Ochrana osobních údajů (GDPR)

1. Správce osobních údajů a kontakt#

Správcem je ADAGET s.r.o., IČO 21471606, DIČ CZ21471606, sídlo Svatopluka Čecha 2672/100, Královo Pole, 612 00 Brno, zapsaná u Krajského soudu v Brně pod sp. zn. C 139070, jednatel Adam Dostál, datová schránka fdd98tu.

Kontakt pro ochranu údajů: podpora@gutiva.cz · +420 773 469 469. Kontaktní osobou pro ochranu osobních údajů ze strany správce je jednatel Adam Dostál (podpora@gutiva.cz). Správce s ohledem na rozsah a povahu zpracování nejmenoval samostatného pověřence pro ochranu osobních údajů (čl. 37 GDPR); povinnosti dle GDPR plní výše uvedená kontaktní osoba.

Gutiva je wellness služba (ne zdravotnický prostředek). Přesto k údajům, které mohou vypovídat o zdraví, přistupujeme jako k údajům zvláštní kategorie dle čl. 9 GDPR.

2. Jaké údaje, proč a na jakém základě#

• Plnění smlouvy (objednávka, zapůjčení/vrácení zařízení, reporty): identifikační a kontaktní údaje, údaje o objednávce — čl. 6 odst. 1 písm. b) GDPR.
• Platby, účetnictví, daně: fakturační a transakční údaje — čl. 6 odst. 1 písm. b) a c) GDPR ve spojení se zák. č. 235/2004 Sb. (DPH) a zák. č. 563/1991 Sb. (účetnictví).
• Doručení a zpětná logistika: jméno, adresa, telefon — čl. 6 odst. 1 písm. b).
• Reporty z dat o trávení získaných během auditu: údaje, které mohou vypovídat o zdraví (zvláštní kategorie čl. 9) — výslovný souhlas dle čl. 9 odst. 2 písm. a) (viz čl. 3).
• Komunikace, dotazy, reklamace: kontaktní údaje a obsah — čl. 6 odst. 1 písm. b) a f).
• Obchodní sdělení / newsletter: e-mail, jméno — souhlas, příp. oprávněný zájem dle zák. č. 480/2004 Sb.
• Ochrana právních nároků: relevantní údaje — oprávněný zájem čl. 6 odst. 1 písm. f).

Poskytnutí údajů pro plnění smlouvy je smluvním požadavkem; bez nich nelze službu poskytnout.

3. Data o trávení = citlivé údaje (čl. 9 GDPR) a jejich další využití#

Data z auditu, z nichž vznikají reporty, mohou mít povahu údajů o zdraví — citlivé údaje dle čl. 9 GDPR. Zpracováváme je výhradně na základě VÝSLOVNÉHO SOUHLASU dle čl. 9 odst. 2 písm. a) GDPR, uděleného samostatně a odděleně před zahájením zpracování.

Souhlas s těmito citlivými údaji je SAMOSTATNÝ a oddělený od souhlasu s obchodními podmínkami. Je dobrovolný; bez něj nelze reporty vyhotovit. Lze jej kdykoli odvolat (bez vlivu na zákonnost dřívějšího zpracování); poté zpracování ukončíme a údaje v identifikovatelné podobě vymažeme.

Tyto údaje jsou zpřístupněny jen nezbytnému okruhu osob (zejm. odborníkům uvnitř správce, kteří data vyhodnocují) a chráněny zvýšenými opatřeními (řízení přístupů, mlčenlivost, šifrování — viz čl. 7).

Anonymizace a trénování modelů (informativně, čl. 22 GDPR)

Po vrácení zařízení a předání reportu data o trávení anonymizujeme — odstraníme veškeré identifikátory umožňující spojení s konkrétní osobou. Anonymizovaná data (která již nejsou osobními údaji ve smyslu GDPR) dále uchováváme a používáme pro výzkum, statistické účely a trénování modelů (vč. modelů strojového učení a neuronových sítí). Tyto modely slouží ke zlepšování kvality reportu pro budoucí uživatele.

Trénování probíhá výhradně na plně anonymizovaných datech bez vazby na konkrétního zákazníka. Neprovádíme automatizované rozhodování s právními nebo obdobně závažnými účinky pro subjekt údajů (čl. 22 GDPR); zpracování reportu zahrnuje lidské posouzení odborníkem správce.

4. Příjemci a zpracovatelé, předávání mimo EU#

Údaje vyhodnocuje výhradně správce vlastními silami (zaměstnanci a interní spolupracovníci ADAGET s.r.o.); žádnému externímu „odborníkovi“ ani třetí straně data k vyhodnocení nepředáváme. Účetnictví a daňová agenda jsou vedeny rovněž interně správcem.

