Zásady ochrany osobních údajů

vydané v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“):

Uživatel služeb provozovatele jakožto subjekt údajů svým svobodným rozhodnutím (zaškrtnutím políčka, stisknutím tlačítka) dává najevo, že si je vědom všech níže uvedených skutečností a souhlasí s dalším zpracováním svých osobních údajů pro účely podnikatelské činnosti provozovatele webových stránek a interaktivní online platformy www.kardi.ai, její mobilní aplikace a modelu umělé inteligence (AI) s touto platformou spojené (a případně souhlasí se zpracováním osobních údajů pro účely zasílání newsletterů, jestliže k tomu udělil zvláštní souhlas). Pro účely těchto Zásad se „modelem AI“ rozumí komponenta založená na strojovém učení integrovaná do platformy Kardi Ai. Model se na základě historických a uživateli sestavených dat o EKG a dalších zdravotních údajů učí identifikovat vzorce a zlepšuje schopnost platformy Kardi Ai interpretovat srdeční činnost. Tento model AI je součástí širšího systému umělé inteligence vyvinutého a nasazeného správcem; systém poskytuje automatizované výstupy na podporu monitorování zdravotního stavu uživatele.

Správce zpracovává osobní údaje v rozsahu, v jakém mu je uživatel poskytl, a to z následujícího důvodu, v následujícím rozsahu a pro následující účely:

1. Za účelem zřízení a vedení uživatelského účtu na interaktivní online platformě kardi.ai a zlepšování služeb poskytovatele a vyhodnocování těchto služeb, jakož i za účelem učení, vývoje a dolaďování modelu umělé inteligence integrovaného do platformy Kardi Ai, zpracovává správce na základě výslovného souhlasu, který uživatel udělí při přijetí těchto Zásad ochrany osobních údajů, osobní údaje poskytnuté uživatelem v registračním formuláři či v rámci platformy Kardi Ai nebo generované při používání zařízení a služeb provozovatele (patří sem např. záznamy o EKG a související zdravotní údaje).

 

Správce zpracovává zejména tyto osobní údaje:

• identifikační údaje (jméno a příjmení, titul, datum narození),
• kontaktní údaje (telefonní číslo a e-mailovou adresu),
• finanční údaje (zejména číslo bankovního účtu nebo platební karty),
• pohlaví a věk,
• údaje o používání zařízení provozovatele, údaje o fyzickém stavu, naměřené hodnoty a další informace o používání zařízení provozovatele,​
• zdravotní údaje, včetně údajů týkajících se fyzického nebo duševního zdraví či stavu. Osobní zdravotní údaje zahrnují také údaje, které lze použít ke zjištění zdravotního stavu osoby nebo k vyvození závěrů o jejím stavu,
• a případně další údaje, které uživatel sám uvede v registračním formuláři nebo které si správce pro účely registrace vyžádá, jakož i údaje, které uživatel sám uvede v rámci platformy Kardi Ai.

 

Zpracování osobních údajů, které neodhalují informace o zdravotním stavu, je nezbytné pro plnění smlouvy mezi uživatelem a provozovatelem a pro plnění zákonných povinností, které se na provozovatele vztahují. Zdravotní údaje (což je zvláštní kategorie osobních údajů) jsou zpracovávány správcem, mimo jiné pro účely učení a zdokonalování modelu AI používaného platformou Kardi Ai, a/nebo předávány třetím stranám (poskytovatelům zdravotnických služeb) na základě výslovného souhlasu. 

Jsou-li osobní údaje shromažďovány společně s údaji týkajícími se zdraví (např. záznamy o srdečním tepu nebo EKG), je celý takový soubor údajů považován za údaje zvláštní kategorie a je zpracováván pouze na základě výslovného souhlasu uživatele v souladu s čl. 6 odst. 1 písm. a) a čl. 9 odst. 2 písm. a) nařízení GDPR. Totéž platí pro předávání těchto údajů třetím stranám (např. poskytovatelům zdravotnických služeb). V této souvislosti je výslovný souhlas jediným právním základem zpracování osobních a zdravotních údajů v rámci platformy Kardi Ai. Bez takového souhlasu nebo v případě, že uživatel souhlas odvolá, nemůže správce poskytovat základní funkce platformy Kardi Ai, které jsou založeny na zpracování zdravotních údajů, a přístup k platformě bude odpovídajícím způsobem omezen. Odvoláním souhlasu není dotčena zákonnost zpracování údajů probíhajícího před jeho odvoláním.

