Обработка персональных данных


ПРАВОВЫЕ РАМКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Действующим законодательством, т. е. Законом № 101/2000 «О защите персональных данных и об изменении некоторых законов», в действующей редакции, и прежде всего Директивой Европейского парламента и Совета (ЕС) № 2016/679 (далее по тексту – «Директива GDPR“) от 27 апреля 2016 года «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС» (Общий регламент по защите данных), вступающей в силу 25 мая 2018 года, на нас возлагается ряд обязанностей, касающихся защиты персональных данных.
Нижеприведенные принципы обработки персональных данных компаниями:
Lázně Františkovy Lázně a.s., IČ: 46887121, Jiráskova 23/3, 351 01 Františkovy Lázně,
Františkovy Lázně IMPERIAL a.s., Dr. Pohoreckého 151/3, 351 01 Františkovy Lázně,
Františkovy Lázně AQUAFORUM a.s., IČ: 03257533, 5. května 106/9, 351 01 Františkovy Lázně, и
AQUAFORUM s.r.o., IČ: 03512452, 5. května 469/19, 351 01 Františkovy Lázně
содержат информацию о том, какие Ваши персональные данные мы как совместные операторы обрабатываем при продаже и предоставлении услуг по обеспечению проживания и санаторно-курортного лечения и реабилитации, при посещении нашего сайта, при бронировании отдыха посредством интернет-магазина и при контакте с действительными и потенциальными клиентами, с какой целью и как долго мы обрабатываем эти данные в соответствии с действующими законодательством, кому и на каком основании мы можем (или обязаны) предоставить к ним доступ, а также информацию о Ваших правах в связи с обработкой Ваших персональных данных.

СОВМЕСТНЫЕ ОПЕРАТОРЫ И ПОВЕРЕННЫЙ ПО ВОПРОСАМ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Мы установили общие цели и средства обработки совместных операторов персональных данных, и в форме прозрачного соглашения между собой определили свои доли ответственности за выполнение обязанностей, возложенных вышеупомянутой Директивой GDPR. Мы уделяем большое внимание проблематике защиты персональных данных, стараемся следить за нововведениями в области информационной безопасности, национального законодательства и законодательства ЕС, чтобы надлежащим образом выполнять все требования, налагаемые регулирующими рамками в области защиты персональных данных.
В соответствии с требованиями Директивы GDPR каждый из вышеуказанных операторов имеет назначенного поверенного по вопросам защиты персональных данных (“Data Protection Officer”), который обеспечивает осуществление Ваших прав в области защиты персональных данных, осуществляет мониторинг соответствия деятельности требованиям Директивы и обладает достаточными полномочиями для влияния на внедрение новых и регулирование действующих процессов в интересах обеспечения максимальной защиты Ваших персональных данных.

КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Согласно Директиве GDPR персональными данными являются любые данные, которые прямо или косвенно касаются идентифицируемого лица. Персональные данные мы обрабатываем вручную и автоматически, причем для каждого из способов обработки установлены четкие правила, и с использованием внутренних предписаний ведем учет всех операций, сопряженных с обработкой персональных данных. В связи с продажей и предоставлением услуг с нашей стороны могут обрабатываться следующие категории персональных данных.
Базовые персональные идентификационные данные и другие данные, возникшие во время санаторно-курортного отдыха:
данные, содержащиеся в регистрационной карте, которую Вы заполняете при заезде (CHECK-IN) на ресепшене отеля: имя и фамилия, ученая степень, дата рождения, адрес места жительства, контактный телефон и e-mail и регистрационный номер автомобиля (в случае использования стоянки отеля) и Ваша подпись.
в случае иностранцев дополнительные данные, требуемые согласно законодательству для регистрации пребывания иностранцев (гражданство, номер заграничного паспорта, номер визы).
требования и предпочтения, касающиеся услуг, связанных с конкретным проживанием (напр. предпочтительная категория номера или тип предлагаемые дополнительные услуг). Эту информацию Вы нам сообщаете при бронировании отдыха, и она хранится во вспомогательной информационной системе.
данные, содержащиеся в направлении на санаторно-курортное лечение – кроме вышеуказанных контактных данных также:
страховой номер, данные о Вашей медицинской страховой компании, тип лечения, которое оплачивает МСК, врач, оформивший направление, врач-специалист – если они указаны, а также данные о показаниях, диагнозе, мобильности и неотложности планируемого лечения.
обязательные данные, регистрируемые при предоставлении медицинских услуг (медицинская документация):
идентификационные данные (имя, фамилия, дата рождения, персональный номер, страховой номер системы общественного медицинского страхования, если этот номер не совпадает с персональным номером пациента, адрес места жительства), пол, информация о состоянии здоровья, о ходе и результатах предоставления медицинских услуг, данные, установленные из семейного, личного и трудового анамнеза и другие существенные обстоятельства, связанные с состоянием здоровья и порядком предоставления медицинских услуг.
данные о прошлых приездах на санаторно-курортное лечение – данные о медицинских услугах, предоставленных Вам в наших учреждениях, и другие данные, требуемые медицинскими страховыми компаниями в случае самостоятельно оплачиваемых курортных лечебно-реабилитационных услуг.
в случае лиц, самостоятельно оплачивающих лечение, данные об оплате отдыха (номер счета, тип платежной карты и код авторизации транзакции).
данные о медицинской страховой компании в случае льготных предложений для клиентов чешских медицинских страховых компаний.

Программы / клубы лояльности:
Чтобы мы могли информировать Вас о новинках, скидках и других преимуществах участия в программе/клубе лояльности, предложениях программ проживания и лечебных программ, Вы предоставляете нам согласие на обработку Ваших персональных данных, указанных в заявке на участие в программе/клубе лояльности. Эта заявка содержит следующие персональные данные: имя и фамилия, дата рождения, адрес места жительства, контактный телефон и e-mail. Наряду с этими данными мы также обрабатываем информацию об используемых выгодах в форме баллов лояльности, которые автоматически начисляются при использовании наших услуг. Подробная информация и правила участия в каждой программе/клубе лояльности всегда содержат конкретные условия, с которыми в случае интереса к членству мы ознакомим вас до регистрации.
Системы видеонаблюдения:
На некоторых местах используется система видеонаблюдения, причем исключительно в целях охраны объекта в контексте обеспечения охраны имущества, или с целью защиты законных интересов. Системы видеонаблюдения работают в режиме реального времени без сохранения видеозаписей. Места, где используется система видеонаблюдения, надлежащим образом и заметно обозначены перед входом в наблюдаемое пространство.
Обработка cookies с нашего сайта:
При посещении нашего сайта, даже в случае, если Вы ничего не бронируете, мы можем в форме небольших текстовых файлов, т. н. cookies, обрабатывать информацию о навигации по сайту с целью улучшения его работы и интернет-рекламы. Большинство браузеров по умолчанию автоматически принимают файлы cookies. В настройках Вашего браузера можно полностью запретить получение cookies или сделать исключение только для некоторых из них. В случае бронирования наша система зафиксирует, с какого устройства и сайта оно было осуществлено.
Данные о коммуникации между нами и клиентом:
На нашем сайте используется онлайн-коммуникация между пользователем и нашими операторами с целью осуществления бронирования в курортном отеле. К этой категории также относятся другие данные, возникающие в той же связи при коммуникации между нами и клиентом в письменном или электронном виде, записи телефонных разговоров и других средств онлайн-коммуникации (чаты и видеочаты), используемых сотрудниками горячей линии.
Порталы интернет-бронирования других операторов:
На основе договорных отношений мы сотрудничаем с несколькими системами интернет-бронирования (например, Booking.com, Sanatoriums.com, rezervaceubytovani.cz, spabooking.cz, …). В этих случаях Вы предоставляете свои персональные данные непосредственно этим операторам. Такие предоставленные персональные данные мы обрабатываем только с целью рассмотрения Вашего запроса.

Посредники при обеспечении курортного отдыха (туристические операторы):
На основе договорных отношений мы также сотрудничаем с посредниками при обеспечении курортного отдыха зарубежных и отечественных клиентов. Этим посредникам Вы также предоставляете свои персональные данные, которые мы обрабатываем исключительно с целью предоставления наших услуг и последующего проведения расчетов по ним.

