Принципи обробки персональних даних
Принципи обробки персональних даних
Ми — Hedepy s.r.o., товариство з обмеженою відповідальністю з ідентифікаційним номером: 09206281, номером платника ПДВ: CZ09206281, зареєстроване за адресою: V tišině 474/3, Bubeneč, 160 00 Прага, Чеська Республіка, e-mail: podpora@hedepy.cz, зареєстроване в Торговому реєстрі Чеської Республіки, який веде Муніципальний суд у Празі, номер справи C 332559 (надалі — «Hedepy» або «ми»).
Ми керуємо платформою, доступною за адресою www.hedepy.cz («Вебсайт»). За допомогою цього Вебсайту клієнти можуть бронювати сесії з терапевтом. Терапевти можуть використовувати Вебсайт для зв’язку з клієнтами. Відвідувачі можуть переглядати сайт і ознайомлюватися з інформацією про ментальне здоров’я. Ми підготували цю Політику конфіденційності, щоб проінформувати всіх користувачів про те, як ми обробляємо персональні дані.
Щоб узагальнити:
- Клієнт — це особа, яка використовує Вебсайт для бронювання та проходження сесій із терапевтом;
- Терапевт — це підприємець, який використовує Вебсайт для зв’язку зі своїми клієнтами;
- Відвідувач — це користувач, який переглядає Вебсайт.
Ми обробляємо персональні дані відповідно до чинного законодавства, зокрема до Регламенту (ЄС) № 2016/679 Європейського Парламенту та Ради щодо захисту фізичних осіб у зв’язку з обробкою персональних даних та вільним переміщенням таких даних, який скасовує Директиву 95/46/ЄС (Загальний регламент про захист даних) (надалі — «Регламент»).
Чому ми обробляємо ваші дані як контролер персональних даних?
Ми є контролером персональних даних, тобто саме ми визначаємо цілі та способи обробки ваших персональних даних.
Ми будемо обробляти ваші дані з наведеними нижче цілями та протягом відповідного строку.
Хочемо вас запевнити, що під час обробки ваших даних ми не застосовуємо жодного автоматизованого індивідуального прийняття рішень у значенні статті 22 Регламенту. Тобто немає випадків, коли дані обробляються виключно автоматично (без втручання людини) і це має для вас юридичні наслідки (наприклад, через автоматизовані системи, вебпрограми або інше програмне забезпечення).
A. Клієнти. Якщо ви бронюєте та проходите сесію через Платформу як клієнт:
Ми обробляємо такі дані:
- Контактні дані: ім’я та прізвище (якщо вказано), номер телефону, електронна пошта;
- Платіжні та банківські реквізити (якщо ви сплачуєте за сесію самостійно): дані з рахунків-фактури, інформація про платежі, статус оплати, метод оплати;
- Інші дані про вас: усі інші персональні дані, пов’язані з договором і комунікацією з нами;
- Інформація про ваш відгук на терапевта;
- Інформація про вашу оцінку терапевта, якщо ви її залишили;
- Дані з системи бронювання — дати сесій, скасування, комунікація між клієнтом і терапевтом (за винятком самої терапевтичної сесії чи чату), результати самотестування, доступного через Вебсайт тощо;
- Інформація про роботодавця, якщо ви користуєтеся нашими послугами в межах програми для працівників.
Для уникнення непорозумінь звертаємо увагу на таке:
(a) Hedepy не має доступу до відеосесії з терапевтом і не отримує жодної інформації від терапевта, окрім факту, що сесія відбулася або ні (отже, лише терапевт є контролером персональних даних, які ви надали під час сесії);
(b) Hedepy не має доступу до даних вашої банківської картки, якщо ви оплачуєте через Вебсайт (адміністратором платежів є ComGate Payments a.s. або Stripe, Inc.). Ми лише отримуємо інформацію про те, чи було здійснено платіж.
