Podmínky zpracování osobních údajů

ve smyslu článku 28 obecného nařízení o ochraně osobních údajů (EU) 2016/679

(„Podmínky“)
  1. Společnost Castle Swing s.r.o., se sídlem Hradčanské náměstí 60/12, Hradčany, 118 00 Praha 1, IČO: 108 66 086, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod sp. zn. C 349803 („Poskytovatel“), vydává tyto Podmínky, které tvoří nedílnou součást Smlouvy o poskytování služeb a Pravidel užívání mobilní aplikace xCare.
  2. Služby Poskytovatele zahrnují aktivity, při kterých dochází ke zpracování osobních ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) („GDPR“).
  3. Na základě článku 28 GDPR je správce osobních údajů povinen uzavřít se zpracovatelem písemnou smlouvu o zpracování osobních údajů, ve které zpracovatel mimo jiné poskytne dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů, přičemž tyto Podmínky plní právě účel zmíněné písemné smlouvy o zpracování osobních údajů.

  1. DEFINICE 

    1. Slova a výrazy s velkým počátečním písmenem mají následující význam pro účely těchto Podmínek: 

      Aplikace

      mobilní aplikace xCare

      Občanský zákoník

      zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů;

      Objednatel“ 

      osoba, která s Poskytovatelem uzavřela Smlouvu o poskytování služeb, tj. Uživatel v roli vlastníka Účtu;

      Osobní údaje

      jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu, která podléhá ochraně ve smyslu článku 4 bodu 1) GDPR;

      Správce

      Objednatel a Uživatel v roli administrátora a přizvané osoby;

      Subjekt údajů

      fyzická osoba, které se osobní údaje týkají; v kontextu těchto Podmínek pacienti;

      Smlouva o poskytování služeb

      smlouva uzavřená mezi Poskytovatelem a Objednatelem, ať již jakoukoliv formou (včetně listinné či elektronické objednávky) vč. Obchodních podmínek;

      Strany

      Poskytovatel a Správce;

      Uživatel Aplikace

      fyzická osoba nebo podnikající fyzická osoba, která si založila Účet v Aplikaci;

      Zpracovatel

      Castle Swing s.r.o., IČO: 108 66 086;

      Zákon o zpracování osobních údajů

      zákon č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů.


    2. Slova a slovní spojení psaná s velkým počátečním písmenem, která nejsou v těchto Podmínkách vysvětlena, mají význam uvedený v Pravidlech užívání mobilní aplikace xCare. 

  2. PŘEDMĚT 

    1. Podmínky upravují vztahy mezi Stranami, zejména pak vymezují účel, pro který budou Osobní údaje zpracovávány, možnosti, jakými může být s poskytnutými Osobními údaji nakládáno, a záruky obou Stran zajišťující náležité plnění některých povinností vyplývajících z GDPR a použitelných právních předpisů na ochranu Osobních údajů včetně zajištění technického a organizačního zabezpečení Osobních údajů.

  3. ÚČEL, ROZSAH A DOBA UCHOVÁNÍ

    1. Zpracovatel bude ve smyslu článku 4 bodu 2) GDPR pro Správce zpracovávat osobních údaje v souvislosti s využíváním Aplikace.
    2. Zpracovatel zpracovává pro Správce Osobní údaje v rozsahu nezbytném pro plnění povinností Zpracovatele, a to v souvislosti se založeným Účtem nebo na základě Smlouvy o poskytování služeb. 
    3. Zpracovatel bude dle těchto Podmínek zpracovávat Osobní údaje Subjektů údajů v rozsahu základní identifikační údaje vč. zvláštní kategorie údajů pacientů, popřípadě jakékoliv další údaje, které Správce prostřednictvím Aplikace poskytne. 
    4. V případě, že Správce Zpracovateli poskytne nebo Zpracovateli budou jinak v souvislosti s činností pro Správce zpřístupněny i jiné Osobní údaje Subjektů údajů nebo Zpracovateli budou poskytnuty Osobní údaje jiných subjektů údajů, je Zpracovatel povinen zpracovávat a chránit i tyto Osobní údaje v souladu s požadavky vyplývajícími (i) z GDPR, (ii) ze Zákona o zpracování osobních údajů a (iii) z těchto Podmínek.
    5. Osobní údaje Subjektů údajů bude Zpracovatel zpracovávat nejdéle po dobu založeného Účtu v Aplikaci. Pro vyloučení pochybností se má za to, že ukončení Smlouvy o poskytování služeb nemá vliv na uchování údajů v Aplikaci. 

  4. PRÁVA A POVINNOSTI ZPRACOVATELE

    1. Zpracovatel je při zpracování Osobních údajů povinen postupovat s náležitou odbornou péčí tak, aby nezpůsobil nic, co by mohlo představovat porušení GDPR či Zákona o zpracování osobních údajů.
    2. Pokud by Zpracovatel zjistil, že Správce porušuje povinnosti vyplývající pro něj z GDPR, je ve smyslu článku 28 odst. 3 druhého pododstavce GDPR povinen neprodleně Správce o této skutečnosti informovat.
    3. Zpracovatel je povinen řídit se při zpracování Osobních údajů pokyny Správce. Pokyny musí být udělovány v souladu s těmito Podmínkami a rozumí se jimi zejména pokyny k aktualizaci, výmazu, změně nebo jinému nakládání s Osobními údaji, nikoli však pokyny rozšiřující technicko-organizační opatření nad rámec těchto Podmínek. Zpracovatel upozorní Správce na nevhodnou povahu pokynů, jestliže Zpracovatel mohl tuto nevhodnost zjistit při vynaložení veškeré odborné péče. Zpracovatel je v takovém případě povinen pokyny provést pouze na základě písemného požadavku Správce.
    4. Zpracovatel je povinen dbát, aby žádný Subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života Subjektů údajů.
    5. Jakmile pomine účel, pro který byly Osobní údaje zpracovány, nebo na základě žádosti Subjektu údajů podle článku 17 GDPR, je Zpracovatel povinen na základě a v souladu s pokyny Správce provést likvidaci Osobních údajů nebo tyto Osobní údaje předat Správci. Uživatel v roli administrátora nebo vlastníka Účtu má práva spojena se zápisem a výmazem Osobních údajů Subjektů údajů, zatímco Uživatel v roli přizvané osoby pouze práva zápisu. Uživatel bere na vědomí, že jednotlivé operace zpracování lze realizovat prostřednictvím funkcionalit Aplikace. 
    6. V případě, že se kterýkoli Subjekt údajů bude domnívat, že Správce nebo Zpracovatel provádí zpracování jeho Osobních údajů, které je v rozporu s ochranou soukromého a osobního života Subjektu údajů nebo v rozporu se zákonem, zejména budou-li Osobní údaje nepřesné s ohledem na účel jejich zpracování, a tento Subjekt údajů požádá Zpracovatele o vysvětlení nebo bude požadovat odstranění vzniklého stavu, zavazuje se Zpracovatel o tom informovat Správce.
    7. Zpracovatel informuje Správce o případu ztráty či úniku Osobních údajů („Porušení zabezpečení Osobních údajů“), a to bez zbytečného odkladu. Zpracovatel je i po poskytnutí informace Správci nápomocen při řešení Porušení zabezpečení Osobních údajů, resp. při přijímání opatření ke zmírnění možných nepříznivých dopadů a zabránění vzniku obdobných situací v budoucnu.
    8. Informace dle předešlého článku těchto Podmínek obsahuje přinejmenším:
      1. popis povahy daného případu Porušení zabezpečení Osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených Subjektů údajů a kategorií a přibližného množství dotčených záznamů Osobních údajů;
      2. popis pravděpodobných důsledků Porušení zabezpečení Osobních údajů;
      3. popis opatření, která Zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané Porušení zabezpečení Osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
    9. Zpracovatel se zavazuje umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověří, a k těmto auditům přispěje. Správce bere na vědomí, že (i) prováděním auditu nemohou být dotčeny oprávněné zájmy třetích osob (např. jiných správců) či subjektů údajů, zejména pokud jde o zajištění důvěrnosti osobních údajů a (ii) náklady Zpracovatele na provádění auditu budou předmětem zvláštní dohody o hrazení těchto nákladů Správcem.
    10. Zpracovatel se zavazuje být Správci nápomocen při plnění povinnosti Správce reagovat na žádosti o výkon práv Subjektů údajů, zejména na žádost na přístup k Osobním údajům, na opravu či výmaz Osobních údajů, na omezení zpracování či na přenositelnost Osobních údajů. Uživatel Aplikace bere na vědomí, že výkon práv Subjektů údajů lze realizovat prostřednictvím funkcionalit Aplikace; Správce nebude vyžadovat neodůvodněnou součinnost Zpracovatele.