Některé údaje, které nevypovídají o zdravotním stavu uživatele, nebo jiné údaje, které nejsou považovány za zvláštní kategorie osobních údajů, mohou být zpracovávány pro účely, na nichž má poskytovatel oprávněný zájem, tj. za účelem zlepšování služeb poskytovatele, konkrétně: i) pro interní potřebu správce, pro vývoj produktů a portálu správce; ii) pro zpracování a předávání (včetně předávání smluvním partnerům správce) v agregované nebo anonymní podobě (např. pro účely různých studií, statistických zpráv, infografik, případových studií apod.). Zdravotní údaje se pro tyto účely nezpracovávají bez výslovného souhlasu uživatele a tento souhlas lze kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování údajů probíhajícího před jeho odvoláním.

Uživatel je tímto informován, že naměřené hodnoty shromažďované prostřednictvím služeb provozovatele nelze po deaktivaci uživatelského účtu znovu získat ani poskytnout uživateli.

2. Pro účely zasílání newsletterů a dalších obchodních sdělení zpracovává správce osobní údaje na základě souhlasu v tomto rozsahu:

• e-mailová adresa, 
• telefonní číslo. 

 

Tyto osobní údaje jsou rovněž zpracovávány za účelem prezentace přizpůsobených nabídek produktů správce a jeho smluvních partnerů. Udělením souhlasu uživatel rovněž souhlasí s tím, aby správce stahoval, zpracovával, uchovával a používal údaje pro následující účely: i) pro interní potřebu správce, pro vývoj produktů správce a prezentaci přizpůsobené nabídky produktů správce uživatelům; ii) pro zpracování a předávání (včetně předávání smluvním partnerům správce) v agregované nebo anonymní podobě (např. pro účely různých studií, statistických zpráv, infografik, případových studií apod.).

Subjekt údajů má právo kdykoli vznést námitku proti zpracování svých osobních údajů za tímto účelem.

Zpracování osobních údajů za tímto účelem bude probíhat po dobu trvání uděleného souhlasu, nejdéle však po dobu trvání smluvního vztahu s provozovatelem. Souhlas lze kdykoli odvolat sdělením na e-mailovou adresu gdpr@kardi.ai nebo kliknutím na odkaz pro odhlášení z odběru, který je uveden v každé zprávě. Jestliže uživatel souhlas odvolá, správce osobní údaje uživatele vymaže.

Zpracování osobních údajů pro všechny výše uvedené účely provádí správce. Přístup ke zdravotním údajům mají rovněž poskytovatelé zdravotnických služeb, pokud uživateli prodají zařízení s aplikací. Správce je oprávněn osobní údaje poskytovatelům zdravotnických služeb předávat. Poskytovatelé zdravotnických služeb jsou nezávislými správci takových osobních údajů. 

Správce je oprávněn předávat osobní údaje dalším subjektům (zpracovatelům), s nimiž uzavřel smlouvu o zpracování osobních údajů, zejména externím odborníkům (jako jsou účetní, právníci, lékaři) a osobám podílejícím se na poskytování služeb správce.

Správce prohlašuje, že všechny subjekty, kterým mohou být osobní údaje zpřístupněny, respektují právo subjektů údajů na ochranu soukromí a jsou povinny postupovat v souladu s platnými právními předpisy o ochraně osobních údajů.

Osobní údaje občanů zemí Evropského hospodářského prostoru nejsou předávány do zemí mimo Evropskou unii. 

Osobní údaje občanů třetích zemí (mimo Evropský hospodářský prostor) mohou být předávány společnostem ve třetích zemích (mimo Evropský hospodářský prostor). V takových případech, kdy dochází k předání údajů z Evropského hospodářského prostoru do třetí země, správce údaje předá pouze tehdy, pokud je splněna jedna z následujících podmínek: (i) v dané zemi existuje odpovídající úroveň ochrany stanovená Evropskou komisí, nebo (ii) přijímající společnost/dovozce údajů je registrován/a podle Rámce ochrany soukromí mezi EU a USA, nebo (iii) jsou zavedeny standardní smluvní doložky (vzorové doložky EU) schválené Evropskou komisí a další doplňková opatření k regulaci předávání údajů.  

Správce uplatňuje vhodná technická a organizační opatření na ochranu osobních údajů, která odpovídají povaze a typu příslušných osobních údajů nebo jejich kategorií a rizikům spojeným s jejich zpracováním.