Залежно від того, чи замовляєте ви послуги особисто, чи як працівник через роботодавця, Hedepy може бути постачальником або агентом послуг (консультацій) — подробиці ви знайдете в умовах клієнта на Вебсайті. Однак, з погляду обробки персональних даних, Hedepy та терапевт завжди є незалежними контролерами.
Як уже зазначалося, Hedepy не обробляє жодних чутливих персональних даних клієнтів — зокрема інформацію про стан здоров’я, рекомендовані сесії, сексуальну орієнтацію або лікування. Такі дані може обробляти лише ваш терапевт, який зобов’язаний дотримуватися Кодексу етики Європейської асоціації психотерапевтів і договору про конфіденційність. Якщо ви з терапевтом домовитесь про запис сесії, компанія Hedepy не має і не матиме до нього доступу.
Ми обробляємо ваші дані, як описано в цій таблиці:
| Правова підстава обробки | Мета обробки | Період зберігання даних | Дані, що обробляються |
|---|---|---|---|
| ДОГОВІР Виконання договору або досудових домовленостей Стаття 6(1)(b) GDPR | Надання наших послуг, укладення угоди з терапевтом | Якщо не зазначено інше, ми обробляємо ваші дані у системі бронювання доти, доки у вас активний обліковий запис. Ми автоматично видаляємо ваші дані через 3 роки після останнього входу в акаунт. У такому випадку обліковий запис буде видалено. За вашим запитом ми також можемо видалити його негайно. | Для цієї мети ми обробляємо наступні дані (як зазначено вище): контактні дані; платіжні та банківські реквізити; інформацію з системи бронювання; інформацію про роботодавця, якщо ви користуєтесь нашими послугами як працівник. |
| ЮРИДИЧНІ ЗОБОВ’ЯЗАННЯ Це наш юридичний обов’язок Стаття 6(1)(c) GDPR | Виконання всіх наших юридичних зобов’язань (наприклад, у сфері бухгалтерського обліку або податкового законодавства) | Протягом строку дії відповідного юридичного зобов’язання. Наприклад, деякі податкові дані мають зберігатися протягом 10 років. | Для цієї мети ми обробляємо наступні дані (як зазначено вище): контактні дані; платіжні та банківські реквізити; інша інформація. |
| ЗАКОННИЙ ІНТЕРЕС Це наш законний інтерес Стаття 6(1)(f) GDPR | Захист правових інтересів, у т.ч. виконання договірних зобов’язань | Ми можемо обробляти ваші персональні дані протягом максимального строку позовної давності, передбаченого законом. | For this purpose, we process the following data specified above: your contact details; billing and payment details; other information; information about our communication and feedback; information about evaluation of therapists if you provide it; information from the booking system; information about your employer if you use our services as an employee benefit; information about your visit to the Website |
| Покращення якості наших послуг, зокрема шляхом оцінювання вашої задоволеності нашими послугами та роботою терапевтів. | Ми обробляємо ваші дані, доки у вас є активний обліковий запис клієнта. Ми автоматично видалимо ваші персональні дані через 3 роки після вашого останнього входу в обліковий запис. У такому разі обліковий запис буде остаточно видалено. | З цією метою ми обробляємо такі зазначені вище дані: ваші контактні дані; іншу інформацію; інформацію про нашу комунікацію та зворотний зв’язок; інформацію про оцінювання терапевтів (за наявності); дані з системи бронювання; інформацію про вашого роботодавця, якщо ви користуєтесь нашими послугами як частиною програми для співробітників; інформацію про ваше відвідування Вебсайту. | |
| Прямий маркетинг | Ми можемо надсилати вам наші інформаційні розсилки протягом 3 років після вашої останньої сесії або до моменту, поки ви не заперечите проти такої обробки, наприклад, відмовившись від отримання наших комерційних повідомлень. | З цією метою ми обробляємо такі зазначені вище дані: контактні дані. |
B. Терапевти. Якщо ви використовуєте Вебсайт як терапевт:
Ми обробляємо наступні дані:
- Ваші контактні дані: ім’я, прізвище, номер телефону та електронна адреса;
- Платіжні та банківські реквізити: персональні дані, що містяться в рахунках, інформація про отримані або видані платежі, дані про спосіб оплати;
- Освіта та досвід: персональні дані щодо здобутого вами ступеня та іншої освіти, інформація про тривалість вашої практики;
Інша інформація: інші відомості та персональні дані, пов’язані з укладеним між нами договором і взаємною комунікацією; - Інформація з системи бронювання: дати сесій, їхнє скасування, комунікація між клієнтами й терапевтами (за винятком змісту самих терапевтичних сесій або чат-консультацій) тощо.