  5. ZÁRUKY O TECHNICKÉM A ORGANIZAČNÍM ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ

    1. Zpracovatel se zavazuje, že ve smyslu článku 32 GDPR přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření zabezpečení ochrany Osobních údajů způsobem uvedeným v GDPR či v jiných závazných právních předpisech k vyloučení možnosti neoprávněného nebo nahodilého přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů.
    2. Zpracovatel se zavazuje přijmout zejména následující organizační a technická opatření:
      1. aniž by byl dotčen článek 5.3 těchto Podmínek, Zpracovatel v případě zpracování Osobních údajů prostřednictvím vlastních zaměstnanců pověří touto činností pouze své vybrané zaměstnance, které poučí o jejich povinnosti zachovávat mlčenlivost ohledně Osobních údajů a o dalších povinnostech, které jsou povinni dodržovat tak, aby nedošlo k porušení GDPR či Podmínek; 
      2. nesvěří zpracování Osobních údajů jakékoliv třetí osobě bez předchozího písemného souhlasu Správce, tím není vyloučen článek 5.3 a 5.4;
      3. bude používat odpovídající technické zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob, než pověřených zaměstnanců Zpracovatele;
      4. bude Osobní údaje uchovávat v náležitě zabezpečených objektech a místnostech;
      5. písemné dokumenty obsahující Osobní údaje bude uchovávat na zabezpečeném místě, přičemž bude vést řádnou evidenci o pohybu takových písemných dokumentů;
      6. Osobní údaje v elektronické podobě bude uchovávat na zabezpečených serverech nebo na nosičích dat, ke kterým budou mít přístup pouze pověřené osoby na základě přístupových kódů či hesel a bude Osobní údaje pravidelně zálohovat;
      7. zajistí dálkový přenos Osobních údajů, buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích, zejména prostřednictvím protokolu umožňujícího zabezpečenou komunikaci v počítačové síti. S přihlédnutím k povaze, rozsahu, kontextu a různě závažným rizikům mohou být některé osobní údaje posílány e-mailem;
      8. prostřednictvím vhodných technických prostředků zajistí schopnost obnovit dostupnost Osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
      9. zajistí pravidelné testování posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování; a
      10. při ukončení zpracování Osobních údajů zajistí Zpracovatel dle dohody se Správcem fyzickou likvidaci Osobních údajů, nebo tyto Osobní údaje předá Správci.
    3. Zpracovatel je oprávněn pověřit zpracováním Osobních údajů dalšího zpracovatele („Další zpracovatel“). Zpracovatel prostřednictvím webových stránek a dále e-mailem, zaslaným na e-mailovou adresu Správce v souladu s článkem 8.1 těchto Podmínek, informuje Správce o veškerých Dalších zpracovatelích, které zamýšlí pověřit zpracováním Osobních údajů, o veškerých zamýšlených změnách týkajících se přijetí Dalších zpracovatelů nebo jejich nahrazení a poskytne tak Správci příležitost vyslovit vůči přijetí těchto Dalších zpracovatelů námitky. Zpracovatel využívá služeb cloudové platformy Amazon Web Services.
    4. Pokud Zpracovatel zapojí Dalšího zpracovatele, aby provedl určité činnosti zpracování, musí být tomuto Dalšímu zpracovateli uloženy na základě smlouvy stejné povinnosti na ochranu Osobních údajů, jaké jsou uvedeny v těchto Podmínkách, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky GDPR.
    5. Zpracovatel je povinen zavést a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany Osobních údajů v souladu s GDPR a jinými právními předpisy.

  6. PRÁVA A POVINNOSTI STRAN 

    1. Strany se zavazují poskytnout si vzájemně veškerou potřebnou součinnost a podklady v souladu s těmito Podmínkami, a to zejména v případě jednání s dozorovým úřadem nebo s jinými veřejnoprávními orgány. 
    2. V souladu se zásadou transparentnosti se Správce zavazuje vůči Subjektům údajů plnit informační povinnost v rozsahu dle článku 13 GDPR, zejména o účelech zpracování a právech Subjektu údajů.
    3. Zpracovatel pro účely informování subjektů údajů vyhotovil zásady zpracování osobních údajů, které obsahují mimo jiné základní informace o zpracovávaných údajích (i) Objednatele, resp. osob oprávněných jednat jménem objednatele, (ii) Uživatele Aplikace a (iii) Subjektů údajů, které jsou dostupné zde.

