a takové žádosti bude vyhověno po doložení oprávněnosti požadavku a v případě předání údajů jinému správci také autorizaci osoby jednající za příslušného správce, jemuž mají být údaje předány.
Právo vznést námitku:
V souladu s článkem 21. Nařízení GDPR máte právo vznést námitku proti zpracování za účelem posouzení, zda došlo k porušení povinností uložených nám platnou právní úpravou. Právo vznést námitku můžete uplatnit písemně (v listinné či elektronické podobě) na níže uvedené adrese pověřence pro ochranu osobních údajů.
Pokud neprokážeme existenci závažného oprávněného důvodu pro zpracování, který převažuje nad Vašimi zájmy nebo právy a svobodami, ukončíme takové zpracování bez zbytečného odkladu.
Automatizované individuální rozhodování, včetně profilování:
V souladu s článkem 22. Nařízení GDPR máte právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které by pro Vás mělo právní účinky nebo se Vás obdobným způsobem významně dotklo. Prohlašujeme, že při zpracovávání výše uvedených kategorií osobních údajů neprovádíme žádné automatizované individuální rozhodování, včetně profilování.
Právo obrátit se na dozorový úřad:
Kromě výše uvedeného máte právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů se sídlem Pplk. Sochora 27, 170 00 Praha 7 (www.uoou.cz).
Pokud máte k těmto zásadám nějaké připomínky, případně chcete-li uplatnit svá práva související se zpracováváním Vašich osobních údajů, obraťte se na nás písemně či elektronicky na libovolném z níže uvedených kontaktů. Pověřenci pro ochranu osobních údajů jednotlivých správců spolu úzce spolupracují a Váš požadavek se v případě omylu dostane vždy do správných rukou: