Grundsätze der Verarbeitung personenbezogener Daten

der Unternehmensgruppe PROGRESS MEDICAL 

Verwalter personenbezogenen Daten und Datensubjekt

Gemeinsame Verwalter personenbezogenen Daten im Sinne von Art. 26 der Datenschutz-Grundverordnung Nr. 2016/679 sind Gesellschaften in der Unternehmensgruppe PROGRESS MEDICAL. Es handelt sich konkret um folgende Gesellschaften

  • PROGRESS MEDICAL a.s., Identifikationsnummer: 284 75 682, mit Sitz in Prag 3, Pod Krejcárkem 975/2, PLZ 13000, eingetragen im Handelsregister, geführt beim Stadtgericht in Prag, Abteilung B, Einlage 14761;
  • OB klinika a.s., Identifikationsnummer: 288 92 950, mit Sitz in Prag 3, Pod Krejcárkem 975/2, PLZ 13000, eingetragen im Handelsregister, geführt beim Stadtgericht in Prag, Abteilung B, Einlage 15268; und
  • OB CARE, s.r.o., Identifikationsnummer: 289 53 568, mit Sitz in Prag 3, Pod Krejcárkem 975/2, PLZ 13000, eingetragen im Handelsregister, geführt beim Stadtgericht in Prag, Abteilung C, Einlage 155493

(nachfolgend gemeinsam „Verwalter“).

Die Gesellschaft PROGRESS MEDICAL a.s. bietet als Dienstleisterin die Dienstleistung MEDICZECH (www.mediczech.com) an, mit deren Hilfe ausländische Patienten für die Kliniken im PROGRESS MEDICAL-Portfolio sichergestellt werden. Die PROGRESS MEDICAL a.s. gibt die von den Datensubjekten erhaltenen personenbezogenen Daten weiter, die medizinische Dienstleistungen über die Dienstleistung MEDICZECH nachfragen, und zwar an die Gesellschaften OB klinika a.s. und OB CARE, s.r.o., zwecks Vermittlung des Abschlusses eines Vertrags über die Erbringung medizinischer Dienstleistungen mit der betreffenden Klinik, die die nachgefragten medizinischen Dienstleistungen erbringt.

Die Gesellschaft OB klinika a.s. (www.obklinika.cz) ist eine medizinische Einrichtung mit Bettenstation und zwei voll ausgestatteten Operationsaalen, die sich primär auf die chirurgische Behandlung von Adipositas und weitere Metabolismus-Erkrankungen spezialisiert. Die Gesellschaft OB klinika a.s. bietet zudem ein Portfolio mit Eingriffen in weiteren Bereichen wie z. B. Orthopädie und Urogynäkologie.

Die Gesellschaft OB CARE, s.r.o. (www.obcare.cz) ist eine auf Schönheitschirurgie spezialisierte Klinik, die eine breite Palette von Eingriffen im Bereich der ästhetischen Chirurgie anbietet.

Gemeinsame Kontaktstelle ist folgende E-Mail-Adresse: gdpr@obklinika.cz, mit deren Hilfe die Datensubjekte ihre Anfragen, Anmerkungen, Beschwerden oder Einwände übersenden können. Der Verwalter kann zudem schriftlich an folgender Adresse kontaktiert werden: Prag 3, Pod Krejcárkem 975/2, PLZ 13000, und zwar zu Händen einer jeden der vorgenannten Gesellschaften, die zur Unternehmensgruppe PROGRESS MEDICAL gehören.

Die Gesellschaften der Unternehmensgruppe PROGRESS MEDICAL haben untereinander einen Vertrag unter gemeinsamen Verwaltern geschlossen, demzufolge alle Gesellschaften in der Gruppe in den unten beschriebenen Fällen der Verarbeitung zu ungeteilter Hand für die Erfüllung von Pflichten gemäß der Datenschutz-Grundverordnung Nr. 2016/679 verantwortlich sind, einschließlich der Erfüllung der Informationspflicht gegenüber Datensubjekten und der Pflicht, die Ausübung von Rechten der Datensubjekte zu ermöglichen. Das Datensubjekt kann seine den Schutz personenbezogener Daten betreffenden Rechte sowohl bei jeder Gesellschaft in der Gruppe als auch gegenüber jeder von ihnen ausüben.

