Ochrana osobních údajů v e-shopu Dr. Max

18. 3. 2019 · 14 minut čtení

I.Úvod

1. Účelem tohoto dokumentu Ochrana osobních údajů v e-shopu Dr. Max (dále jen „zásady“) je podrobné vysvětlení podmínek zpracování osobních údajů, k němuž dochází ze strany společnosti ČESKÁ LÉKÁRNA HOLDING, a.s., IČ: 285 11 298, sídlem Nové sady 996/25, Staré Brno, 602 00 Brno, zapsané v obchodním rejstříku vedeném Krajským soudem v Brně, sp. zn. B 6919 (dále jen „správce“), při provozování e-shopu Dr. Max umístěného na stránkách www.drmax.cz (dále jen „e-shop“). Správce určuje účel a prostředky zpracování osobních údajů v e-shopu. Mimo provozování e-shopu správce provozuje též síť lékáren a výdejen zdravotnických prostředků Dr. Max v České republice (společně dále jen „lékárna“).

2. Při provozování e-shopu jsou zpracovávány osobní údaje zákazníka, který je fyzickou osobou a který provede v e-shopu nákup či rezervaci zboží (dále také jen „zákazník“ či „subjekt“). Osobním údajem je jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt se považuje za určený nebo určitelný, jestliže lze subjekt přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu; osobním údajem je například jméno, příjmení, e-mail, mobilní telefon; osobním údajem může ve spojení s dalším osobním údajem být i údaj o nákupní preferenci (společně dále jen „osobní údaj“ či „údaj“).

3. Osobní údaje subjektu jsou zpracovávány v souladu s těmito zásadami. Zpracováním osobních údajů je jakákoliv operace nebo soustava operací prováděná s osobními údaji automatizovaně nebo manuálně, prostředky výpočetní techniky i jinými prostředky, a to zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, uchovávání, třídění nebo kombinování, blokování a likvidace (dále jen „zpracování“).

4. Subjekt je povinen si tyto zásady pečlivě prostudovat dříve, než provede nákup či rezervaci zboží v e-shopu (nákup a rezervace společně dále také jen „transakce“) či než udělí souhlas. V případě, že subjekt kterémukoliv bodu nebo podmínce dle těchto zásad nerozumí, může se obrátit na správce na kontaktech uvedených níže.

5. K ochraně poskytnutých osobních údajů přistupuje správce s vysokou pečlivostí. Osobní údaje jsou správcem zpracovávány transparentně a v souladu s příslušnou účinnou právní úpravou.

6. Správce zásadně shromažďuje jen ty osobní údaje, které skutečně potřebuje ke stanovenému účelu. Správce vše činí tak, aby průběžně hodnotil zpracování, ať již z hlediska náležitého zabezpečení, minimalizace osobních údajů, tak i z hlediska transparentnosti, korektnosti a zákonnosti.  Správce dodržuje zásadu odpovědnosti, integrity, důvěrnosti, přesnosti a omezení uložení.

7. Správce při provozování e-shopu nezpracovává zvláštní kategorie osobních údajů, jimiž jsou údaje vypovídající o rasovém nebo etnickém původu, politických názorech, členství v odborech, náboženském vyznání či filozofickém přesvědčení, zdravotním stavu, sexuálním životě či sexuální orientaci subjektu. V rámci provozování e-shopu jsou sice zpracovávány mimo jiné i údaje o léčivých přípravcích, zdravotnických prostředcích a potravinách pro zvláštní lékařské účely (společně dále jen „přípravek“), které si zákazník objednal, tyto údaje však nevypovídají o zdravotním stavu zákazníka, protože správcem není zjišťováno, pro koho je daný přípravek určen a ani k takovému zjištění nelze při zpracování údajů pro daný účel dojít. Pokud například zákazník objedná v e-shopu přípravek, který je určen pro jeho rodinného příslušníka, objednávka bude správcem zaznamenána s údaji zákazníka, který ji učinil, tato skutečnost nicméně nevypovídá o zdravotním stavu tohoto zákazníka.

8. Zřízení on-line konta klientského programu Karta výhod Dr. Max, které je použitelné i pro provádění transakcí v rámci e-shopu se řídí Pravidly klientského programu a související zpracování osobních údajů je popsáno v dokumentu Ochrana osobních údajů v klientském programu Karta výhod Dr. Max.

9. Obecné zásady ochrany osobních údajů naleznete v dokumentu Obecné zásady ochrany osobních údajů.


II. Kontaktní údaje správce

1. Kontaktní údaje správce jsou následující:

     a) info@drmax.cz
     b) 516 770 100
     c) ČESKÁ LÉKÁRNA HOLDING, a.s., Kontaktní centrum Dr. Max, Nové sady 996/25, 602 00 Brno

2. Správce jmenoval pověřence pro ochranu osobních údajů, jehož kontaktní údaje jsou následující:
     a) dpo@drmax.cz
     b) ČESKÁ LÉKÁRNA HOLDING, a.s., Pověřenec pro ochranu osobních údajů, Na Florenci 2116/15, 110 00 Praha 1


III. Zpracovávané osobní údaje, právní základ, účely a doba zpracování

1. Nákup zboží

Za účelem přijetí objednávky, uzavření a plnění kupní smlouvy se zákazníkem správce zpracovává osobní údaje zákazníka v následujícím rozsahu:

     - jméno, příjmení, telefonní číslo, e-mailová adresa a ID zákazníka;
     - údaje o objednaném zboží (druh, množství, cena);
     - údaj o zvolené platební metodě;
     - údaj o lékárně, která objednávku vyřizuje;

     - údaj o zvoleném způsobu dodání zboží;
     - fakturační adresa (ulice, číslo popisné, město, PSČ);
     - dodací adresa, pokud je zboží zasíláno na adresu určenou zákazníkem a tato adresa se liší od fakturační adresy;
     - údaj o místě, kde si zákazník přeje zboží vyzvednout, pokud zákazník zvolí možnost osobního odběru;
     - údaj o firmě, IČ a DIČ, pokud ho zákazník uvede;
     - případná další informace (poznámky) k objednávce;
     - údaj o komunikaci mezi správcem a zákazníkem související s nákupem.

Poskytnutí a zpracování těchto osobních údajů je nezbytné pro naplnění výše uvedeného účelu. Zpracování osobních údajů je současně nutné pro provedení opatření přijatých před uzavřením smlouvy a pro plnění smlouvy uzavřené mezi zákazníkem a správcem, pro plnění povinností správce vyplývajících z právních předpisů, a to zejména z předpisů upravujících poskytování zdravotních služeb, zacházení s léčivy a ochranu spotřebitele, a rovněž pro ochranu oprávněných zájmů správce z důvodu prokázání souladu při kontrolách ze strany orgánů dozoru a pro obhajobu a výkon práv správce.

Údaje uvedené v tomto odstavci III.1. správce zpracovává po dobu 5 let od uzavření kupní smlouvy. Daňové doklady, které mohou obsahovat osobní údaje, se pak uchovávají po dobu 10 let od konce zdaňovacího období, ve kterém se plnění uskutečnilo.

2. Rezervace zboží

Za účelem přijetí a vyřízení rezervace zákazníka správce zpracovává osobní údaje zákazníka v následujícím rozsahu:

     - jméno, příjmení, telefonní číslo, e-mailová adresa a ID zákazníka;
     - údaje o rezervovaném zboží (druh, množství, cena);
     - údaj o lékárně, ve které si zákazník přeje zboží rezervovat;
     - případná další informace (poznámky) k rezervaci;
     - údaj o komunikaci mezi správcem a zákazníkem související s rezervací.

Poskytnutí a zpracování těchto osobních údajů je nezbytné pro naplnění výše uvedeného účelu. Zpracování osobních údajů je současně nutné pro provedení opatření přijatých před uzavřením smlouvy a pro plnění smlouvy uzavřené mezi zákazníkem a správcem, pro plnění povinností správce vyplývajících z právních předpisů, a to zejména z předpisů upravujících poskytování zdravotních služeb, zacházení s léčivy a ochranu spotřebitele, a rovněž pro ochranu oprávněných zájmů správce z důvodu prokázání souladu při kontrolách ze strany orgánů dozoru a pro obhajobu a výkon práv správce.

Údaje uvedené v tomto odstavci III.2. správce zpracovává po dobu 5 let od vyřízení rezervace.

3. Reklamace a odstoupení od smlouvy

Za účelem vyřízení reklamace zákazníka správce zpracovává osobní údaje zákazníka v následujícím rozsahu:

     - jméno a příjmení zákazníka;
     - kontaktní údaje zákazníka (adresa bydliště, e-mailová adresa a/nebo telefonní číslo);
     - údaj o reklamovaném zboží, včetně pořizovací ceny zboží a data prodeje zboží;
     - údaj o lékárně, která zboží expedovala;

     - údaj o důvodech reklamace a požadavku zákazníka na způsob vyřízení reklamace;
     - údaj o datu, kdy byla reklamace vyřízena, a o způsobu jejího vyřízení.

 

Pokud zákazník odstoupí od smlouvy uzavřené se správcem, správce za účelem vyřízení souvisejících úkonů zpracovává osobní údaje zákazníka v následujícím rozsahu:

     - jméno a příjmení zákazníka;
     - údaj o lékárně, která zboží expedovala;

     - údaj o zboží, kterého se odstoupení týká, včetně pořizovací ceny zboží a data prodeje zboží;
     - údaj o způsobu vrácení peněz zákazníkovi.

 

Pokud není odstoupení vyřešeno přímo v lékárně, správce zpracovává též:
     - adresu bydliště zákazníka;
     - číslo účtu zákazníka;
     - kontaktní údaje zákazníka (e-mail a/nebo telefonní číslo).

Poskytnutí a zpracování těchto osobních údajů je nezbytné pro naplnění výše uvedených účelů. Zpracování osobních údajů je současně nutné pro plnění smlouvy uzavřené mezi zákazníkem a správcem, pro plnění povinností správce vyplývajících z právních předpisů, a to zejména z předpisů upravujících poskytování zdravotních služeb, zacházení s léčivy a ochranu spotřebitele, a rovněž pro ochranu oprávněných zájmů správce z důvodu prokázání souladu při kontrolách ze strany orgánů dozoru a pro obhajobu a výkon práv správce.

Poskytnutí osobních údajů je tak povinné a v případě neposkytnutí požadovaných údajů nemůže dojít k uplatnění práv zákazníka, která mu vznikla ze smlouvy uzavřené se správcem.

Údaje uvedené v tomto odstavci III.3. správce zpracovává po dobu 5 let od vyřízení reklamace či odstoupení od smlouvy.

4. Marketing

a) Pokud zákazník udělí správci souhlas se zpracováním jeho osobních údajů pro marketingové účely, správce zákazníka oslovuje s nabídkami slev, výhod či jiných akcí a s informacemi o produktech a službách správce či jiných osob, přičemž tyto nabídky a informace jsou přizpůsobovány individuálním zájmům zákazníka. Toto oslovování je prováděno zejména formou zasílání profilovaných obchodních sdělení elektronickými prostředky (SMS, e-mailová adresa), mohou však být využity i jiné způsoby (např. personalizace stránek).

     V rámci stanoveného účelu budou správcem prováděny zejména následující operace (činnosti) zpracování vedoucí k danému účelu:

           - evidence zákazníků, kteří dali souhlas se zpracováním dle tohoto bodu III.4.a);
           - segmentace pro zasílání vhodných nabídek;
           - segmentace pro zasílání vhodných informací;
           - provádění průzkumu a vyhodnocení trhu a nákupních zvyklostí zákazníků;
           - personalizace stránek www.drmax.cz;
           - zasílání obchodních sdělení profilovaných podle preferencí zákazníka;
           - zasílání informací z oblasti zdraví, kosmetiky a péče o tělo, včetně pozvánek na vzdělávací akce a návrhů na doplňkové služby;
           - zasílání tzv. transakčních sdělení týkajících se uděleného souhlasu, možnosti zapojení se do rozšířených programů správce.

     Pro naplnění výše uvedeného účelu je správcem prováděno profilování (segmentace zejména dle údajů o transakcích prováděných zákazníkem v e-shopu, dle jeho preferencí a dle způsobu, jakým užívá stránky www.drmax.cz), a to za účelem výběru vhodných nabídek ze strany správce a pro zajištění lepšího uživatelského komfortu a plné funkcionality stránek.

    Osobní údaje zákazníka jsou zpracovávány v rozsahu nezbytném ke splnění výše uvedeného účelu, a to v následujícím rozsahu:

           - údaje zjištěné na základě transakcí uskutečněných zákazníkem v e-shopu (výčet v odstavcích III.1. a III.2);
           - údaje o užívání stránek www.drmax.cz;
           - údaje o on-line identifikátorech (např. IP adresa, MAC adresa, otisk zařízení či prohlížeče);
           - údaje o využívání nabídek a informací zasílaných správcem;
           - údaje o účasti v soutěžích a akcích správce;
           - údaje z průzkumů a anket správce.

     Právním základem zpracování je informovaný a dobrovolný souhlas zákazníka, který je udělován správci pro výše uvedený účel. Zákazník je oprávněn tento souhlas kdykoliv odvolat (blíže viz čl. V. těchto zásad).

     Zákazník není povinen osobní údaje správci pro tento účel poskytnout a udělit souhlas. Pokud zákazník souhlas neudělí či udělený souhlas odvolá, nebude ze strany správce marketingově oslovován. Udělení souhlasu není nutné pro provedení transakce v e-shopu.