| Правова підстава обробки | Мета обробки | Період обробки даних | Оброблювані дані |
|---|---|---|---|
| КОНТРАКТ Виконання договору або проведення переддоговірних переговорів (стаття 6(1)(b) GDPR) | Надання наших послуг, укладання договору з клієнтом | Якщо не зазначено інше нижче, у разі вашої активності як терапевта на Вебсайті, ми обробляємо ваші персональні дані лише протягом строку дії нашого договору про співпрацю. | Для цієї мети ми обробляємо такі зазначені вище дані: ваші контактні дані; платіжні та банківські реквізити; іншу інформацію; дані з системи бронювання. |
| ЗАКОНОДАВЧІ ВИМОГИ Це наш юридичний обов’язок (стаття 6(1)(c) GDPR) | Виконання всіх наших юридичних зобов’язань (наприклад, зобов’язань згідно з бухгалтерським або податковим законодавством) | Протягом строку дії відповідного юридичного зобов’язання. Наприклад, деякі персональні дані, що стосуються податкових зобов’язань, мають зберігатися протягом 10 років. | Для цієї мети ми обробляємо такі зазначені вище дані: ваші контактні дані; платіжні та банківські реквізити; іншу інформацію. |
| ЗАКОННИЙ ІНТЕРЕС Це наш законний інтерес (стаття 6(1)(f) GDPR) | Забезпечення виконання договірних вимог і юридичних зобов’язань | Ми можемо обробляти ваші персональні дані протягом строку, який відповідає найдовшому можливому строку позовної давності, передбаченому законодавством, якщо ці дані можуть знадобитися для захисту наших законних інтересів. | Для цієї мети ми обробляємо такі зазначені вище дані: ваші контактні дані; платіжні та банківські реквізити; інформацію про ваші відвідування Вебсайту. |
| Прямий маркетинг | Ми можемо надсилати вам наші інформаційні розсилки протягом 3 років після останньої консультації з клієнтом або до моменту, коли ви заперечите проти такої обробки, наприклад, шляхом відписки від наших комерційних повідомлень. | Для цієї мети ми обробляємо такі зазначені вище дані: контактні дані. |
C. Відвідувачі. Якщо ви відвідуєте Вебсайт без реєстрації:
Ми обробляємо такі дані:
- Ваші контактні дані: e-mail;
- Інформація про ваше відвідування Вебсайту відповідно до нашої Політики використання файлів cookie.
| Правова підстава обробки | Мета обробки | Період обробки даних | Оброблювані дані |
|---|---|---|---|
| ЗГОДА Ви надаєте нам згоду на обробку ваших даних (стаття 6 (1) а) GDPR) | Надсилання маркетингової інформації (наприклад, розсилки новин), якщо ви надали нам згоду на обробку даних з цією метою | Ми можемо надсилати вам розсилку протягом 3 років з моменту надання згоди або до моменту, поки ви не заперечите проти такої обробки — наприклад, шляхом відписки від комерційних повідомлень. | Для цієї мети ми обробляємо такі персональні дані: контактні дані. |
| ІНШЕ Детальніше — у нашій політиці використання файлів cookie. | Використання файлів cookie з метою аналітики, статистики, реклами або оцінки наданих послуг | Більше інформації ви можете знайти у нашій політиці щодо файлів cookie. | Більше інформації — у нашій політиці cookie. |
Кому ми передаємо ваші персональні дані?