Der Verwalter hat folgende Person zur Datenschutzbeauftragten bestellt:

Das Datensubjekt ist die natürliche Person, die dem Verwalter ihre personenbezogenen Daten auf der Grundlage eines Vertrags über die Erbringung medizinischer Dienstleistungen oder auf der Grundlage von Maßnahmen überlassen hat, die vor ihrer Aufnahme auf Wunsch dieser natürlichen Person getroffen wurden (Nachfrage nach medizinischen Dienstleistungen). Das Datensubjekt kann auch eine natürliche Person sein, deren personenbezogene Daten der Verwalter aus anderen gesetzlichen Quellen erhalten hat (insbesondere von Krankenkassen, Staatsorganen, aus öffentlichen Registern oder von anderen Dienstleistern im medizinischen Bereich).

Umfang der Verarbeitung personenbezogener Daten

Der Verwalter verarbeitet personenbezogene Daten in dem Umfang, in dem ihm die Daten von den Datensubjekten übermittelt wurden oder in dem der Verwalter die Daten aus anderen gesetzlichen Quellen erhält. Es handelt sich um Folgendes:

  • Vor- und Familienname,
  • Bezeichnung der Handelsfirma der natürlichen Person,
  • Titel,
  • Geschlecht,
  • Familienstand,
  • Geburtsdatum,
  • Geburtsnummer,
  • Nummer des Personalausweises,
  • Nummer des Reisepasses,
  • Wohnsitz,
  • Anschrift des Sitzes oder des Standortes,
  • Fotografie/Videoaufnahme, die im Rahmen der vorläufigen Beurteilung des medizinischen Zustands übersandt wurde,
  • Staatsangehörigkeit,
  • Angaben über die Krankenkasse,
  • die in der medizinischen Dokumentation enthaltenen personenbezogenen Daten (detaillierte Informationen über den Gesundheitszustand des Datensubjekts und seiner Verwandten einschließlich der Fotodokumentation, ärztliche Eintragungen, Größe und Gewicht, Untersuchungsergebnisse u. ä.),
  • Daten über Invalidität oder gesundheitliche Benachteiligungen,
  • Rechnungs- und Lieferanschrift,
  • Identifikationsnummer und Umsatzsteueridentifikationsnummer,
  • E-Mail,
  • Telefon,
  • Zahlungsdaten (Nummer des Bankkontos, Angaben über die Zahlungskarte),
  • Unterschrift,
  • Netzidentifikatoren,
  • mit Hilfe von Cookies erhaltenen personenbezogene Daten.

Zweck und rechtliche Grundlage der Verarbeitung personenbezogener Daten

Der Verwalter verarbeitet personenbezogene Daten zu folgenden Zwecken:

  • Umsetzung der vor dem Vertragsabschluss auf Wunsch des Datensubjekts ergriffenen Maßnahmen (Nachfrage nach medizinischen Dienstleistungen)
  • Umsetzung des zwischen dem Datensubjekt und dem Verwalter geschlossenen Vertrags (Erbringung der vereinbarten medizinischen Dienstleistungen),
  • Erfüllung rechtlicher Pflichten (z. B. gemäß dem Gesetz über medizinische Dienstleistungen, Gesetz über die öffentliche Krankenversicherung u. ä.),
  • Schutz von lebenswichtigen Interessen des Datensubjekts oder einer anderen natürlichen Person (medizinische Behandlung),
  • Schutz der berechtigten Interessen des Verwalters (Schutz des Eigentums des Verwalters, Geltendmachung von Rechten aus dem Vertrag in einem Gerichtsverfahren u. ä.), und
  • zum Zweck des Direktmarketings (z. B. Anbieten von Produkten und Dienstleistungen des Verwalters) einschließlich der Übersendung von Geschäftsmitteilungen im Sinne des Gesetzes Nr. 480/2004 Slg. über einige Dienstleistungen der Informationsgesellschaft.