  7. ODPOVĚDNOST 

    1. Pro vyloučení všech pochybností Strany uvádějí, že každá Strana nese odpovědnost za plnění svých vlastních povinností vyplývajících z právních předpisů, které se na ni vztahují, včetně povinností vyplývajících z GDPR a z těchto Podmínek. Každá Strana nese vlastní odpovědnost za škodu způsobenou pokutou udělenou příslušným dozorovým úřadem nebo způsobenou nároky třetích stran vůči této Straně, pokud byla tato újma způsobena porušením výlučně vlastních povinností této Strany. V případě, že druhá Strana nezavinila uložení pokuty nebo nároky třetích stran porušením své povinnosti dle těchto Podmínek, není odpovědná za újmu způsobenou pokutou uloženou příslušným úřadem jedné Straně nebo způsobenou nároky třetích stran vůči jedné Straně.

  8. KOMUNIKACE STRAN 

    1. Veškerá oznámení včetně splnění informační povinnosti dle článku 4.7 a 4.8 Podmínek se považují za řádně doručená, pokud jsou sdělena na e-mailovou adresu Objednatele nebo prostřednictvím pop-up okna Aplikace, pokud jde o Uživatele Aplikace.  

  9. ZÁVĚREČNÁ USTANOVENÍ

    1. Podmínky tvoří nedílnou součást 
      1. Smlouvy o poskytování služeb, tedy nabývají platnosti a účinnosti ke dni uzavření Smlouvy o poskytování služeb a zanikají současně se Smlouvou o poskytování služeb; a 
      2. Pravidel užívání mobilní aplikace xCare, tedy nabývají platnosti a účinnosti ke dni založení Účtu v Aplikaci a zanikají ke dni zrušení Účtu.
    2. Ustanovení těchto Podmínek, která dle své povahy mají trvat i po zániku účinnosti Smlouvy o poskytování služeb či těchto Podmínek nebo zrušení Účtu přetrvávají. Povinnost zachování důvěrné povahy Osobních údajů trvá i po ukončení Smlouvy o poskytování služeb nebo zrušení Účtu.
    3. Strany se dohodly, že za zpracování Osobních údajů dle těchto Podmínek nenáleží Zpracovateli zvláštní odměna.
    4. Právní vztahy, závazky, práva a povinnosti vyplývající z těchto Podmínek, jakož i dodatky k ní a její výklad, se budou řídit GDPR, Občanským zákoníkem a dalšími obecně závaznými právními předpisy České republiky.
    5. Bude-li kterékoli ustanovení těchto Podmínek shledáno příslušným soudem nebo jiným orgánem neplatným, neúčinným, zdánlivým nebo nevymahatelným, bude takové ustanovení považováno za vypuštěné z těchto Podmínek a ostatní ustanovení Podmínek budou nadále trvat, pokud z povahy takového ustanovení nebo z jeho obsahu anebo z okolností, za nichž bylo uzavřeno, nevyplývá, že je nelze oddělit od ostatního obsahu těchto Podmínek. Strany v takovém případě uzavřou takové dodatky, které umožní dosažení výsledku stejného, a pokud to není možné, pak co nejbližšího tomu, jakého mělo být dosaženo původním neplatným, neúčinným, zdánlivým nebo nevymahatelným ustanovením. 
    6. Poskytovatel si vyhrazuje jednostrannou změnu těchto Podmínek. O každé takové změně informuje Správce dva (2) týdny před nabytím účinnosti této změny. Pokud Správce nesouhlasí se změněnými podmínkami, má možnost z tohoto důvodu jednostranně vypovědět Smlouvu o poskytování služeb nebo zrušit Účet. Uvedené platí obdobně také pro oznámení učiněné dle článku 5.3 těchto Podmínek. Smlouva o poskytování služeb bude v takovém případě ukončena ke dni nabytí účinnosti nových podmínek dotčených změnou nebo ke dni doručení nesouhlasu Objednatele / Uživatele, podle toho, co nastane později.
    7. Podmínky zpracování osobních údajů jsou platné a účinné od 1. 6. 2022.