     Osobní údaje zákazníka budou pro výše uvedený účel zpracovávány do doby, než zákazník odvolá souhlas, který správci udělil, nejdéle však po dobu 3 let od poslední transakce, kterou zákazník v e-shopu provedl.

     Osobní údaje zákazníka jsou po odvolání souhlasu uchovávány na základě oprávněného zájmu správce z důvodu prokázání souladu při kontrolách ze strany orgánů dozoru a pro obhajobu a výkon práv správce, a to pouze v omezeném nezbytném rozsahu po dobu nezbytně nutnou.

b) Správce je rovněž oprávněn provádět přímý marketing (rozesílku obchodních sdělení) v souvislosti s prodejem výrobku nebo služby zákazníkovi. Správce v takovém případě zákazníka oslovuje s nabídkami slev, výhod či jiných akcí a s informacemi o obdobných produktech a službách správce.

     V rámci stanoveného účelu budou správcem prováděny zejména následující operace (činnosti) zpracování vedoucí k danému účelu:

           - evidence zákazníků, kteří nakoupili daný druh zboží nebo služby;
           - segmentace pro zasílání vhodných nabídek;
           - zasílání obchodních sdělení.

     Pro naplnění výše uvedeného účelu je správcem prováděno profilování (segmentace dle údajů o transakcích prováděných zákazníkem v e-shopu), a to za účelem výběru vhodných nabídek ze strany správce.

    Osobní údaje zákazníka jsou zpracovávány v rozsahu nezbytném ke splnění výše uvedeného účelu, a to v následujícím rozsahu:

          - údaje zjištěné na základě transakcí uskutečněných zákazníkem v e-shopu (výčet v odstavcích III.1. a III.2).

     Právním základem zpracování je oprávněný zájem správce. Zákazník je oprávněn proti zpracování osobních údajů pro tento účel vznést námitku (např. odpovědí na email potvrzující dokončení objednávky/rezervace nebo zasláním námitky na email info@drmax.cz). Pokud zákazník tuto námitku vznese, nebudou jeho osobní údaje pro tento účel zpracovány a zákazník nebude ze strany správce marketingově oslovován na základě tohoto bodu III.4.b). Vznesení námitky nemá dopad na možnost provedení transakce v e-shopu.

     Osobní údaje zákazníka budou pro výše uvedený účel zpracovávány do doby, než zákazník vznese námitku, nejdéle však po dobu 6 měsíců od transakce, kterou zákazník v e-shopu provedl.

     Osobní údaje zákazníka jsou po vznesení námitky uchovávány na základě oprávněného zájmu správce z důvodu prokázání souladu při kontrolách ze strany orgánů dozoru a pro obhajobu a výkon práv správce, a to pouze v omezeném nezbytném rozsahu po dobu nezbytně nutnou.

5. Personalizace stránek

Za účelem poskytnutí co nejkvalitnějších služeb a vytváření obsahu zajímavého pro daného zákazníka správce zpracovává osobní údaje zákazníka a využívá je pro personalizaci internetových stránek tak, aby co nejvíce odpovídaly zájmům zákazníka. Tato personalizace spočívá například v zobrazování naposledy prohlíženého nebo zakoupeného zboží či v návrzích zboží, které by pro zákazníka mohlo být zajímavé.

Osobní údaje zákazníka jsou zpracovávány v rozsahu nezbytném ke splnění výše uvedeného účelu, a to v následujícím rozsahu:

     - údaje o užívání stránek www.drmax.cz (údaje o prohlížení nebo zakoupení zboží a o frekvenci návštěvy stránek);
     - údaje o on-line identifikátorech (např. IP adresa, MAC adresa, otisk zařízení či prohlížeče).

Právním základem pro toto zpracování je souhlas zákazníka udělený prostřednictvím nastavení cookies.

Osobní údaje zákazníka budou pro výše uvedený účel zpracovávány po dobu trvání souhlasu, nejdéle po dobu 1 roku od poslední návštěvy e-shopu.

6. Předání srovnávačům

Pokud zákazník udělí správci souhlas s předáním údajů o jeho transakci za účelem zjištění spokojenosti zákazníka, správce předá e-mail zákazníka a informace o jeho transakci (druh, množství a cena zboží) provozovatelům cenových srovnávačů Heureka.cz a Zboží.cz.

Provozovatelem portálu Heureka.cz je společnost Heureka Group a.s., se sídlem Karolinská 650/1, Karlín, 186 00 Praha 8, IČ 078 22 774, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, sp. zn. B 24131.