Geschäftliche Mitteilungen übersendet der Verwalter nur in dem Fall, dass das Datensubjekt Newsletter abonniert hat, oder in dem Fall, dass der Verwalter Details des elektronischen Kontakts des Datensubjekts im Zusammenhang mit dem Verkauf seiner Produkte oder Dienstleistungen erhalten hat. Das Datensubjekt hat die Möglichkeit, das Newsletter durch Übersendung einer E-Mail an gdpr@obklinika.cz oder mit Hilfe eines in jeder einzelnen geschäftlichen Mitteilung enthaltenen Links abzubestellen. Seitens des Verwalters erfolgen keine automatisierten Entscheidungen inkl. Profilierung wie in Art. 22 der Datenschutz-Grundverordnung Nr. 2016/679 festgelegt.

Beurteilung der Unerlässlichkeit der Verarbeitung

Der Verwalter achtet auf den Schutz der Privatsphäre des Datensubjekts und verarbeitet daher nur die personenbezogenen Daten, deren Verarbeitung für die festgelegten Verarbeitungszwecke absolut unerlässlich ist.

Dauer der Verarbeitung personenbezogener Daten

Im Falle der personenbezogenen Daten, die lediglich zwecks Umsetzung des Vertrags verarbeitet werden, verarbeitet der Verwalter die personenbezogenen Daten lediglich während der Dauer des Bestehens des Vertragsverhältnisses und anschließend für die Dauer von weiteren 3 Jahren, und zwar im Hinblick auf die Länge der Verjährungsfrist bei Schadensersatz. Im Falle der Verarbeitung zwecks Erfüllung einer rechtlichen Pflicht verarbeitet der Verwalter personenbezogene Daten während der durch die Rechtsvorschriften (insbesondere durch die Kundmachung Nr. 98/2012 Slg., über medizinische Dokumentation) festgelegten Zeitspanne) festgelegten Zeitspanne.

Die zu Marketingzwecken auf der Grundlage berechtigter Interessen zu verarbeitenden personenbezogenen Daten (Erhalt eines elektronischen Kontakts im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung des Verwalters gemäß dem Gesetz Nr. 480/2004 Slg.) oder der Einwilligung in die Verarbeitung personenbezogener Daten (Newsletter-Abonnement) verarbeitet der Verwalter für die Dauer von 3 Jahren, sofern gegen diese Verarbeitung in dieser Zeit das Datensubjekt keine Einwände erhebt oder seine Einwilligung in die Verarbeitung personenbezogener Daten nicht widerruft.

Widerruf der Einwilligung in die Verarbeitung personenbezogener Daten

Wenn das Datensubjekt dem Verwalter die Einwilligung in die Verarbeitung personenbezogener Daten erteilt hat, dann kann das Datensubjekt die erteilte Einwilligung in die Verarbeitung personenbezogener Daten jederzeit kostenfrei widerrufen, und zwar durch Übersendung einer E-Mail an gdpr@obklinika.cz. Durch den Widerruf der Einwilligung wird die Gesetzlichkeit der Verarbeitung nicht berührt, die von der Einwilligung ausgeht, die vor dem Widerruf erteilt wurde. Der Widerruf hat ebenfalls keinen Einfluss auf die Verarbeitung der personenbezogenen Daten, die der Verwalter nicht auf der Grundlage der Einwilligung, sondern auf einer anderen Rechtsgrundlage verarbeitet (das heißt insbesondere sofern die Datenverarbeitung für die Umsetzung des Vertrags, für die Erfüllung einer rechtlichen Pflicht oder aus anderen in den gültigen Rechtsvorschriften festgelegten Gründen erforderlich ist).