ЦЕЛИ, ПРАВОВЫЕ ОСНОВАНИЯ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Данные, содержащиеся в направлении на санаторно-курортное лечение, и данные, указанные в регистрационной карте, вместе с данными об оплате отдыха мы обрабатываем на основании правоотношений между Вами (или Вашей медицинской страховой компанией) и нашей компанией, предметом которых является обеспечение санаторно-курортного лечения и реабилитации и связанных с этим услуг (по проживанию, питанию и т. п.). Целью такой обработки является предоставление указанных услуг. Направление на санаторно-курортное лечение мы получаем от вашей медицинской страховой компании.
Аналогично данные о Ваших прежних приездах на лечение мы обрабатываем на том же правовом основании, в случае оплачиваемых курортных лечебно-реабилитационных услуг (комплексное или частично оплачиваемое лечение) к этому также добавляется наша обязанность предоставить медицинской страховой компании данные о медицинских услугах, предоставленных Вам в наших учреждениях, и другие данные, требуемые медицинскими страховыми компаниями, и обеспечить возможность их проверки медицинскими страховыми компаниями.
С целью предоставления курортных лечебно-реабилитационных и связанных с ними услуг мы обрабатываем данные о предоставленных услугах во время Вашего лечебного отдыха в отелях нашей компании и после его окончания в течение срока, на протяжении которого медицинская страховая компания согласно законодательству имеет право провести контроль предоставленных оплачиваемых услуг и расчётов по ним. Аналогично в случае частично оплачиваемого лечения по курсовке или полностью самостоятельно оплачиваемого лечения мы обрабатываем данные о предоставленных услугах в течение срока, на протяжении которого самостоятельно оплачивающее лицо имеет право подвергнуть сомнению предоставление услуг.
В течение санаторно-курортного отдыха мы, на условиях, установленных Законом № 372/2011 «О медицинских услугах» и связанными подзаконными актами, ведем медицинскую документацию в бумажном и электронном виде, которая защищена от просмотра или другого распоряжения посторонними лицами и утраты. Медицинскую документацию в бумажном и электронном виде мы храним в соответствии с постановлением МОЗ № 98/2012 в течение 10 лет от окончания санаторно-курортного лечения и реабилитации.
В случае иностранцев мы обрабатываем данные, необходимые для извещения о пребывании иностранцев, на основании обязанности, возложенной на нас Законом № 326/1999 «О пребывании иностранцев на территории Чешской Республики и об изменении некоторых законов», в действующей редакции. Эту обработку мы осуществляем исключительно с целью выполнения указанной обязанности, и она включает в себя передачу данных, содержащихся в регистрационной форме полиции по делам иностранцев.
Если Вы предоставили нам согласие на обработку Ваших контактных данных и данных о Ваших приездах к нам, мы обрабатываем эти данные на основании Вашего согласия (аналогично и в случае Вашего участия в наших программах/клубах лояльности). В этом случае целью обработки для нас (как совместных операторов, так и по отдельности) является возможность информировать Вас о предложениях наших курортных и лечебных программ и других льготных или совместных мероприятиях. Персональные данные, предоставленные при регистрации в программе/клубе лояльности, вместе с автоматически обрабатываемой информацией об используемых выгодах в форме баллов лояльности, мы храним на протяжении участия в программе/членства в клубе.
Записи телефонных разговоров хранятся в течение 30 дней и впоследствии автоматически удаляются. Записи других средств онлайн-коммуникации (чаты и видеочаты), используемых сотрудниками горячей линии, не сохраняются.
Бухгалтерские и фискальные документы, используемые нами для выставления счетов за предоставленные услуги, также содержат некоторые персональные данные (имя и фамилия клиента, предоставленные услуги, дата выставления документа, а в случае отчетов для медицинской страховой компании также указываются страховые номера). Эти документы мы храним в соответствии с § 35 Закона № 235/2004 «О налоге на добавленную стоимость» в течение 10 лет со дня их оформления.
Обычный срок обработки персональных данных:
В случае данных, которые мы обрабатываем на основании Вашего прямого согласия, мы всегда тщательно взвешиваем и в зависимости от характера цели выбираем соответствующий срок действия согласия на обработку персональных данных, который не превышает 10 лет. Свое согласие на обработку персональных данных Вы можете в любое время отозвать с помощью простой процедуры, указанной в статье VII «Информация о правах в связи с обработкой персональных данных».

ПРЕДОСТАВЛЕНИЕ ДОСТУПА И ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

Мы предоставляем доступ к Вашим персональным данным только соответствующей медицинской страховой компании с целью осуществления проверки, обязанность проведения которой возложена на МСК законодательством (Закон № 48/1997 «Об общественном медицинском страховании и об изменении и дополнении некоторых связанных законов», в действующей редакции). Если Вы самостоятельно оплачиваете лечение, мы никому не предоставляем доступ к Вашим персональным данным.
В случае иностранцев мы обязаны предоставлять полиции по делам иностранцев персональные данные, содержащиеся в регистрационной карте, в форме пакета данных, передаваемого по Интернету посредством удаленного доступа (приложение Ubyport). Мы можем передавать Ваши персональные данные третьим сторонам, обеспечивающим для нас вспомогательную деятельность – почтовую рассылку, взыскание долгов и юридические услуги). Эти третьи стороны находятся в положении обработчика персональных данных, и мы передаем им только персональные данные, необходимые для данной цели (почтовая рассылка, взыскание долгов и юридические услуги), причем только данные тех клиентов, которых касается данная вспомогательная деятельность. Мы тщательно выбираем обработчиков персональных данных, обеспечивающих вышеуказанную деятельность, и с каждым заключаем договор на обработку персональных данных, в рамках которого для обработчика установлены строгие обязанности, связанные с охраной и защитой персональных данных.
Мы систематически изменяем и дополняем обработчиков персональных данных, и в связи с этими актуализациями и изменениями мы готовы в ответ на письменный или электронный запрос предоставить Вам действующий перечень субъектов, относительно которых существует вероятность предоставления им Ваших вышеуказанных данных.

