Článok I.

ÚVODNÉ USTANOVENIA 

1. Spoločnosť DC MEDICAL s.r.o., so sídlom: Myslavská 644/190/A, 040 16 Košice, IČO: 46 599 762, spoločnosť zapísaná v Obchodnom registri Mestského súdu Košice, odd.: Sro, vložka č.: 29900/V, je poskytovateľom zdravotnej starostlivosti v zdravotníckych zariadeniach ambulantnej zdravotnej starostlivosti v rozsahu podľa jej povolenia na prevádzkovanie zdravotníckych zariadení a v súlade s jej predmetom činností zapísaných v Obchodnom registri Slovenskej republiky (ďalej len „prevádzkovateľ“).
2. Tieto informácie o spracúvaní osobných údajov pre dotknuté osoby (ďalej len „Informácie o spracúvaní osobných údajov“) obsahujú podrobnosti o ochrane osobných údajov v súlade s ustanoveniami Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27.04.2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „GDPR“) a zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 18/2018 Z. z.“). 
3. Tieto informácie o spracúvaní osobných údajov sa vzťahujú aj na spracúvanie osobných údajov prostredníctvom počítačového softvéru a aplikácie s označením „DC TELEMED“, ktorý prevádzkovateľ používa na základe licencie udelenej vlastníkom a prevádzkovateľom tohto softvéru, a to spoločnosťou DASKILOS INVESTMENTS LTD, sídlo: Efesou, 9, Paralimni, 5280, Famagusta, Cyprus, IČO: HE 412783, registrácia: Register obchodných spoločností vedený Oddelením registra spoločností a duševného vlastníctva, Ministerstvom energetiky, obchodu a priemyslu Cyperskej republiky. Vzťah medzi spoločnosťou DC MEDICAL s.r.o. ako prevádzkovateľom a spoločnosťou DASKILOS INVESTMENT LTD ako sprostredkovateľom je spravovaný zmluvou o spracúvaní osobných údajov v mene prevádzkovateľa uzavretou v súlade s ust. § 34 ods. 3 zákona č. 18/2018 Z. z. a čl. 28 GDPR.
4. Identifikačné a kontaktné údaje prevádzkovateľa:

prevádzkovateľ:      DC MEDICAL s.r.o.

sídlo: Myslavská 644/190/A, 040 16 Košice

IČO: 46 599 762

zápis v: Obchodnom registri MS KE, odd.: Sro, vložka č. 29900/V

telefónne číslo:  +421 948 798 537

1. Identifikačné a kontaktné údaje zodpovedného zástupcu prevádzkovateľa:

zodpovedná osoba: Ing. Tímea Lukšová

e-mail: zodpovednaosoba@dcmedical.eu

telefónne číslo: +421 948 798 537

Článok II.

VÝKLAD POJMOV

1. Osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.
2. Spracúvanie je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.
3. Príjemca je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania.
4. Súhlas dotknutej osoby je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.
5. Údaje týkajúce sa zdravia sú osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave. 
6. Profilovanie je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.
7. Zdravotná starostlivosť je súbor pracovných činností, ktoré vykonávajú zdravotnícki pracovníci, vrátane poskytovania liekov, zdravotníckych pomôcok a dietetických potravín s cieľom predĺženia života fyzickej osoby, zvýšenia kvality jej života a zdravého vývoja budúcich generácií; zdravotná starostlivosť zahŕňa prevenciu, dispenzarizáciu, diagnostiku, liečbu, biomedicínsky výskum, ošetrovateľskú starostlivosť a pôrodnú asistenciu.
8. Prevádzka je niektorá zo zdravotníckych zariadení ambulantnej zdravotnej starostlivosti prevádzkovateľa (DERMACENTER, DENTALCENTER, PLASCTICCENTER). 
9. Služba je niektorá zo služieb ponúkaných prevádzkovateľom, ktoré spočívajú v poskytovaní zdravotnej starostlivosti, služieb súvisiacich s poskytovaním zdravotnej starostlivosti a nadštandardných služieb na základe zmluvy uzavretej s Klientom a ktoré Poskytovateľ vykonáva v rámci predmetu činností svojho podnikania zapísaných v Obchodnom registri SR. Prevádzkovateľ poskytuje zdravotnú starostlivosť pacientom osobne vo svojich prevádzkach, pacienti majú možnosť využiť služby zdravotnej starostlivosti poskytované aj na diaľku (tzv. telemedicína), v takom prípade sú pacientovi služby poskytnuté prostredníctvom videohovoru. 

Článok III.

ÚČEL, PRÁVNY ZÁKLAD SPRACÚVANIA OSOBNÝCH ÚDAJOV, KATEGÓRIE OSOBNÝCH ÚDAJOV, PRÍJEMCA OSOBNÝCH ÚDAJOV A DOBA UCHOVÁVANIA OSOBNÝCH ÚDAJOV 

1. Prevádzkovateľ spracúva osobné údaje za účelom poskytovania zdravotnej starostlivosti. 
   1. Tento účel zahŕňa: vedenie zdravotnej dokumentácie dotknutej osoby v súlade s príslušnými právnymi predpismi, vedenie evidencie pacientov, rezervovanie a objednávanie pacientov na konkrétne služby, informovanie pacientov o pokynoch pred a po poskytnutí služby a o možných rizikách a komplikáciách spojených so službou, informovanie pacientov o podmienkach uzatvorenia danej zmluvy a cenových podmienkach, videohovor s pacientmi pri poskytovaní telemedicíny. Prevádzkovateľ ukladá a spracúva osobné údaje prostredníctvom počítačového softvéru a aplikácie s označením „DC TELEMED“, ktorý používa na základe licencie od prevádzkovateľa tohto softvéru. 
   2. Kategória a zoznam spracovaných údajov: 
2. obvyklé osobné údaje – titul, meno, priezvisko, trvalé bydlisko, dátum narodenia, rodné číslo, e-mail, telefónne číslo, zdravotná poisťovňa, prípadne podobizeň a priestor, v ktorom sa dotknutá osoba nachádza,
3. osobitná kategória osobných údajov – údaje týkajúce sa zdravia (najmä zdravotné indikácie, ochorenia, aktuálne zdravotné problémy, tehotenstvo u žien, známe alergie, typ pleti, užívanie liekov a/alebo vitamínových doplnkov, vykonané ošetrenie a dátum jeho výkonu, všetky údaje, ktoré sú súčasťou zdravotnej dokumentácie).
   1. Právny základ spracúvania osobných údajov: 
4. čl. 6 ods. 1 písm. b) GDPR - spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy a zároveň čl. 6 ods. 1 písm. c) GDPR - spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa v zmysle:

• zákona č. 576/2004 Z. z. o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 576/2004 Z. z.“),
• zákona č. 578/2004 Z. z. o poskytovateľoch zdravotnej starostlivosti, zdravotníckych pracovníkoch, stavovských organizáciách v zdravotníctve a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 578/2004 Z. z.“),
• zákona č. 153/2013 Z. z. o národnom zdravotníckom informačnom systéme a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 153/2013 Z. z.“), 
• zákona č. 581/2004 Z. z. o zdravotných poisťovniach, dohľade nad zdravotnou starostlivosťou a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 581/2004 Z. z.“),
• zákona č. 362/2011 Z. z. o liekoch a zdravotníckych pomôckach a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 362/2011 Z. z.“).

1. keďže za účelom poskytovania zdravotnej starostlivosti prevádzkovateľ spracúva aj osobné údaje týkajúce sa zdravia ako osobitnej kategórie osobných údajov, právnym základom je čl. 9 písm. h) GDPR – spracúvanie je nevyhnutné na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby, alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti na základe práva Únie alebo práva členského štátu alebo podľa zmluvy so zdravotníckym pracovníkom, a podlieha podmienkam a zárukám uvedeným v čl. 9 ods. 3 GDPR.
   1. Poskytovanie osobných údajov prevádzkovateľovi za účelom poskytovania zdravotnej starostlivosti je zákonnou požiadavkou, následkom neposkytnutia osobných údajov môže byť odmietnutie poskytnutia zdravotnej starostlivosti.
   2. Príjemca a kategórie príjemcov osobných údajov: prevádzkovateľ, zdravotná poisťovňa dotknutej osoby, iní poskytovatelia zdravotnej starostlivosti poskytujúci zdravotnú starostlivosť dotknutej osobe, Národné centrum zdravotníckych informácií, osoby, ktoré sú oprávnené na prístup k osobným údajom podľa podmienok vymedzených príslušnými ustanoveniami zákona č. 576/2004 Z. z., zákona č. 578/2004 Z. z. a zákona č. 153/2013 Z. z., prevádzkovateľ softvéru a aplikácie s označením „DC TELEMED“ - spoločnosť DASKILOS INVESTMENTS LTD, sídlo: Efesou, 9, Paralimni, 5280, Famagusta, Cyprus, IČO: HE 412783, registrácia: Register obchodných spoločností vedený Oddelením registra spoločností a duševného vlastníctva, Ministerstvom energetiky, obchodu a priemyslu Cyperskej republiky.
   3. Doba uchovávania osobných údajov:  súlade s ustanovením § 22 ods. 2 zákona č. 576/2004 Z. z. sa zdravotná dokumentácia uchováva najmenej 20 rokov od posledného poskytnutia zdravotnej starostlivosti osobe. 
   4. Prevádzkovateľ nezamýšľa prenos osobných údajov do tretích krajín alebo medzinárodnej organizácii.  

1. Prevádzkovateľ spracúva osobné údaje za účelom priameho marketingu. 
   1. Tento účel zahŕňa: zasielanie newsletterov a noviniek o tovaroch a službách dotknutej osobe formou SMS správy, e-mailom a poštou.
   2. Kategória a zoznam spracovaných údajov: obvyklé osobné údaje – titul, meno, priezvisko, trvalé bydlisko, dátum narodenia, e-mail, telefónne číslo.
   3. Právny základ spracúvania osobných údajov: čl. 6 ods. 1 písm. a) GDPR- dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely.
   4. Poskytovanie osobných údajov prevádzkovateľovi nepredstavuje zákonnú ani zmluvnú požiadavku a ani požiadavku, ktorá je potrebná na uzatvorenie zmluvy. Poskytovanie osobných údajov je dobrovoľné a dotknutá osoba nie je povinná poskytnúť súhlas na spracúvanie osobných údajov. Následkom neposkytnutia súhlasu na spracúvanie osobných údajov je nemožnosť zasielania newsletterov a noviniek o tovaroch a službách dotknutej osobe. 
   5. Príjemca osobných údajov: prevádzkovateľ, spriaznené osoby, spoločnosť JUHAPHARM, s. r. o., sídlo: Myslavská 644/190/A, 040 16 Košice, IČO: 31 698 441, zmluvní partneri prevádzkovateľa, ktorí poskytujú pre prevádzkovateľa marketingové služby. 
   6. Doba uchovávania osobných údajov: najmenej 20 rokov odo dňa udelenia súhlasu dotknutej osoby. 
   7. Prevádzkovateľ uskutočňuje automatizované spracúvanie osobných údajov, ktoré pozostáva z použitia určitých údajov na vyhodnocovanie, ktorými sú: vek, pohlavie, druh a čas vykonaného ošetrenia, cena ošetrenia. Na základe uvedených údajov následne dochádza ku zasielaniu newsletterov a noviniek o tovaroch a službách dotknutej osobe formou SMS správy, e-mailom a poštou. 
   8. Prevádzkovateľ nezamýšľa prenos osobných údajov do tretích krajín alebo medzinárodnej organizácii. 

1. Prevádzkovateľ spracúva osobné údaje za účelom marketingovej prezentácie činnosti prevádzkovateľa. 
   1. Tento účel zahŕňa: vyhotovenie, spracúvanie a zverejnenie fotografií, obrazových a zvukových záznamov dotknutej osoby za účelom marketingovej prezentácie činností prevádzkovateľa na webových stránkach prevádzkovateľa, na facebookovom a instagramovom účte prevádzkovateľa, v časopisoch, brožúrach, letákoch a ďalších súvisiacich marketingových materiáloch.
   2. Kategória a zoznam spracovaných údajov: obvyklé osobné údaje – titul, meno, priezvisko, trvalé bydlisko, dátum narodenia, e-mail, telefónne číslo, fotografia. 
   3. Právny základ spracúvania osobných údajov: 
2. čl. 6 ods. 1 písm. a) GDPR - dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely, alebo
3. čl. 6 ods. 1 písm. b) GDPR – spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy (ak dotknutá osoba uzatvára s prevádzkovateľom osobitnú dohodu za účelom marketingovej prezentácie činnosti prevádzkovateľa). 
   1. Poskytovanie osobných údajov prevádzkovateľovi podľa bodu 6.3 písm. a) tohto článku nepredstavuje zákonnú ani zmluvnú požiadavku a ani požiadavku, ktorá je potrebná na uzatvorenie zmluvy. Poskytovanie osobných údajov je dobrovoľné a dotknutá osoba nie je povinná poskytnúť súhlas na spracúvanie osobných údajov. Následkom neposkytnutia súhlasu na spracúvanie osobných údajov je nemožnosť poskytnutia odmeny zo strany prevádzkovateľa. 

Poskytovanie osobných údajov prevádzkovateľovi podľa bodu 6.3 písm. b) tohto článku predstavuje zmluvnú požiadavku alebo požiadavku, ktorá je potrebná na uzavretie zmluvy, následkom neposkytnutia osobných údajov môže byť odmietnutie uzatvorenia príslušnej zmluvy. 

1. Príjemca osobných údajov: prevádzkovateľ, spriaznené osoby, spoločnosť JUHAPHARM, s. r. o., sídlo: Myslavská 644/190/A, 040 16 Košice, IČO: 31 698 441, spoločnosť Meta (Instagram a Facebook), zmluvní partneri prevádzkovateľa, ktorí poskytujú pre prevádzkovateľa marketingové služby.
2. Doba uchovávania osobných údajov: najmenej 20 rokov odo dňa udelenia súhlasu dotknutej osoby alebo počas trvania zmluvného vzťahu.
3. Prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny, a to do Spojených štátov amerických spoločnosti Facebook a spoločnosti Instagram. 
4. Udelením súhlasu na spracúvanie osobných údajov na daný účel dotknutá osoba vyjadrila súhlas s vyhotovením a použitím jej podobizne, obrazových snímkov a obrazových a zvukových záznamov,  ako súčasť práva na ochranu osobnosti podľa § 12 zákona č. 40/1964 Zb. Občiansky zákonník v znení neskorších predpisov (ďalej len „Občiansky zákonník“).

1. Prevádzkovateľ spracúva osobné údaje – záznam hovorov a četovej komunikácie za účelom poskytovania zdravotnej starostlivosti. 
   1. Tento účel zahŕňa: zaznamenávanie hovorov dotknutej osoby na akúkoľvek zákaznícku linku prevádzkovateľa, ukladanie četovej komunikácie dotknutej osoby s prevádzkovateľom na webových stránkach prevádzkovateľa; prevádzkovateľ poskytuje výlučne zdravotnú starostlivosť, jeho webové stránky a zákaznícke linky sú preto určené pre pacientov, preto záznamy slúžia prevádzkovateľovi na účely riadneho poskytovania zdravotnej starostlivosti v súlade s právnymi predpismi a môžu byť súčasťou zdravotnej dokumentácie pacienta.  
   2. Kategória a zoznam spracovaných údajov: záznamy telefonických hovorov a četová komunikácia môžu obsahovať rôzne osobné údaje, ktoré nie je možné vopred presne vymedziť, medzi takéto údaje patria najmä: 
2. obvyklé osobné údaje – titul, meno, priezvisko, trvalé bydlisko, dátum narodenia, e-mail, telefónne číslo,
3. osobitná kategória osobných údajov – údaje týkajúce sa zdravia.  
   1. Právny základ spracúvania osobných údajov: 
4. čl. 6 ods. 1 písm. b) GDPR - spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy a zároveň čl. 6 ods. 1 písm. c) GDPR - spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa v zmysle zákona č. 576/2004 Z. z., zákona č. 578/2004 Z. z., zákona č. 153/2013 Z. z., zákona č. 581/2004 Z. z., zákona č. 362/2011 Z. z.
5. keďže za účelom poskytovania zdravotnej starostlivosti prevádzkovateľ spracúva aj osobné údaje týkajúce sa zdravia ako osobitnej kategórie osobných údajov, právnym základom je čl. 9 písm. h) GDPR – spracúvanie je nevyhnutné na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby, alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti na základe práva Únie alebo práva členského štátu alebo podľa zmluvy so zdravotníckym pracovníkom, a podlieha podmienkam a zárukám uvedeným v čl. 9 ods. 3 GDPR.
   1. Poskytovanie osobných údajov prevádzkovateľovi je zákonnou a zmluvnou požiadavkou, následkom neposkytnutia osobných údajov môže byť odmietnutie poskytnutia zdravotnej starostlivosti prostredníctvom zákazníckej linky alebo četu, dotknutá osoba sa môže obrátiť na prevádzkovateľa napr. osobne na ktorejkoľvek prevádzke. 
   2. Príjemca osobných údajov: prevádzkovateľ; spoločnosť JUHAPHARM, s. r. o., sídlo: Myslavská 644/190/A, 040 16 Košice, IČO: 31 698 441, zapísaná v Obchodnom registri Mestského súdu Košice, odd: Sro, vložka č.: 5369/V; spoločnosť MM MEDICAL s. r. o., sídlo: Myslavská 644/190/A, 040 16 Košice, IČO: 46 833 315, zapísaná v Obchodnom registri Mestského súdu Košice, odd: Sro, vložka č.: 32517/V; spoločnosť DASKILOS INVESTMENTS LTD, sídlo: Efesou, 9, Paralimni, 5280, Famagusta, Cyprus, IČO: HE 412783, registrácia: Register obchodných spoločností vedený Oddelením registra spoločností a duševného vlastníctva, Ministerstvom energetiky, obchodu a priemyslu Cyperskej republiky. 
   3. Doba uchovávania osobných údajov: najmenej 20 rokov od poskytnutia zdravotnej starostlivosti prostredníctvom hovoru alebo četu (zhodne s dobou uchovávania zdravotnej dokumentácie).
   4. Prevádzkovateľ nezamýšľa prenos osobných údajov do tretích krajín alebo medzinárodnej organizácii.  

1. Prevádzkovateľ spracúva osobné údaje za účelom vybavovania reklamácií na poskytnuté služby alebo tovary. 
   1. Tento účel zahŕňa: prijímanie a vybavovanie reklamácií, vedenie evidencie reklamácií a ostatnej súvisiacej dokumentácie. 
   2. Kategória a zoznam spracovaných údajov: obvyklé osobné údaje – titul, meno, priezvisko, trvalé bydlisko, dátum narodenia, e-mail, telefónne číslo, údaje o zakúpenej službe alebo tovare, údaje o platbe.
   3. Právny základ spracúvania osobných údajov: čl. 6 ods. 1 písm. c) GDPR - spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa v zmysle Občianskeho zákonníka (povinnosti vyplývajúce zo zodpovednosti za vady) a zákona 250/2007 Z. z. o ochrane spotrebiteľa a o zmene zákona Slovenskej národnej rady č. 372/1990 Zb. o priestupkoch v znení neskorších predpisov. 
   4. Poskytovanie osobných údajov prevádzkovateľovi predstavuje zákonnú požiadavku, následkom neposkytnutia osobných údajov môže byť nemožnosť vybavenia reklamácie. 
   5. Príjemca osobných údajov: prevádzkovateľ.
   6. Doba uchovávania osobných údajov: najmenej 20 rokov od vybavenia reklamácie. 
   7. Prevádzkovateľ nezamýšľa prenos osobných údajov do tretích krajín alebo medzinárodnej organizácii.

1. Prevádzkovateľ spracúva osobné údaje prostredníctvom kamerového informačného systému. 
   1. K spracúvaniu osobných údajov dotknutých osôb kamerovým informačným systémom (ďalej len „KIS“) dochádza v priestoroch čakárne, chodby, ošetrovní, ambulancií, ako aj vo vonkajších priestoroch pred príslušnou prevádzkou prevádzkovateľa s výnimkou priestorov toaliet a miestností slúžiacich na prezliekanie a dennej miestnosti personálu (tzv. kuchynka).
   2. Tento účel zahŕňa: monitorovanie priestorov prevádzkovateľa KIS, spracúva sa podobizeň dotknutých osôb, označenie monitorovaného priestoru, aktivity vykonávané v monitorovanom priestore, dátum a čas vykonávaných aktivít. Monitorovaním prevádzkovateľ sleduje ochranu zdravotnej dokumentácie, liekov, liečiv, psychotropných a toxických látok, sledovanie epidemiologického režimu.
   3. Kategória a zoznam spracovaných údajov: vonkajšie vyobrazenie dotknutej osoby (videozáznam sa nespracúva na odvodenie osobitných kategórií údajov). 
   4. Právny základ spracúvania osobných údajov: čl. 6 ods. 1 písm. c) GDPR – spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa, a to:

• vedenie zdravotnej dokumentácie tak, aby nedošlo k jej poškodeniu, strate, zničeniu alebo zneužitiu v zmysle § 22 zákona č. 576/2004 Z. z., 
• ochrana bezpečnosti a zdravia pri práci dotknutej osoby na pracovisku, kde je zvýšená miera epidemiologických a biologických rizík v súvislosti zmysle zákona č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 355/2007 Z. z.“) a Nariadenia Vlády SR č. 83/2013 Z. z. o ochrane zdravia zamestnancov pred rizikami súvisiacimi s expozíciou biologickým faktorom pri práci,
• ochrana zamestnancov pred rizikami súvisiacimi s expozíciou chemickým faktorom pri práci v zmysle zákona č. 355/2007 Z. z. a v súlade s Nariadením Vlády SR č. 355/2006 Z. z. o ochrane zamestnancov pred rizikami súvisiacimi s expozíciou chemickým faktorom pri práci,
• zaistenie bezpečnosti v súvislosti s ochranou pred umelým laserovým žiarením v zmysle zákona č. 355/2007 Z. z. a v súlade s Nariadením Vlády SR č. 410/2007 Z. z. o minimálnych zdravotných a bezpečnostných požiadavkách na ochranu zamestnancov pred rizikami súvisiacimi s expozíciou umelému optickému žiareniu,
• prevencia a kontrola prenosných ochorení v prevádzkach prevádzkovateľa v zmysle zákona č. 355/2007 Z. z. a Vyhlášky Ministerstva zdravotníctva SR č. 585/2008 Z. z. ktorou sa ustanovujú podrobnosti o prevencii a kontrole prenosných ochorení.

1. Poskytovanie osobných údajov prevádzkovateľovi je zákonnou požiadavkou. Následkom neposkytnutia osobných údajov môže byť odmietnutie poskytnutia zdravotnej starostlivosti alebo služieb prevádzkovateľom z dôvodu zachovania vyššie uvedených povinností prevádzkovateľa. 
2. Príjemca osobných údajov: prevádzkovateľ.
3. Doba uchovávania záznamu: najmenej 30 dní. 
4. Prevádzkovateľ nezamýšľa prenos osobných údajov do tretích krajín alebo medzinárodnej organizácii. 

1. Prevádzkovateľ spracúva osobné údaje za účelom elektronického podpisovania.
   1. Tento účel zahŕňa: podpisovanie dokumentov s použitím biometrických údajov dotknutej osoby t. j. elektronický podpis dokumentov, a to vrátane dokumentov, ktoré sú súčasťou zdravotnej dokumentácie. 
   2. Kategória a zoznam spracúvaných údajov:
2. obvyklé osobné údaje - titul, meno, priezvisko, trvalé bydlisko, dátum narodenia, e-mail, telefónne číslo,
3. osobitná kategória osobných údajov – biometrické údaje dotknutej osoby (elektronický podpis).
   1. Právny základ spracúvania osobných údajov: čl. 6 ods. 1 písm. a) GDPR- dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely a zároveň čl. 9 ods. 2 písm. a) GDPR – dotknutá osoba vyjadrila súhlas so spracúvaním osobitnej kategórie osobných údajov (biometrické údaje – elektronický podpis).
   2. Poskytovanie osobných údajov prevádzkovateľovi nepredstavuje zákonnú ani zmluvnú požiadavku a ani požiadavku, ktorá je potrebná na uzatvorenie zmluvy. Poskytovanie osobných údajov je dobrovoľné a dotknutá osoba nie je povinná poskytnúť súhlas na spracúvanie osobných údajov. Následkom neposkytnutia súhlasu na spracúvanie osobných údajov je nemožnosť podpisovania dokumentov v elektronickej podobe prostredníctvom elektronického podpisu.  
   3. Príjemca osobných údajov: prevádzkovateľ; spoločnosť JUHAPHARM, s. r. o., sídlo: Myslavská 644/190/A, 040 16 Košice, IČO: 31 698 441, zapísaná v Obchodnom registri Mestského súdu Košice, odd: Sro, vložka č.: 5369/V; spoločnosť MM MEDICAL s. r. o., sídlo: Myslavská 644/190/A, 040 16 Košice, IČO: 46 833 315, zapísaná v Obchodnom registri Mestského súdu Košice, odd: Sro, vložka č.: 32517/V; spoločnosť DASKILOS INVESTMENTS LTD, sídlo: Efesou, 9, Paralimni, 5280, Famagusta, Cyprus, IČO: HE 412783, registrácia: Register obchodných spoločností vedený Oddelením registra spoločností a duševného vlastníctva, Ministerstvom energetiky, obchodu a priemyslu Cyperskej republiky. 
   4. Doba uchovávania osobných údajov: najmenej 20 rokov od udelenia súhlasu.
   5. Prevádzkovateľ nezamýšľa prenos osobných údajov do tretích krajín alebo medzinárodnej organizácii. 
   6. Dotknutá osoba tiež udeľuje prevádzkovateľovi súhlas s tým, že forma vlastnoručného elektronického podpisu je považovaná za písomnú formu v zmysle § 40 ods. 4 Občianskeho zákonníka. Dotknutá osoba berie na vedomie, že prevádzkovateľ je oprávnený kedykoľvek aj bez udania dôvodu jednostranne rozhodnúť o nevyužití vyššie uvedených elektronických prostriedkov pri podpisovaní dokumentov. 

Článok III.

PREVÁDZKOVANIE WEBOVÝCH STRÁNOK A KREDITNÉHO PROGRAMU

1. Spoločnosť DC MEDICAL s.r.o. je vlastníkom a prevádzkovateľom webových stránok www.dcmedical.eu, www.dermacenter.sk, www.dentalcenter.sk, www.plasticcenter.sk a webovej služby s názvom „Klientska zóna“ dostupnej na https://klient.dcmedical.eu/  (ďalej len „webové stránky“). Pri prevádzkovaní webových stránok dochádza k získavaniu a spracúvaniu osobných údajov dotknutých osôb. 
2. Prevádzkovateľ ako súčasť webovej služby s názvom „Klientska zóna“ tiež prevádzkuje kreditný program, ktorý je určený výhradne pre registrovaných členov kreditného programu (ďalej len „kreditný program“), za týmto účelom spracúva osobné údaje dotknutých osôb, ktoré sú registrované v kreditnom programe. 

1. Spracúvanie osobných údajov užívateľov, ktorí užívajú webové stránky prevádzkovateľa. 
   1. Účel: zisťovanie návštevnosti, preferencií užívateľov, zabezpečenie funkčnosti, správy a bezpečnosti webovej stránky, vývoj a testovanie zlepšení, oprava nedostatkov; dochádza k spracúvaniu súborov cookies.
   2. Osobné údaje: online identifikátory dotknutej osoby, ktoré zaznamenávajú jej aktivitu na webových stránkach (súbory cookies). 
   3. Právny základ: 
2. nevyhnutné súbory cookies: čl. 6 ods. 1 písm. f) GDPR - spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ (prevádzkovanie webových stránok) a čl. 6 ods. 1 písm. c) GDPR - spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa v zmysle zákona č. 452/2021 Z. z. o elektronických komunikáciách v znení neskorších predpisov,
3. funkčné, analytické, výkonnostné  súbory cookies a cookies prispôsobenej reklamy: čl. 6 ods. 1 písm. a) GDPR- dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely.
   1. Príjemca osobných údajov: prevádzkovateľ, spoločnosť Google.
   2. Doba uchovávania: nevyhnutné súbory cookies majú platnosť 2 minúty, výkonnostné a cielené súbory cookies majú platnosť podľa jednotlivých súborov od 1 minúty až do 13 mesiacov. 
   3. Podrobnosti o získavaní súborov cookies, jednotlivých druhoch a ich charakteristika, dĺžka platnosti sú súčasťou Podmienok používania webových stránok a informácie o získavaní súborov cookies prevádzkovateľa, dostupných na webových stránkach prevádzkovateľa.