Zugriff auf personenbezogene Daten

Zugriff auf personenbezogene Daten der Datensubjekte haben der Verwalter und gegebenenfalls auch Dritte – Empfänger, die angemessene Garantien gewähren und bei denen die Datenverarbeitung die Anforderungen gemäß den gültigen Rechtsvorschriften erfüllt und einen angemessenen Schutz von Rechten der Datensubjekte gewährleistet ist. Als Empfänger personenbezogenen Daten sind anzusehen:

  • Dienstleister in den Bereichen Buchhaltungs-/Lohn-/Informationsdienstleistungen und Systeme (Asseco Solutions, a.s., Identifikationsnummer: 64949541; STAPRO  s. r. o., Identifikationsnummer: 13583531; NSG Morison Outsourcing a.s., Identifikationsnummer: 27426572),
  • Verwalter von IT-Systemen (PELIT servis s.r.o., Identifikationsnummer: 28909399),
  • Rechts- und Steuerberater,
  • Dienstleister, die klinische Labordienstleistungen erbringen (CITYLAB spol. s.r.o., Identifikationsnummer: 28442156),
  • Dienstleister in den Bereichen Marketing und Verwaltung von Webseiten (eBRÁNA s.r.o., Identifikationsnummer: 25984764; New Logic Studio s.r.o., Identifikationsnummer: 24202207);
  • Dienstleister, der die Dienstleistung Mailchimp anbietet (The Rocket Science Group LLC, mit Sitz in 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 USA);
  • Dienstleister, der die Dienstleistung Google Analytics zum Monitoring von Besucherzahlen auf den Webseiten des Verwalters erbringt (Google Ireland Limited, reg. č. 368047 a Google Inc., mit Sitz in 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA);
  • Dienstleister, der die Dienstleistung Hotjar zum Monitoring von Besucherzahlen auf den Webseiten des Verwalters erbringt (Hotjar Limited, reg. č. C 65490, mit Sitz in Level 2, St Julian’s Business Centre, 3, Elia Zammit Street, St Julian’s STJ 1000, Malta);
  • Krankenkassen (Všeobecná zdravotní pojišťovna ČR, Identifikationsnummer: 41197518; Zdravotní pojišťovna ministerstva vnitra České republiky, Identifikationsnummer: 47114304; Oborová zdravotní pojišťovna zaměstnanců bank, pojišťoven a stavebnictví, Identifikationsnummer: 47114321; Vojenská zdravotní pojišťovna České republiky, Identifikationsnummer: 47114975; Česká průmyslová zdravotní pojišťovna, Identifikationsnummer: 47672234; Zaměstnanecká pojišťovna Škoda, Identifikationsnummer: 46354182);
  • Organe der öffentlichen Gewalt, an die der Verwalter personenbezogene Daten weiterzuleiten hat.

Die personenbezogenen Daten werden lediglich im Rahmen der Mitgliedsstaaten der Europäischen Union weitergeleitet, mit Ausnahme der Dienstleistung Google Analytics (Monitoring von Besucherzahlen auf den Webseiten des Verwalters), bei der personenbezogene Daten an die Gesellschaft Google Inc. mit Sitz in den USA weitergeleitet werden können, und der Dienstleistung Mailchimp, deren Anbieter ebenfalls seinen Sitz in den USA hat. Die Weiterleitung an diese Empfänger basiert auf dem System zur Übermittlung personenbezogener Daten zwischen der EU und den USA in den Geschäftsbeziehungen mit der Bezeichnung Privacy Shield.

Belegung der Identität von Datensubjekten

Der Verwalter ist berechtigt, die Belegung der Identität von Datensubjekten zu verlangen, um Zugriffe auf personenbezogene Daten durch unbefugte Personen zu verhindern.

Rechte von Datensubjekten in Bezug auf personenbezogene Daten

In Bezug auf personenbezogene Daten hat das Datensubjekt insbesondere folgende Rechte:

a) das Recht, seine Einwilligung jederzeit zu widerrufen;

b) das Recht, personenbezogene Daten zu korrigieren oder zu ergänzen;

c) das Recht, eine Einschränkung der Verarbeitung zu fordern;

d) das Recht, in bestimmten Fällen Einwände gegen die Verarbeitung zu erheben oder Beschwerde einzulegen;

e) das Recht, die Übertragung von Daten zu fordern;

f) das Recht auf Zugriff auf personenbezogene Daten;

g) das Recht, in bestimmten Fällen über die Verletzung der Datensicherheit unterrichtet zu werden;

h) in bestimmten Fällen das Recht auf Löschung personenbezogener Daten (das Recht auf Vergessenwerden); und

i) weitere Rechte, die im Datenschutzgesetz, im Gesetz über die Verarbeitung personenbezogener Daten und in der Datenschutz-Grundverordnung Nr. 2016/679 festgelegt sind.