РАССЫЛКА СООБЩЕНИЙ КОММЕРЧЕСКОГО ХАРАКТЕРА

Коммерческие сообщения, которые мы отправляем только на основании Вашего прямого согласия на обработку персональных данных для маркетинговых и торговых целей, в соответствии с требованиями Закона № 480/2004 «О некоторых услугах информационного общества» четко и ясно обозначены аббревиатурой «OS:», указывающей, что это сообщение является коммерческим сообщением.
Из коммерческих сообщений также явственно следует, что мы являемся их отправителем, и в конце сообщения указаны контакты (или ссылка) для отказа от рассылки этих сообщений. Коммерческие сообщения мы рассылаем только до тех пор, пока Вы от них не откажетесь.

ИНФОРМАЦИЯ О ПРАВАХ В СВЯЗИ С ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

Согласно действующему законодательству в области защиты персональных данных у Вас есть следующие права, при осуществлении которых мы проверяем обоснованность требования, которое мы впоследствии безотлагательно удовлетворим не позже чем в сроки, установленные Директивой GDPR. С целью быстрого рассмотрения Вашего заявления советуем воспользоваться структурированной электронной формой, доступной на нашем сайте.
Право на отзыв согласия на обработку персональных данных:
В соответствии со статьей 7 Директивы GDPR Вы можете в любое время отозвать свое согласие на обработку персональных данных в маркетинговых и коммерческих целях. Отзыв согласия не затрагивает законность обработки, основанной на согласии, которое Вы нам предоставили до отзыва. Отзыв согласия осуществляйте в форме ясного, понятного и достаточно четкого заявления, отправленного по адресу поверенного по вопросам защиты персональных данных.
Право на доступ к персональным данным:
В соответствии со статьей 15 Директивы GDPR у Вас есть право на доступ к персональным данным, которые мы обрабатываем в Вашем случае. Это право включает в себя получение от нас, прежде всего:
подтверждения, что касающиеся Вас персональные данные обрабатываются/не обрабатываются,
информации о целях обработки, категориях затрагиваемых персональных данных, получателях, которым был или будет предоставлен доступ к персональным данным, планируемом сроке обработки, о существовании права требовать от нас исправления или удаления Ваших персональных данных или ограничения их обработки, или подачи возражения против этой обработки, праве подачи жалобы в надзорный орган, всей доступной информации об источнике персональных данных, если они не были получены прямо от Вас, фактах автоматизированного принятия решения, включительно с профилированием, и о соответствующих гарантиях при передаче данных за пределы ЕС,
в случае, если это неблагоприятным образом не затронет права и свободы других лиц, также копии персональных данных.