1. Spracúvanie osobných údajov užívateľov, ktorí sú registrovaní v kreditnom programe prevádzkovateľa. 
   1. Účel: vytvorenie a prevádzkovanie kreditného elektronického účtu užívateľa, poskytovanie a spravovanie funkcií kreditného programu prevádzkovateľom, služba zahŕňa najmä vytváranie objednávok, vytváranie a nákup darčekových poukážok, zakúpenie a dobíjanie kreditov dotknutou osobou, platba za služby kreditmi.
   2. Osobné údaje: 
2. obvyklé osobné údaje - titul, meno, priezvisko, trvalé bydlisko, dátum narodenia, e-mail, telefónne číslo, 
3. osobitná kategória osobných údajov – konkrétna služba zdravotnej starostlivosti, o ktorú dotknutá osoba prejavila záujem objednaním na danú službu, zakúpením darčekovej poukážky alebo zaplatením ceny za službu vrátane spôsobu vykonania služby a doplnkových služieb súvisiacich s poskytnutím služby zdravotnej starostlivosti. 
   1. Právny základ: čl. 6 ods. 1 písm. a) GDPR- dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely  a zároveň čl. 9 ods. 2 písm. a) GDPR dotknutá osoba vyjadrila výslovný súhlas so spracúvaním osobitnej kategórie osobných údajov – osobné údaje týkajúce sa zdravia (svoj súhlas udeľuje dotknutá osoba pri online registrácii v kreditnom programe zaškrtnutím samostatnej položky a následne pri párovaní kreditného elektronického účtu s jej osobou na prevádzke prevádzkovateľa). 
   2. Poskytovanie osobných údajov prevádzkovateľovi nepredstavuje zákonnú ani zmluvnú požiadavku a ani požiadavku, ktorá je potrebná na uzatvorenie zmluvy. Poskytovanie osobných údajov je dobrovoľné a dotknutá osoba nie je povinná poskytnúť súhlas na spracúvanie osobných údajov. Následkom neposkytnutia súhlasu na spracúvanie osobných údajov je nemožnosť registrácie užívateľa v kreditnom programe. 
   3. Príjemca osobných údajov: prevádzkovateľ, prevádzkovateľ, spoločnosť JUHAPHARM, s. r. o., sídlo: Myslavská 644/190/A, 040 16 Košice, IČO: 31 698 441, zapísaná v Obchodnom registri Mestského súdu Košice, odd: Sro, vložka č.: 5369/V; spoločnosť MM MEDICAL s. r. o., sídlo: Myslavská 644/190/A, 040 16 Košice, IČO: 46 833 315, zapísaná v Obchodnom registri Mestského súdu Košice, odd: Sro, vložka č.: 32517/V; spoločnosť DASKILOS INVESTMENTS LTD, sídlo: Efesou, 9, Paralimni, 5280, Famagusta, Cyprus, IČO: HE 412783, registrácia: Register obchodných spoločností vedený Oddelením registra spoločností a duševného vlastníctva, Ministerstvom energetiky, obchodu a priemyslu Cyperskej republiky. 
   4. Doba uchovávania osobných údajov: najmenej 20 rokov odo dňa udelenia súhlasu dotknutej osoby. 
   5. Prevádzkovateľ nezamýšľa prenos osobných údajov do tretích krajín alebo medzinárodnej organizácii. 
   6. Podmienky registrácie a pravidlá používania kreditného programu sú súčasťou Všeobecných obchodných podmienok prevádzkovateľa, ktoré sú dostupné na prevádzkach a webových stránkach poskytovateľa. 

1. Spracúvanie osobných údajov týkajúce sa sociálnych sietí Facebook a Instagram
   1. Prevádzkovateľ používa na svojich webových stránkach integrované plug-iny sociálnych sietí a odkazy sociálnych sietí, ktorých prevádzkovateľom je spoločnosť Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Írsko (ďalej len „Meta“), a to konkrétne služby/sociálne siete Facebook a Instagram (ďalej len „sociálne siete“). Odkazy na webové stránky sociálnych sietí je možné rozpoznať podľa príslušného loga. Po kliknutí na odkaz sociálnej siete (spravidla je ním určitá fotografia) na webovej stránke prevádzkovateľa sa dotknutá osoba dostane na príslušnú sociálnu sieť. Ak je dotknutá osoba prihlásená ako užívateľ danej sociálnej siete, táto sociálna sieť môže priradiť informácie k osobnému užívateľskému účtu dotknutej osoby v danej sociálnej sieti. Zakliknutím odkazu sa vytvorí spojenie so servermi sociálnej siete, ktoré následne môžu získavať určité údaje dotknutej osoby. 
   2. Prevádzkovateľ tiež priamo preberá obsah sociálnych sietí Instagram a Facebook prevádzkované spoločnosťou Meta na svoje webové stránky. 
   3. Za obsah sociálnych sietí a spracovanie osobných údajov zodpovedá spoločnosť Meta v súlade s pravidlami ochrany osobných údajov, ktoré sú dostupné na: https://privacycenter.instagram.com/policy/ a https://www.facebook.com/privacy/policy/?section_id=0-WhatIsThePrivacy. Prevádzkovateľ nemá vplyv na rozsah, druh a účel spracovania osobných údajov spoločnosťou Meta.
   4. Umiestnením odkazu na sociálnu sieť vo forme fotografie a preberaním obsahu zo sociálnych sietí na svoju webovú stránku môže dochádzať k spracúvaniu osobných údajov dotknutých osôb.
   5. Účel spracúvania osobných údajov: prezentácia činnosti prevádzkovateľa na webových stránkach, informovanie užívateľov webových stránok o rôznych akciách prostredníctvom sociálnych sietí Instagram a Facebook. 
   6. Kategórie preberaných údajov: obsah zverejnený prevádzkovateľom na jeho profile na sociálnej sieti Instagram a Facebook, obsah zverejnený užívateľom na sociálnej sieti Instagram a Facebook na profile prevádzkovateľa alebo obsah, v ktorom užívateľ označil profil prevádzkovateľa alebo odkaz na webovú stránku prevádzkovateľa. Za obsah sa považujú najmä príspevky, fotografie, videá, komentáre, ponuky, reklamy.
   7. Právny základ: čl. 6 ods. 1 písm. f) GDPR - spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ a čl. 6 ods. 1 písm. a) GDPR - dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely (súhlas dotknutej osoby udelený spoločnosti Meta, na základe ktorého môže zdieľať obsah na webovej stránke prevádzkovateľa).
   8. Poskytovanie osobných údajov prevádzkovateľovi nepredstavuje zákonnú ani zmluvnú požiadavku a ani požiadavku, ktorá je potrebná na uzatvorenie zmluvy. Poskytovanie osobných údajov je požiadavkou na spracúvanie osobných údajov dotknutej osoby na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ. 
   9. Príjemca osobných údajov: prevádzkovateľ, spriaznené osoby prevádzkovateľa, spoločnosť JUHAPHARM, s. r. o., sídlo: Myslavská 644/190/A, 040 16 Košice, IČO: 31 698 441, zmluvní partneri prevádzkovateľa.
   10.     5.10.Doba uchovávania osobných údajov: doba, počas ktorej dané osobné údaje spracúva spoločnosť Meta. 
   11.     5.11.Prevádzkovateľ nezamýšľa prenos osobných údajov do tretích krajín alebo medzinárodnej organizácii.

Článok IV.

PRÁVA DOTKNUTEJ OSOBY

1. Právo na prístup k údajom: podľa čl. 15 GDPR má dotknutá osoba právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a tieto informácie:  

• účely spracúvania, 
• kategórie dotknutých osobných údajov, 
• príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie, 
• ak je to možné, predpokladaná doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie, 
• existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti takémuto spracúvaniu, 
• právo podať sťažnosť dozornému orgánu, ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie, pokiaľ ide o ich zdroj, 
• existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a v týchto prípadoch aspoň zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu. 

Dotknutá osoba má tiež právo na poskytnutie kópie osobných údajov, ktoré sa spracúvajú. 

1. Právo na opravu: podľa čl. 16 GDPR má dotknutá osoba právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.
2. Právo na vymazanie (právo na „zabudnutie“): podľa čl. 17 GDPR má dotknutá osoba právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:

• osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali;
• dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, podľa článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a), a ak neexistuje iný právny základ pre spracúvanie;
• dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 1 a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 2;
• osobné údaje sa spracúvali nezákonne;
• osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha;
• osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa článku 8 ods. 1.

Dotknutá osoba nemá vyššie uvedené právo v určitých prípadoch, najmä ak je spracúvanie potrebné na slobodu prejavu a na informácie, na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Európskej únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha, na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

1. Právo na obmedzenie spracúvania: podľa čl. 18 GDPR má dotknutá osoba právo na to, aby prevádzkovateľ obmedzil spracúvanie, pokiaľ ide o jeden z týchto prípadov: 

• dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov,
• spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia,
• prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov,
• dotknutá osoba namietala voči spracúvaniu podľa článku 21 ods. 1, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

Dotknutú osobu, ktorá dosiahla obmedzenie spracúvania, prevádzkovateľ informuje pred tým, ako bude obmedzenie spracúvania zrušené.

1. Právo na prenosnosť údajov: podľa čl. 20 GDPR má dotknutá osoba právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, ak:

• sa spracúvanie zakladá na súhlase podľa článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a), alebo na zmluve podľa článku 6 ods. 1 písm. b), a
• ak sa spracúvanie vykonáva automatizovanými prostriedkami.

Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť údajov právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovateľovi, pokiaľ je to technicky možné.

1. Právo namietať: podľa čl. 21 GDPR má dotknutá osoba právo kedykoľvek z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe článku 6 ods. 1 písm. e) alebo f) GDPR vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov. Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, na účely takéhoto marketingu, vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym marketingom. Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať.

1. Právo namietať automatizované individuálne rozhodovanie vrátane profilovania: podľa čl. 22 GDPR má dotknutá osoba právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú. Uvedené neplatí, ak je rozhodnutie:

• nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom,
• povolené právom Únie alebo právom členského štátu, ktorému prevádzkovateľ podlieha a ktorým sa zároveň stanovujú aj vhodné opatrenia zaručujúce ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, alebo
• založené na výslovnom súhlase dotknutej osoby.

1. Právo odvolať súhlas: podľa čl. 7 ods. 3 GDPR má dotknutá osoba právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním. Dotknutá osoba môže odvolať svoj súhlas písomne v prevádzke poskytovateľa, v ktorej súhlas udelila alebo poštou na adresu sídla prevádzkovateľa. 

1. Právo podať sťažnosť dozornému orgánu: ak sa dotknutá osoba domnieva, že sú porušované jej práva na ochranu osobných údajov, má právo podať sťažnosť dozornému orgánu, ktorým je Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava. Bližšie informácie sú dostupné na internetovej stránke úradu: https://dataprotection.gov.sk/uoou/. 

1. Právo podať návrh na začatie konania o ochrane osobných údajov: ak sa dotknutá osoba domnieva, že sú porušované jej práva na ochranu osobných údajov, má právo podať návrh na začatie konania o ochrane osobných údajov na príslušný orgán, ktorým je Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava. Bližšie informácie sú dostupné na internetovej stránke úradu: https://dataprotection.gov.sk/uoou/.
2. Podľa čl. 34 GDPR, v prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.
3. Prevádzkovateľ poskytne dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe žiadosti dotknutej osoby na uplatnenie niektorých z práv bez zbytočného odkladu a v každom prípade do jedného mesiaca od doručenia žiadosti. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. Prevádzkovateľ informuje o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi zmeškania lehoty. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob.
4. Dotknutá osoba môže uplatniť svoje práva podľa tohto článku písomne v príslušnej prevádzke poskytovateľa alebo poštou na adresu sídla prevádzkovateľa. 

Článok V.

ZÁVEREČNÉ USTANOVENIA

1. Tieto Informácie o spracúvaní osobných údajov nadobúdajú platnosť a účinnosť dňom ich zverejnenia v jednotlivých prevádzkach prevádzkovateľa a na webových stránkach prevádzkovateľa.
2. Prevádzkovateľ si vyhradzuje právo na jednostranné zmeny a doplnenia týchto Informácií o spracúvaní osobných údajov bez predchádzajúceho upozornenia, najmä v dôsledku zmeny príslušných všeobecne záväzných právnych predpisov.

Zmeny a doplnenia týchto Informácií o spracúvaní osobných údajov sú účinné dňom ich zverejnenia v jednotlivých prevádzkach prevádzkovateľa a na webových stránkach prevádzkovateľa.

1. Ak sa niektoré ustanovenie týchto Informácií o spracúvaní osobných údajov stane neúčinné, nemá to vplyv na účinnosť ostatných ustanovení. V takom prípade sa namiesto neúčinného ustanovenia týchto Informácií o spracúvaní osobných údajov použije platná právny úprava obsiahnutá vo všeobecne záväzných právnych predpisoch právneho poriadku Slovenskej republiky, ktorá je svojím účelom najbližšia neúčinnému ustanoveniu týchto Informácií o spracúvaní osobných údajov.

Article I.

INTRODUCTORY PROVISIONS 

1. DC MEDICAL s.r.o., with registered office: Myslavská 644/190/A, 040 16 Košice, ID: 46 599 762, registered in the Business Register of the Municipal Court of Košice, Sec.: Sro, File No.: 29900/V, is a provider of health care in outpatient health care facilities in the scope according to its authorisation for the operation of health care facilities and in accordance with its subject of activities registered in the Business Register of the Slovak Republic (hereinafter referred to as the "Controller").
2. This information on the processing of personal data for data subjects (hereinafter referred to as "Privacy Notice") contains details on the protection of personal data in accordance with the provisions of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27.04.2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data and repealing Directive 95/46/EC (hereinafter referred to as "GDPR") and Act No. 18/2018 Coll. on the Protection of Personal Data and on Amendments to Certain Acts, as amended (hereinafter referred to as "Act No. 18/2018 Coll."). 
3. This Privacy Notice also applies to the processing of personal data through the computer software and application designated as “DC TELEMED”, which the controller uses on the basis of a license granted by the owner and operator of this software, the company DASKILOS INVESTMENTS LTD, Registered seat: Efesou 9, Paralimni, 5280, Famagusta, Cyprus, Company ID: ΗΕ 412783, Recorded in: Registry of commercial companies kept by the Department of Registrar of Companies and Intellectual property, Ministry of Energy, Commerce and Industry of the Republic of Cyprus. The relationship between company DC MEDICAL s.r.o. as the controller and company DASKILOS INVESTMENT LTD as the processor is governed by a data processing agreement concluded in accordance with Section 34(3) of Act No. 18/2018 Coll. and Article 28 of the GDPR.
4. Identification and contact details of the Controller:

Controller:  DC MEDICAL s.r.o.

Registered office: Myslavská 644/190/A, 040 16 Košice

ID: 46 599 762

Registration in:    Business Register of the District Court KE I, Sec.: Sro, File No. 29900/V

Telephone number:  +421 948 798 537

1. Identification and contact details of the responsible representative of the Controller:

Responsible person: Ing. Tímea Lukšová

e-mail: zodpovednaosoba@dcmedical.eu

phone number: +421 948 798 537

Article II.

DEFINITION OF TERMS

1. Personal data is any information relating to an identified or identifiable natural person ("Data Subject"); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier, or by reference to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of such natural person.
2. Processing means an operation or set of operations concerning personal data or sets of personal data, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction, whether or not by automated or non-automated means.
3. Recipient means a natural or legal person, public authority, agency or other body to which the personal data are disclosed, whether or not a third party. However, public authorities which may receive personal data in the context of a specific survey in accordance with Union or Member State law shall not be considered as recipients; processing of those data by those public authorities shall be carried out in accordance with the applicable data protection rules, depending on the purposes of the processing.
4. Consent of the Data Subject is any freely given, specific, informed and unambiguous expression of the Data Subject's will by which they consent to the processing of personal data concerning them by means of a declaration or an unambiguous confirmatory act.
5. Health data is personal data relating to the physical or mental health of a natural person, including data relating to the provision of healthcare services, which reveals information about their state of health. 
6. Profiling is any form of automated processing of personal data which consists of the use of such personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects of the natural person concerned relating to job performance, financial situation, health, personal preferences, interests, reliability, behaviour, location or movement. 
7. Health care is a set of work activities carried out by health professionals, including the provision of medicines, medical devices and dietetic foods, with the aim of prolonging life of an individual, enhancing their quality of life and healthy development of future generations; health care includes prevention, dispensing, diagnosis, treatment, biomedical research, nursing care and midwifery.
8. Establishment is one of the Controller's outpatient health care facilities (DERMACENTER, DENTALCENTER, PLASCTICCENTER). 
9. Service is any of services offered by the Controller, which consist in the provision of health care, services related to the provision of health care and extra-standard services on the basis of a contract concluded with the Client and which the Provider performs within the scope of its business activities registered in the Business Register of the Slovak Republic. The Controller provides healthcare to patients in person at its establishments, patients have the possibility to use healthcare services provided remotely (telemedicine), in which case the services are provided to the patient via video call.

Article III.

PURPOSE, LEGAL BASIS FOR THE PROCESSING OF PERSONAL DATA, PERSONAL DATA CATEGORIES, PERSONAL DATA RECIPIENT AND RETENTION PERIOD OF THE PERSONAL DATA 

1. The Controller processes personal data for the purpose of providing healthcare. 
   1. This purpose includes: keeping medical records of data subjects in accordance with the relevant legislation, keeping patient records, booking and ordering patients for specific services, informing patients about instructions before and after the service is provided and about the possible risks and complications associated with the service, informing patients about terms of the contract and the pricing conditions, video call with patients when providing telemedicine. The Controller stores and processes personal data by means of computer software and application marked "DC TELEMED", which is used under licence from the operator of this software. 
   2. Category and list of data processed: 
2. usual personal data - title, first name, surname, permanent residence, date of birth, personal ID, e-mail, telephone number, health insurance company, or likeness and the area in which the data subject is located,
3. special category of personal data - health-related data (in particular, health indications, diseases, current health problems, pregnancy in women, known allergies, skin type, use of medicines and/or vitamin supplements, treatment carried out and the date of its performance, all data that are part of the medical documentation).
   1. Legal basis for the processing of personal data: 
4. article 6(1)(b) GDPR - the processing is necessary for the performance of a contract to which the data subject is a party or to carry out pre-contractual measures at the request of the data subject, and Article 6(1)(c) GDPR - the processing is necessary for compliance with a legal obligation of the Controller pursuant to:

• Act No. 576/2004 Coll. on Health Care, Services Related to the Provision of Health Care and on Amendments to Certain Acts, as amended (hereinafter referred to as “Act No. 576/2004 Coll.”)
• Act No. 578/2004 Coll. on Health Care Providers, Health Care Workers, Professional Organisations in Health Care and on Amendments to Certain Acts, as amended (hereinafter referred to as "Act No. 578/2004 Coll."),
• Act No. 153/2013 Coll. on the National Health Information System and on Amendments to Certain Acts (hereinafter referred to as "Act No. 153/2013 Coll."), 
• Act No. 581/2004 Coll. on Health Insurance Companies, Supervision of Health Care and on Amendments to Certain Acts, as amended (hereinafter referred to as "Act No. 581/2004 Coll."),
• Act No. 362/2011 Coll. on Medicinal Products and Medical Devices and on Amendments to Certain Acts, as amended (hereinafter referred to as "Act No. 362/2011 Coll.").