Для забезпечення безпечного зв’язку між клієнтом і терапевтом ми використовуємо сервіси компаній LiveKit Inc. та Twilio Inc.
Наша компанія обрала LiveKit Inc. через її високі стандарти безпеки системи та захисту даних, які повністю відповідають вимогам Регламенту. LiveKit Inc. впроваджує заходи безпеки відповідно до найкращих практик, включаючи шифрування даних (AES-256), багаторівневу автентифікацію (MFA) та регулярні аудити процесів безпеки, що гарантує захист персональних даних відповідно до GDPR. Платформа LiveKit відповідає стандарту безпеки SOC 2 Type II і підтримує захист чутливих даних згідно з вимогами HIPAA, що підтверджує її високий рівень безпеки. Докладніше про заходи безпеки LiveKit Inc. ви можете дізнатися тут..
Twilio Inc. брано нашою компанією за аналогічні високі стандарти безпеки. Компанія приєдналася до програми Data Privacy Framework (DPF), ініційованої Міжнародною торговою адміністрацією та Міністерством торгівлі США. У межах цієї програми Twilio Inc. взяла на себе зобов’язання щодо суворого дотримання вимог Регламенту. Перевірити участь Twilio Inc. у програмі можна тут.
Оплата індивідуальних сесій організовується через ComGate Payments a.s. та Stripe, Inc., кі є самостійними контролерами персональних даних і передають нашій компанії лише інформацію про факт здійснення чи неуспішність оплати. Вони не передають нам жодних платіжних реквізитів.
У межах діяльності Hedepy інші компанії також допомагають нам в обробці персональних даних, зокрема в галузі ІТ-підтримки, управління хмарними сховищами чи веб-хостингом. Зокрема, ми співпрацюємо з такими суб’єктами:
- Google Ireland Ltd. — керує вашим Google-акаунтом, який можна використати для реєстрації на Вебсайті, а також допомагає з обробкою файлів cookie. Детальніше про обробку даних Google можна дізнатися тут.
- Meta Platforms Inc. — оператор Facebook, через який також можна зареєструватися на Вебсайті. Також обробляє cookie. Більше інформації тут..
- Formagrid Inc., зареєстрована за адресою: 799 Market St Fl 8, Сан-Франциско, Каліфорнія 94103, США — забезпечує роботу платформи Airtable яку ми використовуємо для оптимізації робочих процесів.
- TYPEFORM SL, зареєстрована за адресою: C/ Can Rabia 3–5, 4-й поверх, 08017, Барселона, Іспанія — забезпечує роботу платформи Typeform яку ми використовуємо для роботи з даними.
- Freshworks Inc., зареєстрована за адресою: 2950 S Delaware St, Suite 201, Сан-Матео, Каліфорнія, США — забезпечує роботу платформи Freshdesk яку ми використовуємо для покращення клієнтської підтримки.
- airSlate Inc., зареєстрована за адресою: 2901 West Coast Highway, Ньюпорт-Біч, Каліфорнія 92663, США — забезпечує роботу платформи SignNow для електронного підписання документів.
- Celonis, Inc., зареєстрована за адресою: One World Trade Center, 87-й поверх, Нью-Йорк, NY 10007, США — забезпечує роботу платформи make яку ми використовуємо для організації завдань та автоматизації процесів.
- SendPulse Inc., зареєстрована за адресою: 119 W 24th St, Fl 4, Нью-Йорк, NY 10011, США, та Mailgun Technologies Inc., зареєстрована за адресою: 112 E Pecan St, #1135, Сан-Антоніо, Техас 78205, США — допомагають нам у надсиланні інформаційних розсилок.
- DigitalOcean Holdings, Inc., зареєстрована за адресою: 101 Avenue of the Americas, 10-й поверх, Нью-Йорк, NY 10013, США — надає хмарні рішення.
