1. Kdo jsme
Tyto zásady vysvětlují, jak Poskytovatel aplikace SmileCrop zpracovává osobní údaje návštěvníků webu, zákazníků, uživatelů aplikace a osob, které kontaktují podporu.
SmileCrop je desktopová aplikace, která je navržena pro lokální zpracování fotografií na zařízení uživatele. Poskytovatel standardně nepřijímá a neukládá pacientské fotografie.
2. Důležité rozlišení: zákaznická data vs. pacientské fotografie
Poskytovatel může zpracovávat běžné osobní údaje zákazníků, například jméno, e-mail, fakturační údaje, údaje o objednávce, licenci, platbě, komunikaci s podporou a technické údaje nezbytné pro provoz webu a licence.
Pacientské fotografie, které Uživatel vkládá do Aplikace, jsou standardně zpracovávány pouze lokálně na zařízení Uživatele. Poskytovatel k nim nemá přístup, pokud je Uživatel sám neposkytne, například jako přílohu e-mailu pro účely technické podpory. Uživatel by pacientská data neměl Poskytovateli zasílat, pokud to není nezbytné a předem domluvené. Více v prohlášení k pacientským fotografiím.
3. Jaké údaje zpracováváme
- Identifikační a kontaktní údaje: jméno, příjmení, e-mail, případně název firmy, IČO, DIČ, fakturační adresa.
- Údaje o nákupu a licenci: zakoupený plán, datum nákupu, stav předplatného, licenční klíč, historie aktivací, zákaznické ID u platebního poskytovatele.
- Technické údaje: IP adresa, typ prohlížeče, operační systém, verze aplikace, identifikátor zařízení nebo instance pro účely aktivace a ochrany licence.
- Komunikace: obsah e-mailů, dotazů podpory, chybová hlášení a údaje, které nám Uživatel dobrovolně poskytne.
- Webová analytika a cookies: webové stránky aktuálně nepoužívají žádné analytické ani marketingové nástroje. Mohou se zpracovávat pouze technické údaje nezbytné pro provoz a bezpečnost webu (viz cookie policy).
4. Účely a právní základy zpracování
| Účel | Kategorie údajů | Právní základ |
|---|---|---|
| Vyřízení objednávky, dodání licence, správa předplatného | kontaktní, fakturační, platební, licenční údaje | plnění smlouvy |
| Technická podpora a komunikace | e-mail, obsah zprávy, technické informace | plnění smlouvy / oprávněný zájem |
| Ověření licence a prevence zneužití | licenční klíč, device/instance ID, stav aktivace | plnění smlouvy / oprávněný zájem |
| Účetnictví a daňové povinnosti | fakturační a platební údaje | právní povinnost |
| Bezpečnost webu a infrastruktury | IP adresa, logy, technické údaje | oprávněný zájem |
| Marketingová komunikace zákazníkům | e-mail, historie nákupu | oprávněný zájem / souhlas dle situace |
| Analytika a cookies nad rámec nezbytného provozu | cookie identifikátory, chování na webu | souhlas (aktuálně nepoužíváme) |
5. Platební poskytovatelé a daňové doklady
Platby zpracovává smluvní platební poskytovatel vystupující jako tzv. Merchant of Record. Platební poskytovatel zpracovává platební údaje, fakturační údaje, daňové údaje a údaje potřebné k prevenci podvodů. Poskytovatel SmileCrop nemá přístup k celému číslu platební karty.
Platební poskytovatel je uveden jako prodávající/obchodník na vystaveném dokladu. Na zpracování osobních údajů platebním poskytovatelem se vztahují jeho vlastní zásady ochrany osobních údajů, dostupné na webu poskytovatele.
6. Zpracovatelé a příjemci
Podle použité infrastruktury mohou být osobní údaje zpřístupněny zejména poskytovatelům hostingu, domén, e-mailové komunikace, plateb, licencování, zákaznické podpory a účetnictví. Aktuálně využíváme zejména:
- Cloudflare — DNS, hosting webu (Cloudflare Pages), CDN a bezpečnostní ochrana;
- Platební poskytovatel (MoR) — platby, fakturace, správa předplatného, daňové doklady;
- Poskytovatel e-mailu — komunikace s podporou a transakční e-maily;
- Účetní/daňový poradce — zpracování daňové a účetní agendy.
Poskytovatel vybírá dodavatele tak, aby poskytovali přiměřené záruky ochrany osobních údajů. Pokud dochází k předání mimo EU/EHP, je postupováno podle pravidel GDPR, zejména prostřednictvím rozhodnutí o odpovídající ochraně nebo standardních smluvních doložek, pokud jsou vyžadovány.
7. Doba uchování
- Údaje o objednávce, fakturaci a účetnictví uchováváme po dobu vyžadovanou právními předpisy (zpravidla 10 let podle zákona o účetnictví).
- Údaje o licenci a aktivaci uchováváme po dobu trvání smlouvy a přiměřenou dobu poté pro obranu právních nároků a prevenci zneužití.
- Komunikaci se zákaznickou podporou uchováváme po dobu nezbytnou k vyřízení požadavku a následné obraně právních nároků.
- Technické a bezpečnostní logy uchováváme po přiměřenou dobu podle jejich účelu.
- Marketingové kontakty uchováváme do odhlášení nebo vznesení námitky, není-li dán jiný právní důvod.
8. Práva subjektů údajů
Za podmínek GDPR má subjekt údajů zejména právo na přístup k údajům, opravu, výmaz, omezení zpracování, přenositelnost, vznesení námitky proti zpracování na základě oprávněného zájmu a právo odvolat souhlas, pokud je zpracování na souhlasu založeno.
Žádosti lze zasílat na support@smilecrop.app. Subjekt údajů má také právo podat stížnost u Úřadu pro ochranu osobních údajů, www.uoou.cz.
9. Bezpečnost
Přijímáme přiměřená technická a organizační opatření k ochraně osobních údajů, včetně omezení přístupu, používání zabezpečených poskytovatelů infrastruktury a minimalizace zpracovávaných údajů. Žádný systém však není absolutně bezpečný.
10. Pacientské fotografie a citlivé údaje
Protože pacientské fotografie mohou být osobními údaji a za určitých okolností i citlivými údaji nebo součástí zdravotnické dokumentace, odpovídá Zákazník za jejich zákonné zpracování. Zákazník by měl zajistit odpovídající právní titul, interní pravidla, přístupová oprávnění, zabezpečení zařízení a zálohování.
Pokud je nutné zaslat Poskytovateli ukázkový soubor pro podporu, doporučujeme použít anonymizovaná nebo vzorová data. Zaslání reálných pacientských dat by mělo proběhnout pouze po předchozí dohodě a s odpovídajícím právním základem. Více v prohlášení k pacientským fotografiím.
11. Změny zásad
Tyto zásady mohou být aktualizovány. Aktuální verze bude vždy dostupná na smilecrop.app/privacy.html.