1. as the Controller also processes personal data relating to health as a special category of personal data for the purpose of providing healthcare, the legal basis is Article 9(h) of the GDPR - processing is necessary for the purposes of preventive or occupational medicine, assessment of employee's fitness for work, medical diagnosis, provision of health or social care or treatment, or management of health or social care systems and services on the basis of Union law or the law of a Member State or pursuant to a contract with a healthcare professional, and is subject to the conditions and safeguards set out in Art. 9(3) of the GDPR.
   1. Providing personal data to the Controller for the purpose of providing healthcare is a legal requirement, failure to provide personal data may result in a refusal to provide healthcare.
   2. Recipient and categories of personal data recipients: the Controller, the health insurance company of the data subject, other health care providers providing health care to the data subject, the National Centre for Health Information, persons who are entitled to access personal data under the conditions defined by the relevant provisions of Act No. 576/2004 Coll., Act No. 578/2004 Coll. and Act No. 153/2013 Coll., the operator of the software and application with the marking "DC TELEMED" - DASKILOS INVESTMENTS LTD, registered office: Efesou, 9, Paralimni, 5280, Famagusta, Cyprus, ID: HE 412783, Registration: Registry of commercial companies kept by the Department of Registrar of Companies and Intellectual property, Ministry of Energy, Commerce and Industry of the Republic of Cyprus.
   3. Personal data retention period:  In accordance with the provision of § 22 (2) of Act No. 576/2004 Coll., medical records shall be kept for at least 20 years from the last provision of health care to a person. 
   4. The Controller does not intend to transfer personal data to third countries or to an international organisation.  

1. The Controller processes personal data for the purpose of direct marketing. 
   1. This purpose includes: sending newsletters and news about goods and services to the data subject by SMS, email and post.
   2. Category and list of data processed: usual personal data - title, name, surname, permanent residence, date of birth, e-mail, telephone number.
   3. Legal basis for the processing of personal data: article 6(1)(a) GDPR - the data subject has consented to the processing of their personal data for one or more specific purposes.
   4. Provision of personal data to the Controller does not constitute a legal or contractual requirement, nor a requirement that is necessary for the conclusion of a contract. Provision of personal data is voluntary and the data subject is not obliged to provide consent to the processing of personal data about them. The consequence of not providing consent to the processing of personal data is the impossibility of sending newsletters and news about goods and services to the data subject. 
   5. Personal data recipient: the Controller, related parties, JUHAPHARM, s. r. o., registered office: Myslavská 644/190/A, 040 16 Košice, ID: 31 698 441, contractual partners of the Controller which provide marketing services for the Controller. 
   6. Retention period: at least 20 years from the date of the data subject's consent. 
   7. The Controller carries out automated processing of personal data, which consists of the use of certain data for evaluation, such as: age, gender, type and time of treatment, price of treatment. On the basis of the above data, newsletters and news about goods and services are subsequently sent to the data subject by SMS, e-mail and post. 
   8. The Controller does not intend to transfer personal data to third countries or to an international organisation. 

1. The Controller processes personal data for the purpose of marketing presentation of the activities of the Controller. 
   1. This purpose includes: taking, processing and publishing photographs, images and sound recordings of the data subject for the purpose of marketing presentation of the activities of the Controller on the Controller's website, on the Controller's Facebook and Instagram account, in magazines, brochures, leaflets and other related marketing materials.
   2. Category and list of data processed: usual personal data - title, name, surname, permanent residence, date of birth, e-mail, telephone number, photographs. 
   3. Legal basis for the processing of personal data: 
2. article 6(1)(a) GDPR - the data subject has consented to the processing of their personal data for one or more specified purposes, or
3. article 6(1)(b) GDPR - the processing is necessary for the performance of a contract to which the data subject is a party or to carry out pre-contractual measures at the request of the data subject (if the data subject enters into a special agreement with the Controller for the purpose of marketing the Controller's activities). 
   1. Provision of personal data to the Controller pursuant to Clause 6.3(a) of this Article does not constitute a legal or contractual requirement or a requirement necessary for the conclusion of a contract. Provision of personal data is voluntary and the data subject is not obliged to provide consent to the processing of personal data about them. The consequence of not providing consent to the processing of personal data is the impossibility of remuneration from the Controller. 

The provision of personal data to the controller pursuant to point 6.3(b) of this Article constitutes a contractual requirement or a requirement that is necessary for the conclusion of a contract; failure to provide personal data may result in the refusal to conclude the relevant contract. 

1. Personal data recipient: the Controller, related parties, JUHAPHARM, s. r. o., registered office: Myslavská 644/190/A, 040 16 Košice, ID: 31 698 441, Meta (Instagram and Facebook), the Controller's contractual partners which provide marketing services to the Controller.
2. Retention period: at least 20 years from the date of the data subject's consent or for the duration of the contractual relationship.
3. The Controller intends to transfer personal data to a third country, namely to the United States of America to Facebook and Instagram. 
4. By giving consent to the processing of personal data for the given purpose, the data subject has consented to the making and use of their likeness, images and visual and audio recordings as part of the right to protection of personality pursuant to § 12 of Act No. 40/1964 Coll., the Civil Code, as amended (hereinafter referred to as the "Civil Code").

1. The Controller processes personal data - call records and chat communication for the purpose of providing health care. 
   1. This purpose includes: recording the data subject's calls to any customer service line of the Controller, storing the data subject's communication with the Controller on the website of the Controller; the Controller provides healthcare exclusively, its website and customer service lines are therefore intended for patients, therefore the records serve the purposes of the Controller for the proper provision of healthcare in accordance with the law and may be part of the patient's medical records.  
   2. Category and list of data processed: telephone records and chat communication may contain various personal data which cannot be precisely defined in advance, such data include in particular: 
2. usual personal data - title, name, surname, permanent residence, date of birth, e-mail, telephone number,
3. special category of personal data - data relating to health.  
   1. Legal basis for the processing of personal data: 
4. Art. 6(1)(b) GDPR - the processing is necessary for the performance of a contract to which the data subject is a party or to carry out pre-contractual measures at the request of the data subject and Art. 6(1)(c) GDPR - the processing is necessary for compliance with a legal obligation of the Controller under Act No. 576/2004 Coll, act No. 578/2004 Coll., Act No. 153/2013 Coll., Act No. 581/2004 Coll., Act No. 362/2011 Coll.
5. as the Controller also processes personal data relating to health as a special category of personal data for the purpose of providing healthcare, the legal basis is Article 9(h) of the GDPR - processing is necessary for the purposes of preventive or occupational medicine, assessment of employee's fitness for work, medical diagnosis, provision of health or social care or treatment, or management of health or social care systems and services on the basis of Union law or the law of a Member State or pursuant to a contract with a healthcare professional, and is subject to the conditions and safeguards set out in Art. 9(3) of the GDPR.
   1. Provision of personal data to the Controller is a legal and contractual requirement, failure to provide personal data may result in the refusal to provide healthcare via the customer service line or chat, the data subject may contact the Controller, e.g., in person at any of the Establishments. 
   2. Personal data recipient: the Controller; JUHAPHARM, s. r. o., registered office: Myslavská 644/190/A, 040 16 Košice, ID: 31 698 441, registered in the Business Register of the Municipal Court of Košice, Sec.: Sro, File No.: 5369/V; MM MEDICAL s. r. o., registered office: Myslavská 644/190/A, 040 16 Košice, ID: 46 833 315, registered in the Business Register of the Municipal Court of Košice, Sec.: Sro, File No.: 32517/V; DASKILOS INVESTMENTS LTD, registered office: Efesou, 9, Paralimni, 5280, Famagusta, Cyprus, ID: HE 412783, Registration: Registry of commercial companies kept by the Department of Registrar of Companies and Intellectual property, Ministry of Energy, Commerce and Industry of the Republic of Cyprus. 
   3. Personal data retention period: at least 20 years after the provision of healthcare via call or chat (coinciding with the retention period of the medical records).
   4. The Controller does not intend to transfer personal data to third countries or to an international organisation.  

1. The Controller processes personal data for the purpose of handling complaints about services or goods provided. 
   1. This purpose includes: receiving and handling complaints, keeping records of complaints and other related documentation. 
   2. Category and list of data processed: usual personal data - title, name, surname, permanent residence, date of birth, e-mail, telephone number, data on the purchased service or goods, payment data.
   3. Legal basis for the processing of personal data: Art. 6(1)(c) GDPR - the processing is necessary for the fulfilment of the legal obligation of the Controller under the Civil Code (obligations arising from liability for defects) and Act No. 250/2007 Coll. on Consumer Protection and on the amendment of the Act of the Slovak National Council No. 372/1990 Coll. on Offences, as amended. 
   4. Provision of personal data to the Controller is a legal requirement; failure to provide personal data may result in the inability to process a complaint. 
   5. Personal data recipient: the Controller.
   6. Retention period: at least 20 years from the settlement of the claim. 
   7. The Controller does not intend to transfer personal data to third countries or to an international organisation. 