Was bedeutet, dass das Datensubjekt das Recht auf Erhebung von Einwänden hat?

Gemäß Art. 21 der Datenschutz-Grundverordnung Nr. 2016/679 hat das Datensubjekt unter anderem das Recht, Einwände gegen die Verarbeitung personenbezogener Daten zu erheben, wenn Daten auf der Grundlage berechtigter Interessen einschließlich der Verarbeitung zum Zwecke des Direktmarketings verarbeitet werden. Die Einwände können schriftlich beim Verwalter erhoben oder an folgende E-Mail-Adresse übersandt werden: gdpr@obklinika.cz. Im Falle, dass das Datensubjekt Einwände gegen die Verarbeitung erhebt, verarbeitet der Verwalter die betreffenden personenbezogenen Daten nicht weiter, sofern er keine erheblichen berechtigten Gründe für die Verarbeitung nachweist, die wichtiger als die Interessen oder Rechte und Freiheiten des Datensubjekts sind, oder zur Feststellung, Geltendmachung oder Verteidigung von Rechtsansprüchen. Sofern personenbezogene Daten zu Zwecken des Direktmarketings verarbeitet werden und das Datensubjekt gegen diese Verarbeitung Einwände erhebt, werden die betreffenden personenbezogenen Daten vom Verwalter in diesem Umfang nicht mehr verarbeitet.

Nähere Informationen über dieses Recht sind insbesondere Art. 21 der Datenschutz-Grundverordnung Nr. 2016/679 zu entnehmen.

Pflicht zur Zurverfügungstellung personenbezogenen Daten

Das Datensubjekt stellt seine personenbezogenen Daten absolut freiwillig zur Verfügung. Das Datensubjekt ist nicht verpflichtet, personenbezogene Daten zur Verfügung zu stellen. Im Falle, dass das Datensubjekt keine personenbezogenen Daten zur Verfügung stellt, drohen keine Sanktionen. Nichtsdestotrotz, wenn das Datensubjekt seine personenbezogenen Daten dem Verwalter nicht zur Verfügung stellt, wird es nicht möglich sein, einen Vertrag zwischen dem Datensubjekt und dem Verwalter zu schließen bzw. den Vertrag ordnungsgemäß umzusetzen. Es ist jedoch eine ausschließliche Entscheidung des Datensubjekts, ob das Datensubjekt ein Vertragsverhältnis mit dem Verwalter eingehen möchte oder nicht. 

Datensicherheit

Sämtliche personenbezogenen Daten sind durch standardmäßige Verfahren und Technologien gesichert. Die personenbezogenen Daten, die in elektronischer Form verarbeitet werden, werden im Rahmen eines internen Systems gespeichert und sind lediglich für berechtigte Nutzer zugänglich, die mit diesen personenbezogenen Daten über eine durch einen Anmeldenamen und ein Passwort gesicherte Anlage arbeiten. Der Verwalter nutzt den professionellen Antivirus-Schutz sowie Firewall, die er regelmäßig aktualisiert. Der Verwalter kontrolliert regelmäßig, ob das System Schwachstellen hat und Angriffen ausgesetzt wurde und der Verwalter ergreift solche Sicherheitsmaßnahmen, die vom Verwalter nachvollziehbar verlangt werden können, damit es keine unbefugte Zugriffe auf die zur Verfügung gestellten personenbezogenen Daten kommt und die im Hinblick auf den aktuellen Stand der Technik eine ausreichende Sicherheit bieten. Die personenbezogenen Daten, die in Schriftform verarbeitet werden, werden in gesicherten Räumen des Verwalters aufbewahrt, die nur für befugte Personen zugänglich sind. Alle getroffenen Sicherheitsmaßnahmen werden regelmäßig aktualisiert.