Provozovatelem portálu Zboží.cz je společnost Seznam.cz, a.s., IČ: 261 68 685, se sídlem Radlická 3294/10, Smíchov, 150 00 Praha 5, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, sp. zn. B 6493.

V případě, že zákazník poskytne společnosti Heureka Group a.s. uživatelskou recenzi a tato recenze je zveřejněna na portálu Heureka.cz, správce je oprávněn takovou recenzi zveřejnit i na internetových stránkách e-shopu.

 

IV. Způsob zpracování, zpracovatelé a příjemci

1. Osobní údaje budou zpracovávány automatizovaným i manuálním způsobem vlastními zaměstnanci správce nebo osobami v postavení zpracovatelů, které správce zpracováním osobních údajů pověřil a s nimiž uzavřel příslušné smlouvy o zpracování osobních údajů (taková osoba dále jen „zpracovatel“). Zpracování bude prováděno rovněž prostředky výpočetní techniky.

2. Subjekt bere na vědomí, že správce využívá ke splnění daného účelu zpracovatele, kteří mají přístup k nezbytnému rozsahu osobních údajů subjektu pro splnění svého úkolu. Jedná se o zpracovatele zejména z následujících kategorií:

     - osoby provádějící účetnictví, audit, právní služby;
     - osoby poskytující IT služby;
     - osoby zabývající se marketingem;
     - osoby zabývající se zpracováním tištěných materiálů;
     - osoby zabývající se vývojem, prodejem a servisem lékárenských systémů;
     - osoby zabývající se vývojem a implementací podnikových systémů;
     - osoby zabývající se vývojem webových a mobilních aplikací;
     - osoby zabývající se on-line komunikací, včetně komunikace na sociálních sítích;
     - osoby zabývající se zjišťováním zákaznické spokojenosti.

3. Osobní údaje subjektu mohou být poskytnuty též dalším příjemcům, kteří jsou zapojeni do provozu e-shopu. Těmito příjemci jsou zejména osoby provozující lékárny či výdejny zdravotnických prostředků Dr. Max v ČR nebo zajišťující přepravu zásilek či provozující zákazníkem zvolenou metodu úhrady zboží.

4. Aktuální seznam příjemců, včetně zpracovatelů, si lze vyžádat na kontaktech správce uvedených v čl. II odst. 1 těchto zásad.

5. Osobní údaje mohou být rovněž poskytnuty orgánům veřejné moci oprávněným získávat osobní údaje dle příslušných právních předpisů. Zpracování osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro daný účel zpracování.


V. Uplatnění práv, odvolání souhlasu

1. Veškeré dotazy, poznámky či žádosti týkající se zpracování osobních údajů, a to včetně odvolání souhlasu se zpracováním osobních údajů, může subjekt směřovat na kontakty správce uvedené v čl. II odst. 1 těchto zásad.

2. Není-li dotaz či žádost subjektu ke zpracování osobních údajů dle předchozího odstavce uspokojivě vyřízena, či má subjekt jiný dotaz, může se obrátit na pověřence správce pro ochranu osobních údajů na kontaktech uvedených v čl. II odst. 2 těchto zásad.

3. O ukončení zasílání obchodních sdělení elektronickými prostředky může subjekt požádat též způsobem uvedeným v každém jednotlivém obchodním sdělení.

4. Žádost, dotaz, odvolání souhlasu, uplatnění práva, požadavek na přístup či jiný požadavek subjektu bude po přijetí správcem zpracován bez zbytečného odkladu, v odůvodněných případech nejdéle do 1 měsíce. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další 2 měsíce. Odvolání souhlasu k zasílání obchodních sdělení prostřednictvím elektronických kontaktů (telefon, e-mailová adresa) bude vyřízeno bez zbytečného prodlení, nejpozději do 7 kalendářních dní.

5. V případě potřeby mohou být při vyřizování požadavků dle tohoto článku V. zásad ze strany správce vyžadovány dodatečné informace pro přiřazení osoby ke konkrétnímu subjektu. V odůvodněných případech, pro ochranu práv subjektů, může být požadována kontrola/ověření identifikace osoby žadatele.

6. Orgánem dozoru pro zpracování osobních údajů je Úřad pro ochranu osobních údajů, jehož kontaktní údaje jsou uvedeny na www.uoou.cz. Subjekt je oprávněn podat stížnost k orgánu dozoru.

 
VI. Podrobné poučení o právech naleznete v Obecných zásadách zpracování osobních údajů.