1. The Controller processes personal data through the CCTV system. 
   1. Processing of personal data of data subjects by the CCTV system (hereinafter referred to as "CCTV") takes place in the waiting room, corridors, treatment rooms, outpatient clinics, as well as in the outdoor areas in front of the respective Controller's premises, with the exception of the toilets and changing rooms and the staff day room (the so-called "kitchenette").
   2. This purpose includes: monitoring of the premises of the CCTV operator, processing of the image of the data subjects, identification of the monitored area, activities carried out in the monitored area, date and time of the activities carried out. By monitoring, the Controller monitors the protection of medical documentation, medicines, drugs, psychotropic and toxic substances, monitoring of the epidemiological regime.
   3. Category and list of data processed: external image of the data subject (video footage is not processed to derive special categories of data). 
   4. Legal basis for the processing of personal data: Art. 6(1)(c) GDPR - the processing is necessary for compliance with a legal obligation of the Controller, namely:

• keeping medical records in such a way that they are not damaged, lost, destroyed or misused within the meaning of § 22 of Act No. 576/2004 Coll, 
• protection of the safety and health at work of the person concerned in the workplace where there is an increased level of epidemiological and biological risks in the context of Act No. 355/2007 Coll. on the Protection, Promotion and Development of Public Health and on the Amendment of Certain Acts, as amended (hereinafter referred to as "Act No. 355/2007 Coll.") and Government Regulation No. 83/2013 Coll. on the Protection of the Health of Employees against Risks Related to Exposure to Biological Factors at Work,
• Protection of Employees against Risks Related to Exposure to Chemical Factors at Work within the meaning of Act No. 355/2007 Coll. and in accordance with Government Regulation No. 355/2006 Coll. on the Protection of Employees Against Risks Related to Exposure to Chemical Factors at Work,
• ensuring Safety in Connection with Protection against Artificial Laser Radiation in accordance with Act No. 355/2007 Coll. and in accordance with Slovak Government Regulation No. 410/2007 Coll. on Minimum Health and Safety Requirements for the Protection of Employees against Risks Related to Exposure to Artificial Optical Radiation,
• Prevention and Control of Communicable diseases in the operator's premises in accordance with Act No. 355/2007 Coll. and Decree No. 585/2008 Coll. of the Ministry of Health of the Slovak Republic laying down details on the prevention and control of communicable diseases.

1. Providing personal data to the Controller is a legal requirement. Failure to provide personal data may result in the refusal to provide health care or services by the Controller in order to comply with the Controller's obligations set out above. 
2. Personal data recipient: the Controller.
3. Record retention period: at least 30 days. 
4. The Controller does not intend to transfer personal data to third countries or to an international organisation. 

1. The The Controller processes personal data for the purpose of electronic signing.
   1. This purpose includes: signing of documents using biometric data of the data subject, i.e., electronic signature of documents, including documents that are part of medical records. 
   2. Category and list of data processing:
2. usual personal data - title, name, surname, permanent residence, date of birth, e-mail, telephone number,
3. special category of personal data - biometric data of the data subject (electronic signature).
   1. Legal basis for the processing of personal data: Art. 6(1)(a) GDPR - data subject has consented to the processing of their personal data for one or more specific purposes and at the same time Art. 9(2)(a) GDPR - data subject has consented to the processing of special category of personal data (biometric data - electronic signature).
   2. Provision of personal data to the Controller does not constitute a legal or contractual requirement, nor a requirement that is necessary for the conclusion of a contract. Provision of personal data is voluntary and the data subject is not obliged to provide consent to the processing of personal data about them. The consequence of not providing consent to the processing of personal data is the impossibility of signing documents in electronic form by means of an electronic signature.  
   3. Personal data recipient: the Controller; JUHAPHARM, s. r. o., registered office: Myslavská 644/190/A, 040 16 Košice, ID: 31 698 441, registered in the Business Register of the Municipal Court of Košice, Sec.: Sro, File No.: 5369/V; MM MEDICAL s. r. o., registered office: Myslavská 644/190/A, 040 16 Košice, ID: 46 833 315, registered in the Business Register of the Municipal Court of Košice, Sec.: Sro, File No.: 32517/V; DASKILOS INVESTMENTS LTD, registered office: Efesou, 9, Paralimni, 5280, Famagusta, Cyprus, ID: HE 412783, Registration: Registry of commercial companies kept by the Department of Registrar of Companies and Intellectual property, Ministry of Energy, Commerce and Industry of the Republic of Cyprus. 
   4. Retention period: at least 20 years from the date of consent.
   5. The Controller does not intend to transfer personal data to third countries or to an international organisation. 
   6. Data subject also grants the Controller their consent to the fact that the form of the handwritten electronic signature is deemed to be in writing within the meaning of Section 40(4) of the Civil Code. Data subject acknowledges that the Controller is entitled to unilaterally decide not to use the above-mentioned electronic means of signing documents at any time without giving any reason. 

Article III.

OPERATION OF THE WEBSITE AND CREDIT PROGRAM

1. DC MEDICAL s.r.o. is the owner and operator of the websites www.dcmedical.eu, www.dermacenter.sk, www.dentalcenter.sk, www.plasticcenter.sk and the web service called "Client Zone" available at https://klient.dcmedical.eu/  (hereinafter referred to as the "Website"). Operation of the Website involves collection and processing of personal data of data subjects. 
2. As part of the web service called "Client Zone", the Controller also operates a credit program that is intended exclusively for registered members of the credit program (hereinafter referred to as the "Credit Program"), for this purpose it processes personal data of the data subjects who are registered in the Credit Program. 

1. Processing of personal data of users who use the website of the Controller. 
   1. Purpose: detecting traffic, user preferences, ensuring functionality, administration and security of the Website, developing and testing improvements, correcting shortcomings; cookies are processed.
   2. Personal data: online identifiers of the data subject that record their activity on the Website (cookies). 
   3. Legal basis: 
2. essential cookies: Art. 6(1)(f) GDPR - processing is necessary for the purposes of the legitimate interests pursued by the operator (operation of the Website) and Art. 6(1)(c) GDPR - processing is necessary for the fulfilment of the legal obligation of the operator pursuant to Act No. 452/2021 Coll. on Electronic Communications, as amended,
3. functional, analytics, performance cookies and personalized advertising cookies: Art. 6(1)(a) GDPR - data subject has consented to the processing of their personal data for one or more specific purposes.
   1. Personal data recipient: the Controller, Google.
   2. Retention period: essential cookies are valid for 2 minutes, performance and targeted cookies are valid for 1 minute to 13 months on a per-file basis. 
   3. Details on the collection of cookies, different types and their characteristics, duration of validity are part of the Terms of Use of the Website and Information on the Collection of Cookies by the Controller, available on the Website of the Controller.

1. Processing of personal data of users who are registered in the credit program of the Controller. 
   1. Purpose: creation and operation of the user's credit electronic account, provision and management of credit program functions by the Controller, the service includes in particular creation of orders, creation and purchase of gift vouchers, purchase and recharge of credits by the data subject, payment for services with credits.
   2. Personal data: 
2. usual personal data - title, name, surname, permanent residence, date of birth, e-mail, telephone number, 
3. special category of personal data - the specific healthcare service in which the data subject has expressed an interest by subscribing to the service, purchasing a gift voucher or paying the price for the service, including the manner in which the service is provided and additional services related to the provision of the healthcare service. 
   1. Legal basis: Art. 6(1)(a) GDPR - data subject has consented to the processing of their personal data for one or more specific purposes and at the same time Art. 9(2)(a) GDPR data subject has given their explicit consent to the processing of a special category of personal data - personal data relating to health (data subject gives their consent when registering online in the credit program by ticking a separate item and then when matching the credit electronic account with their person at the Controller 's Establishments). 
   2. Provision of personal data to the Controller does not constitute a legal or contractual requirement, nor a requirement that is necessary for the conclusion of a contract. Provision of personal data is voluntary and the data subject is not obliged to provide consent to the processing of personal data about them. The consequence of not providing consent to the processing of personal data is the impossibility of user's registration in the credit program. 
   3. Personal data recipient: the Controller; operator; JUHAPHARM, s. r. o., registered office: Myslavská 644/190/A, 040 16 Košice, ID: 31 698 441, registered in the Business Register of the Municipal Court of Košice, Sec.: Sro, File No.: 5369/V; MM MEDICAL s. r. o., registered office: Myslavská 644/190/A, 040 16 Košice, ID: 46 833 315, registered in the Business Register of the Municipal Court of Košice, Sec.: Sro, File No.: 32517/V; DASKILOS INVESTMENTS LTD, registered office: Efesou, 9, Paralimni, 5280, Famagusta, Cyprus, ID: HE 412783, Registration: Registry of commercial companies kept by the Department of Registrar of Companies and Intellectual property, Ministry of Energy, Commerce and Industry of the Republic of Cyprus. 
   4. Retention period: at least 20 years from the date of the data subject's consent. 
   5. The Controller does not intend to transfer personal data to third countries or to an international organisation. 
   6. The terms and conditions of registration and the rules for the use of the credit program are part of the General Terms and Conditions of the Controller, which are available on the premises and on the Provider's Website. 