Право на подтверждение обработки персональных данных, наряду с правом на копию персональных данных, предъявляйте письменно по адресу поверенного по вопросам защиты персональных данных.
Позвольте Вас предупредить, что в случае неоднократных заявлений мы в соответствии с Директивой GDPR имеем право требовать за копию персональных данных уплаты соответствующего сбора в размере соответствующих административных расходов.
Право на исправление персональных данных:
В соответствии со статьей 16 Директивы GDPR у Вас есть право на исправление Ваших персональных данных в случае, если они в каком-либо отношении окажутся неправильными или неточными. Заявление об исправлении персональных данных подается по адресу поверенного по вопросам защиты персональных данных.
Право на удаление («право быть забытым»):
В соответствии со статьей 17 Директивы GDPR у Вас есть право на удаление Ваших персональных данных, которые мы обрабатываем, если мы не подтвердим законные основания их обработки. В рамках внутренней документации, внутренних процессов и вспомогательных информационных систем у нас внедрены механизмы обеспечения автоматической анонимизации и удаления персональных данных в случаях, когда они больше не требуются для целей, в каких они собирались и обрабатывались.
В случае возникновения предположения, что мы не удалили Ваши персональные данные и продолжаем противозаконно их обрабатывать, обратитесь с заявлением об удалении по нижеуказанному адресу поверенного по вопросам защиты персональных данных.
Право на ограничение обработки:
В соответствии со статьей 18 Директивы GDPR до приятия решения по Вашему заявлению у Вас есть право на ограничение обработки Ваших персональных данных, если Вы отрицаете точность Ваших персональных данных, подвергаете сомнению основания для их обработки или подадите согласно ст. 21 Директивы GDPR возражение против их обработки.
С заявлением, направленным на ограничение обработки Ваших персональных данных, обращайтесь по нижеуказанному адресу поверенного по вопросам защиты персональных данных.
Обязанность уведомления при исправлении, удалении или ограничении обработки:
Если на основании Вашего заявления будет осуществлено исправление или удаление персональных данных, мы в соответствии со статьей 19 Директивы GDPR проинформируем об этом соответствующих получателей. Это не касается случаев, когда такое информирование окажется невозможным или потребует несоразмерных усилий. На основании заявления мы также можем предоставить Вам информацию об этих получателях. Заявление на предоставление информации о получателях Ваших персональных данных подается по адресу поверенного по вопросам защиты персональных данных.
Право на переносимость персональных данных:
В соответствии со статьей 20 Директивы GDPR у Вас есть право на получение персональных данных, которые Вас касаются и которые Вы нам предоставили, в стуктурированном, общепринятом и пригодном для машинной обработки формате. Вы также имеете право требовать от нас передачи этих данных другому оператору.
Если предоставленные Вами персональные данные автоматически обрабатываются, мы по договоренности обеспечим их передачу в стуктурированном, общепринятом и пригодном для машинной обработки формате. Если это будет технически выполнимо, мы можем прямо передать Ваши данные указанному Вами оператору.
Заявление можно подавать по нижеуказанному адресу поверенного по вопросам защиты персональных данных, и такое требование будет удовлетворено после подтверждения его обоснованности, а в случае передачи другому оператору также авторизации представителя соответствующего оператора, которому должны быть предоставлены данные.
Право на подачу возражения:
В соответствии со статьей 21 Директивы GDPR у Вас есть право подать возражение против обработки с целью установления факта нарушения обязанностей, возлагаемых на нас действующим законодательством. Право на подачу возражения может предъявляться письменно (в бумажном или электронном виде) по нижеуказанному адресу поверенного по вопросам защиты персональных данных.

Если мы не подтвердим существование весомого законного основания для обработки, которое перевешивает Ваши интересы или права и свободы, мы безотлагательно прекратим такую обработку.
Автоматизированное индивидуальное принятие решений, включительно с профилированием:
В соответствии со статьей 22 Директивы GDPR у Вас есть право не являться предметом никакого решения, основанного исключительно на машинной обработке, включительно с профилированием, которое имело бы для Вас юридические последствия, или подобным образом ощутимо Вас затрагивало. Мы заявляем, что при обработке вышеуказанных категорий персональных данных мы не осуществляем никакого автоматизированного индивидуального принятия решений, включительно с профилированием.
Право обратиться в надзорный орган:
Помимо вышеуказанного Вы также имеете право подать жалобу в надзорный орган, которым является Управление по защите персональных данных, расположенное по адресу: Pplk. Sochora 27, 170 00 Praha 7 (www.uoou.cz).

КОНТАКТНЫЕ ДАННЫЕ ПОВЕРЕННОГО ПО ВОПРОСАМ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Если у Вас возникли какие-либо замечания относительно данных принципов, или Вы хотите предъявить свои права, связанные с обработкой Ваших персональных данных, обратитесь к нам в письменном или электронном виде по любому из нижеуказанных контактов. Поверенные по вопросам защиты персональных данных отдельных операторов тесно сотрудничают, и в случае ошибки Ваше требование всегда попадет в правильные руки:
Lázně Františkovy Lázně a.s., Pověřenec pro ochranu osobních údajů, Jiráskova 23/3, 351 01 Františkovy Lázně, e-mail: dpo@frantiskovylazne.cz,
Františkovy Lázně IMPERIAL a.s., Pověřenec pro ochranu osobních údajů, Dr. Pohoreckého 151/3, 351 01 Františkovy Lázně, e-mail: dpo@imperialfrantiskovylazne.cz,
Františkovy Lázně AQUAFORUM a.s., Pověřenec pro ochranu osobních údajů, 5. května 106/9, 351 01 Františkovy Lázně, e-mail: dpo@pawlik-aquaforum.cz,
AQUAFORUM s.r.o., Pověřenec pro ochranu osobních údajů, 5. května 469/19, 351 01 Františkovy Lázně, e-mail: dpo@pawlik-aquaforum.cz