- ABRA Software a.s., зареєстрована за адресою: Jeremiášova 1422/7b, Стодулки, 155 00 Прага 5, Чехія — надає систему управління підприємством (ERP).
UnicornsLab s.r.o., зареєстрована за адресою: Skřivanova 334/4, Понава, 602 00 Брно, Чехія — керує нашими онлайн-кампаніями. - LCG New Media s.r.o., зареєстрована за адресою: Pernerova 659/31a, Карлін, 186 00 Прага 8, Чехія — допомагає з нашими маркетинговими активностями.
Рекомендуємо ознайомитися з політикою конфіденційності перед першим підключенням до сесії.
Якщо ви користуєтесь Hedepy завдяки вашому роботодавцю, запевняємо вас, що ми не передаємо жодних ваших персональних даних роботодавцю, лише агреговану інформацію про загальну кількість сесій і їхню загальну номінальну вартість.
Ваш терапевт також має доступ до ваших персональних даних і є єдиним контролером цих даних.
Як ми захищаємо ваші персональні дані?
Наша компанія приділяє особливу увагу конфіденційності консультацій та безпеці ваших даних. Ми впровадили високий стандарт вимог до безпеки систем і осіб, які з нами співпрацюють. Основні заходи безкпеки включають:
- Високі вимоги до терапевтів та їхньої професійної кваліфікації, зокрема щодо захисту інформації про вас, визначені в договорі, який ми укладаємо з терапевтами;
- Організаційні та технічні заходи для захисту системи бронювання та відеозв’язку, зокрема: верифікація, анонімізація, доступ лише для уповноважених осіб, захист серверів, моніторинг, угоди про рівень обслуговування (SLA);
- Мінімізація обсягу оброблюваних даних та кількості осіб, які мають до них доступ;
- Дотримання конфіденційності всіма особами, які мають доступ до системи бронювання.
What are your rights?
Право на подання скарги: Якщо ви вважаєте, що, незважаючи на наші найкращі зусилля, ми порушуємо законодавство про захист персональних даних, ви маєте право звернутися до Управління з питань захисту персональних даних Чеської Республіки (Czech Office for Personal Data Protection), www.uoou.cz, тел. +420 234 665 111, Pplk. Sochora 27, Praha 7, 170 00, Чехія
Крім того, ви маєте й інші права:
- Право на доступ до інформації: Ви можете звернутися до нас із запитом, яку саме інформацію ми про вас обробляємо та які дії виконуємо з вашими персональними даними (у випадках, не описаних у цій політиці).
- Право на виправлення або доповнення: Якщо змінюється ваша електронна адреса, номер телефону або ім’я — зверніться до нас за контактами нижче, і ми з радістю внесемо відповідні корективи.
Право на заперечення проти обробки: Якщо ви вважаєте, що ми обробляємо ваші персональні дані з порушенням законодавства, ви можете звернутися до нас із проханням надати роз’яснення або усунути порушення — зокрема вимагати блокування або знищення таких даних. - Право на перенесення даних: Ви можете звернутися до нас із проханням надати вам виписку ваших персональних даних в електронному форматі.
Право на видалення: Ви можете надіслати нам запит на видалення своїх персональних даних у будь-який момент. Ми виконаємо це, якщо не існує законних підстав для подальшої обробки
Куди звертатися для реалізації ваших прав?
Ми раді підтримувати з вами зв’язок і прагнемо вирішити ваші звернення, запити або скарги якомога швидше.
Ви можете зв’язатися з нами за поштою podpora@hedepy.cz, за адресою, зазначеною у верхній частині цього документа. Ми також доступні за телефоном +420 772 123 001 та онлайн чатом https://hedepy.cz/.
Ця Політика конфіденційності набирає чинності з 1 січня 2024 року.
Вас може зацікавити
Якщо ваше психічне здоров’я загрожує вам або оточуючим, негайно зверніться до служби екстреної допомоги (телефон: 112).
Наші психотерапевти чи Hedepy s.r.o. не несуть відповідальності за стан вашого здоров'я.