1. Processing of personal data relating to the Facebook and Instagram social networks
   1. On its Website the Operator uses integrated plug-ins of social networks and links of social networks operated by Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland (hereinafter referred to as "Meta"), namely the services/social networks Facebook and Instagram (hereinafter referred to as "social networks"). Links to social networking websites can be recognised by the respective logo. When the data subject clicks on a social network link (usually a particular photograph) on the website of the Operator, the data subject is taken to the relevant social network. If the data subject is logged in as a user of a given social network, that social network may associate information with the data subject's personal user account on that social network. By clicking on the link, a connection is established with the social network servers, which can then collect certain data of the data subject. 
   2. The Operator also directly takes over the content of the social networks Instagram and Facebook operated by Meta on its Website. 
   3. Meta is responsible for the content of social networks and the processing of personal data in accordance with the privacy policy available at: https://privacycenter.instagram.com/policy/ and https://www.facebook.com/privacy/policy/?section_id=0-WhatIsThePrivacy. The Controller does not affect the scope, type and purpose of the processing of personal data by Meta.
   4. By placing a link to a social network in the form of a photo and downloading content from social networks to their website, the personal data of data subjects may be processed.
   5. Personal data processing purpose: presentation of the Controller's activities on the Website, informing Website users about various events via the Instagram and Facebook social networks. 
   6. Collected data categories: content published by the Controller on its Instagram and Facebook profiles, content published by the user on Instagram and Facebook on the Controller's profile or content in which the user has tagged the Controller's profile or linked to the Controller's Website. Content is mainly considered to be posts, photos, videos, comments, offers, advertisements.
   7. Legal basis: Art. 6(1)(f) GDPR - processing is necessary for the purposes of the legitimate interests pursued by the Controller and Art. 6(1)(a) GDPR - data subject has consented to the processing of their personal data for one or more specific purposes (consent granted by the data subject to Meta to share content on the Website of the Controller).
   8. Provision of personal data to the Controller does not constitute a legal or contractual requirement, nor a requirement that is necessary for the conclusion of a contract. Provision of personal data is a requirement for the processing of the data subject's personal data for the purposes of the legitimate interests pursued by the Controller. 
   9. Personal data recipient: the Controller, related parties, JUHAPHARM, s. r. o., registered office: Myslavská 644/190/A, 040 16 Košice, ID: 31 698 441, Controller's contractual partners.
   10.     5.10.Retention period: the period during which the personal data is processed by Meta. 
   11.     5.11.The Controller does not intend to transfer personal data to third countries or to an international organisation.

Article IV.

RIGHTS OF THE DATA SUBJECT

1. Right of access to data: according to Art. 15 of the GDPR, the data subject has the right to obtain confirmation from the Controller as to whether personal data relating to them are being processed and, if so, to obtain access to those personal data and that information:  

• processing purposes, 
• categories of personal data concerned, 
• recipients or categories of recipients to which the personal data have been or will be disclosed, in particular recipients in third countries or international organisations, 
• where possible, the expected period of retention of the personal data or, if that is not possible, the criteria for determining it, 
• existence of the right to require the Controller to rectify personal data relating to the data subject or to erase or restrict processing or to object to such processing, 
• right to lodge a complaint with the supervisory authority if the personal data have not been obtained from the data subject, any information available as to their source, 
• existence of automated decision-making, including profiling as referred to in Art. 22(1) and (4), and in those cases at least meaningful information about the procedure used as well as the significance and foreseeable consequences of such processing for the data subject.

Data subject also has the right to be provided with a copy of the personal data being processed. 

1. Right to rectification: according to Art. 16 of the GDPR, the data subject has the right to have inaccurate personal data concerning them rectified by the Controller without undue delay. With regard to the purposes of the processing, the Data Subject shall have the right to have incomplete personal data completed, including by providing a supplementary declaration.
2. Right to erasure ("right to be forgotten"): according to Art. 17 GDPR, data subject has the right to reach erasure of personal data concerning them from the Controller without undue delay and the Controller is obliged to erase the personal data without undue delay if one of the following grounds is met:

• the personal data are no longer necessary for the purposes for which they were collected or otherwise processed;
• the data subject withdraws their consent on the basis of which the processing is carried out pursuant to Art. 6(1)(a) or Art. 9(2)(a) and where there is no other legal basis for the processing;
• the data subject objects to processing pursuant to Art. 21(1) and there are no overriding legitimate grounds for processing or the data subject objects to processing pursuant to Art. 21(2);
• the personal data have been processed unlawfully;
• the personal data must be erased in order to comply with a legal obligation under Union law or the law of a Member State to which the Controller is subject;
• the personal data were collected in connection with the offer of information society services pursuant to Art. 8(1).

The data subject shall not have the aforementioned right in certain cases, in particular where the processing is necessary for freedom of expression and information, for compliance with a legal obligation which requires processing under European Union law or the law of a Member State to which the Controller is subject, or for the establishment, exercise or defence of legal claims.

1. Right to restriction of processing: according to Art. 18 of the GDPR, data subject has the right to have the Controller restrict processing in one of the following cases: 

• the data subject contests the accuracy of the personal data during a period allowing the Controller to verify the accuracy of the personal data,
• the processing is unlawful and the data subject objects to the erasure of the personal data and requests instead the restriction of their use,
• the Controller no longer needs the personal data for the purposes of the processing, but the data subject needs them to establish, exercise or defend legal claims,
• the data subject has objected to processing pursuant to Article 21(1), pending verification that the legitimate grounds on the part of the Controller override those of the data subject.

The Controller informs the data subject who has reached the restriction of processing before the restriction of processing is lifted.

1. Right to data portability: according to Art. 20 of the GDPR, data subject has the right to obtain personal data concerning them which they have provided to the Controller in a structured, commonly used and machine-readable format and has the right to transfer those data to another controller without being prevented from doing so by the Controller to which the personal data have been provided, if:

• the processing is based on consent pursuant to Art. 6(1)(a) or Art. 9(2)(a) or on a contract pursuant to Art. 6(1)(b), and
• where the processing is carried out by automated means.

When exercising their right to data portability, data subject shall have the right to have their personal data transmitted directly from one controller to another controller, insofar as this is technically feasible.

1. Right to object: according to Art. 21 of the GDPR, data subject has the right, on grounds relating to their particular situation, to object at any time to processing of personal data concerning them which is carried out on the basis of Art. 6(1)(e) or (f) of the GDPR, including to profiling based on those provisions. The Controller may no longer process the personal data unless the Controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims. Where personal data are processed for direct marketing purposes, the data subject shall have the right to object at any time to processing of personal data concerning them for the purposes of such marketing, including profiling to the extent that it is related to such direct marketing. If the data subject objects to processing for direct marketing purposes, the personal data may no longer be processed for such purposes.
2. Right to object to automated individual decision-making, including profiling: under Art. 22 of the GDPR, the data subject has the right not to be subject to a decision which is based solely on automated processing, including profiling, and which has legal effects concerning them or similarly significantly affects them. The above does not apply if the decision is:

• necessary for the conclusion or performance of a contract between the data subject and the Controller,
• authorised by Union law or by the law of a Member State to which the Controller is subject and which also lays down appropriate measures guaranteeing the protection of the rights and freedoms and legitimate interests of the data subject; or
• based on the explicit consent of the data subject.

1. Right to withdraw consent: according to Art. 7(3) of the GDPR, data subject has the right to withdraw their consent at any time. Withdrawal of consent does not affect the lawfulness of processing based on consent prior to its withdrawal. Data subject may withdraw their consent in writing at the Establishment of the Controller where the consent was granted or by post to the address of the Controller's registered office. 
2. The right to lodge a complaint with the supervisory authority: if data subject considers that their personal data protection rights are being violated, they have the right to lodge a complaint with the supervisory authority, which is the Office for Personal Data Protection of the Slovak Republic, Hraničná 12, 820 07 Bratislava. Further information is available on the Authority's website: https://dataprotection.gov.sk/uoou/. 
3. The right to file a petition to initiate a personal data protection procedure: if data subject believes that their personal data protection rights are being violated, they have the right to file a petition to initiate a personal data protection procedure with the competent authority, which is the Office for Personal Data Protection of the Slovak Republic, Hraničná 12, 820 07 Bratislava. Further information is available on the Authority's website: https://dataprotection.gov.sk/uoou/.
4. Pursuant to Art. 34 GDPR, in the event of a personal data breach that is likely to result in a high risk to the rights and freedoms of natural persons, the Controller shall notify the personal data breach to the data subject without undue delay.
5. The Controller shall provide the data subject with information on the measures taken at the request of the data subject to exercise any of the rights without undue delay and in any event within one month of receipt of the request. That period may be extended by a further two months if necessary, taking into account the complexity of the application and the number of applications. The Controller shall inform the data subject of any such extension within one month of receipt of the application, together with the reasons for missing the deadline. Where the data subject has made the request by electronic means, the information shall, where possible, be provided by electronic means, unless the data subject has requested otherwise.
6. Data subject may exercise their rights under this Article in writing at the relevant Establishments of the Controller or by post to the address of the controller's registered office. 

Article V.

FINAL PROVISIONS

1. This Privacy Notice shall come into force and effect on the date of its publication in the individual Establishments of the Controller and on the Controller's Website.

1. The Controller reserves the right to unilaterally amend this Information on the Processing of Personal data without prior notice, in particular as a result of a change in the relevant generally binding legal regulations.   

Amendments to this Privacy Notice shall be effective on the date of their publication in the individual Establishments of the Controller and on the Controller's Website.

1. If any provision of this Privacy Notice becomes ineffective, this shall not affect the effectiveness of the remaining provisions. In such a case, instead of the ineffective provision of this Privacy Notice, the applicable legal regulation contained in the generally binding legal regulations of the legal order of the Slovak Republic, which is closest in purpose to the ineffective provision of this Privacy Notice, shall apply.