Jako subjekt údajů má uživatel v souladu s nařízením GDPR následující práva:

• Právo odvolat souhlas. Je-li pro účely zpracování osobních údajů vyžadován souhlas uživatele, je uživatel oprávněn souhlas kdykoli odvolat, což může učinit zejména zasláním e-mailu ze své e-mailové adresy nebo kliknutím na odkaz pro odhlášení z odběru newsletteru. Odvoláním souhlasu není dotčena zákonnost zpracování údajů prováděného na základě souhlasu před jeho odvoláním.
• Právo na přístup. Uživatel má právo na přístup k osobním údajům, které jsou o něm zpracovávány, a zároveň má právo na informace o tom, jaké osobní údaje jsou o něm zpracovávány a jak dlouho, jaké jsou účely jejich zpracování, komu jsou předávány a zda jsou používány pro automatizované rozhodování (případně jak toto automatizované rozhodování funguje).
• Právo na opravu. Zjistí-li uživatel, že jsou o něm zpracovávány neúplné nebo nesprávné osobní údaje, má právo na jejich opravu nebo, pokud to účel zpracování těchto osobních údajů vyžaduje, na jejich doplnění.
• Právo na výmaz. Mezi práva uživatele rovněž patří právo na výmaz osobních údajů, které jsou o něm uchovávány a zpracovávány. V každém případě, pokud neexistuje právní základ zpracování nebo zpracování porušuje zásady stanovené v nařízení GDPR, správce do jednoho měsíce od okamžiku, kdy se o tom dozví, údaje vrátí, nebo pokud to není možné či by to vyžadovalo nepřiměřené úsilí, údaje vymaže nebo zničí. 
• Právo na přenositelnost. Dalším právem, které může uživatel uplatnit, je tzv. právo na přenositelnost údajů. Na jeho základě může uživatel požádat o poskytnutí osobních údajů, které byly správci předány na základě souhlasu uživatele a které správce zpracovává automaticky. Správce na požádání poskytne uživateli osobní údaje, které splňují tyto podmínky, v běžně používaném, strukturovaném a strojově čitelném formátu nebo je na základě žádosti uživatele předá jinému správci dle určení uživatele, je-li to technicky proveditelné.
• Právo na omezení zpracování. V případech, kdy se uživatel domnívá, že jeho osobní údaje zpracovávané správcem jsou nesprávné, má právo požádat správce o omezení jejich zpracování, a to po dobu nezbytnou k ověření přesnosti těchto osobních údajů a k jejich případné opravě.
• Právo vznést námitku proti zpracování osobních údajů. Uživatel má právo vznést námitku proti tomu, aby správce zpracovával osobní údaje pro účely přímého marketingu či jiné účely (např. pro účely zasílání obchodních sdělení). V takovém případě správce okamžitě přestane zpracovávat osobní údaje pro takový účel.
• Právo podat stížnost. Má-li subjekt údajů jakékoli dotazy týkající se jeho konkrétních osobních údajů, které o něm správce zpracovává nebo uchovává, nebo přeje-li si subjekt údajů uplatnit některé z výše uvedených práv, může se obrátit na správce na e-mailové adrese: gdpr@kardi.ai. Správce na tyto žádosti subjektů údajů odpoví do jednoho měsíce, ale podle nařízení GDPR má právo tuto lhůtu až o dva měsíce prodloužit. Pokud správce lhůtu prodlouží, bude o tom žadatele informovat do jednoho měsíce od podání žádosti. Jestliže se subjekt údajů domnívá, že správce nevyřešil jeho žádost uspokojivě, má právo podat stížnost u příslušného orgánu pro ochranu osobních údajů: 
  Česká republika:

  Úřad pro ochranu osobních údajů 

  Pplk. Sochora 27, 170 00 Praha 7, Česká republika

  https://uoou.gov.cz/en/consultation/contact

  
  v závislosti na místě obvyklého pobytu subjektu údajů, místě výkonu práce nebo místě, kde k údajnému porušení došlo.

  Subjekt údajů má dále právo na účinný soudní opravný prostředek, pokud orgán pro ochranu osobních údajů jeho stížnost nevyřeší nebo subjekt do tří měsíců neinformuje o postupu řešení nebo výsledku podané stížnosti. Řízení bude zahájeno u místně příslušného soudu podle sídla dozorového úřadu.

  Aniž jsou dotčeny jakékoli dostupné správní nebo mimosoudní opravné prostředky, včetně výše uvedeného práva podat stížnost u orgánu pro ochranu osobních údajů, má subjekt údajů rovněž právo na účinný soudní opravný prostředek proti správci, jestliže se domnívá, že jeho práva podle nařízení GDPR byla porušena v důsledku zpracování jeho osobních údajů v rozporu s nařízením GDPR. Takové řízení bude zahájeno u soudu členského státu EU, v němž má správce provozovnu. Alternativně může subjekt údajů podat žalobu u místního soudu, je-li daná země místem obvyklého pobytu subjektu údajů.

   Správce upozorňuje, že není možné požádat o výmaz osobních údajů, které je správce povinen shromažďovat ze zákona.

  Pokud si uživatel přeje opravit osobní údaje, které o něm provozovatel zpracovává, nebo uplatnit některé z výše uvedených práv, může se obrátit na správce na e-mailové adrese: gdpr@kardi.ai.

  
  Datum: 1. října 2025