Obwohl der Verwalter personenbezogene Daten mit angemessenen technischen und organisatorischen Maßnahmen absichert, kann Datensicherheit objektiv nicht uneingeschränkt gewährleistet werden. Es kann daher auch nicht zu 100 % sichergestellt werden, dass kein Dritter Zugriff auf personenbezogene Daten erhält, dass Daten in Folge der Überwindung von Sicherheitsmaßnahmen des Verwalters kopiert, veröffentlicht, geändert oder vernichtet werden. Nichtsdestotrotz garantiert der Verwalter in diesem Zusammenhang, dass er sämtliche Bemühungen entfalten wird, um Datensicherheit zu gewährleisten, und er kontrolliert regelmäßig, ob die Datensicherheit beeinträchtigt wurde.

Cookies

Der Verwalter verwendet zur Gewährleistung der Funktionalität folgender Webseiten

sog. Cookies, die auf den Geräten von Datensubjekten gespeichert werden. Diese Cookies dienen insbesondere zur Sicherstellung der Funktionalität von Webseiten und Analyse von Besucherzahlen mit Hilfe von Google Analytics (Cookie-Dateien: _ga, _gid und _gat) sowie Hotjar (_hjid und _hjIncludedInSample).

Der Verwalter verwendet auf den Webseiten sog. temporäre Cookies und dauerhafte Cookies. Temporäre Cookies werden im Gerät nur bis zur Beendigung des Programms des Internetbrowsers gespeichert. Temporäre Cookies ermöglichen die Aufbewahrung von Informationen beim Übergang von einer Webseite zu einer anderen Webseite und sorgen dafür, dass einige Daten nicht erneut eingegeben werden müssen. Dauerhafte Cookies helfen, Geräte von Datensubjekten bei wiederholten Besuchen auf Webseiten zu identifizieren.

Herausgeber/ Bezeichnung von CookieTypDauerBeschreibung
php
(PHPSESSID)
für die Funktionalität der Seite unerlässlichtemporärdienen zur Sicherstellung einer besseren Funktionalität der Seite (Cookie merkt sich die gewählte Einstellung u. ä.)
cookieconsent_status und webfontCookiestemporärdienen zur Sicherstellung einer besseren Funktionalität der Seite (Cookie merkt sich die gewählte Einstellung u. ä.)

Hotjar

(_hjid und

_hjIncludedInSample)

analytischedauerhaft (11 Monate nach dem Speichern/ nach der Erneuerung)Verwendung zur Unterscheidung einzelner Nutzer zwecks Analyse von Besucherzahlen. Cookie erneuert sich nach jeder Weiterleitung von Daten an Hotjar (Drittpartei mit Sitz auf Malta).
Google Analytics
(_ga,_gid und _gat)
analytische

dauerhaft

(2 Jahre nach dem Speichern/ nach der Erneuerung)

Verwendung zur Unterscheidung einzelner Nutzer zwecks Analyse von Besucherzahlen. Cookie erneuert sich nach jeder Weiterleitung von Daten an Google Analytics (Drittpartei mit Sitz in Irland und in den USA).




Standardmäßige Webbrowser (Safari, Internet Explorer, Firefox, Google Chrome u. ä.) unterstützen die Verwaltung von Cookies. Im Rahmen der Einstellung von Browsern kann das Datensubjekt einzelne Cookies manuell löschen, blockieren oder deren Verwendung vollständig verbieten, sie können auch für einzelne Internetseiten geblockt oder zugelassen werden. Nähere Informationen findet das Datensubjekt über die Hilfe-Funktion seines Browsers.

Schlussbestimmungen

Das Datensubjekt hat das Recht, eine Beschwerde gegen die Verarbeitung personenbezogener Daten durch den Verwalter zu erheben, und zwar bei Úřad pro ochranu osobních údajů (Amt zum Schutz personenbezogenen Daten/Datenschutzbehörde), Pplk. Sochora 27, 170 00 Prag 7, Internetseiten: www.uoou.cz. Ggf. ist das Datensubjekt berechtigt, beim zuständigen Gericht gerichtlichen Schutz anzufordern.

Diese Grundsätze werden zum 2. Oktober 2019 wirksam.

 


Cookies settings

Use the following settings to customize which cookies will be used on this page.
For a description of what cookies you can use, see the table on this page.