Údaje mohou být zpřístupněny následujícím zpracovatelům na základě smluv dle čl. 28 GDPR — výhradně v rozsahu nezbytném pro daný účel:

• Hosting webu a aplikace: WEDOS Internet, a.s., IČO 28115708, Hluboká nad Vltavou, Česká republika (EU).
• Platební brána: Comgate a.s., IČO 27924505, Hradec Králové, Česká republika (EU). Platební údaje (číslo karty) zpracovává přímo Comgate — správce k nim nemá přístup.
• Přepravce zařízení: Packeta Česká republika s.r.o. (Zásilkovna), případně General Logistics Systems Czech Republic s.r.o. (GLS) — dle volby zákazníka. Všichni v ČR (EU).
• Nástroj pro transakční a obchodní e-maily: Resend, Inc., USA — přenos zajištěn standardními smluvními doložkami dle čl. 46 GDPR a smlouvou o zpracování osobních údajů (DPA).
• Orgány veřejné moci v zákonných případech.

Předávání mimo EU/EHP: jediným zpracovatelem mimo EU je Resend, Inc. (USA) pro e-mailovou komunikaci. Pro tento přenos jsou uzavřeny standardní smluvní doložky Evropské komise (SCC) a smlouva o zpracování osobních údajů. Citlivá data (reporty, data o trávení) přes Resend NEodesíláme — přístup k reportu má zákazník v zabezpečeném rozhraní.

5. Doba uchování#

Údaje uchováváme jen po nezbytně nutnou dobu podle účelu zpracování:

• Faktury a daňové doklady: 10 let dle § 35 zák. č. 235/2004 Sb. (DPH) a § 31 zák. č. 563/1991 Sb. (účetnictví).
• Smluvní údaje (objednávka, reklamační agenda, komunikace ke smlouvě): 3 roky od ukončení smluvního vztahu (obecná promlčecí lhůta dle § 629 OZ).
• Marketingové údaje (newsletter, kontaktní formulář mimo objednávku): do odvolání souhlasu, nejdéle však 14 dní od posledního kontaktu, pokud nedojde k uzavření smlouvy.
• Citlivá data o trávení v identifikovatelné podobě: po dobu auditu a do dokončení reportu; následně po vrácení zařízení a předání reportu data anonymizujeme.
• Anonymizovaná data (která již nejsou osobními údaji): uchováváme dlouhodobě pro výzkum, statistiku a trénování modelů — bez možnosti zpětného přiřazení ke konkrétní osobě.
• Údaje pro obhajobu právních nároků (oprávněný zájem): po dobu trvání nároku, nejdéle 4 roky.

Po uplynutí příslušné lhůty údaje vymažeme, nebo je nevratně anonymizujeme.

6. Vaše práva#

• Přístup k údajům (čl. 15), oprava (16), výmaz (17), omezení (18), přenositelnost (20), námitka (21).
• Odvolání souhlasu kdykoli (vč. souhlasu s citlivými údaji dle čl. 3), bez vlivu na zákonnost dřívějšího zpracování. Odvolání lze poslat na podpora@gutiva.cz.
• Právo nebýt předmětem výhradně automatizovaného rozhodování (čl. 22). Trénování modelů na anonymizovaných datech do tohoto práva nezasahuje, protože anonymizovaná data nejsou osobními údaji a netýkají se vás osobně.
• Stížnost u dozorového úřadu.

Práva uplatníte na podpora@gutiva.cz; vyřídíme bez zbytečného odkladu, nejpozději do 1 měsíce (lze prodloužit o 2 měsíce).

Dozorový úřad: Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, e-mail posta@uoou.gov.cz, web uoou.gov.cz — máte právo podat stížnost.

7. Zabezpečení a cookies#

Přijali jsme vhodná technická a organizační opatření zohledňující povahu citlivých údajů: TLS šifrování veškeré komunikace mezi zařízením, aplikací a serverem (data odcházející z koncového zařízení do cloudu jsou vždy šifrovaná); řízení přístupů a oddělené role; mlčenlivost zaměstnanců a spolupracovníků správce; pravidelné zálohy; evidenci a řešení bezpečnostních incidentů. Při porušení zabezpečení postupujeme dle čl. 33 a 34 GDPR — bez zbytečného odkladu (do 72 hodin) informujeme ÚOOÚ a v relevantních případech i dotčené subjekty údajů.

Web používá cookies — podrobnosti v samostatném dokumentu Zásady používání cookies.

Shrnutí GDPR ve zkratce#

• Kdo: ADAGET s.r.o., kontakt podpora@gutiva.cz.
• Co: jméno, kontakt, adresa, objednávka, platba a — pro report — data o trávení (citlivé údaje).
• Proč: zapůjčení zařízení, reporty, platba, doručení a komunikace.
• Citlivé údaje jen s vaším samostatným výslovným souhlasem — kdykoli odvolatelným.
• Komu: vyhodnocuje výhradně ADAGET. Externí zpracovatelé jen pro hosting, platby, doručení a e-maily — neprodáváme.
• Jak dlouho: dle účelu — faktury 10 let, smluvní údaje 3 roky, marketing 14 dní, citlivá data po dokončení reportu anonymizujeme.
• Anonymizovaná data dále trénují naše modely (bez vazby na vaši osobu).
• Práva: přístup, oprava, výmaz, omezení, přenositelnost, námitka, odvolání souhlasu, stížnost u ÚOOÚ (uoou.gov.cz).
• Wellness, ne medicína: reporty jsou informativní wellness výstup.