Informace o zpracování osobních údajů
Směrnice o zpracování osobních údajů
SLÁDEK GROUP, a.s.
Jana Nohy 1441, 256 01 Benešov
IČO: 463 56 886
vyhotovená ve smyslu Nařízení Evropského Parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
účinnost od: 25.5.2018
Preambule
(1) Zpracování osobních údajů je nezbytnou součástí výkonu podnikatelské činnosti. Soulad činností zpracování s právními předpisy, především s Nařízením Evropského Parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) osob (dále jen „GDPR“), jakož i s jinými příslušnými právními předpisy, je základní povinností správců informačních systémů a zpracovatelů.
(2) Společnost SLÁDEK GROUP, a.s., se sídlem Benešov, Jana Nohy 1441, PSČ 25601, IČO: 463 56 886, zapsaná v obchodním rejstříku vedeném u Městského soudu v Praze, oddíl B, vložka 2314 (dále jen „Společnost“),
a. si váží důvěry svých zaměstnanců, zákazníků, dodavatelů a případných jiných osob, jejichž osobní údaje zpracovává,
b. uznává důležitost ochrany osobních údajů, které zpracovává, a
c. průběžně přijímá kroky nezbytné a účelné pro zajištění souladu s právními předpisy a tyto podle potřeby aktualizuje.
(3) Z těchto důvodů Společnost přijala interní Směrnici o ochraně osobních údajů (dále jen „Směrnice“) vyhotovenou ve smyslu ustanovení GDPR, která upravuje zpracování osobních údajů v rámci Společnosti a určuje práva a povinnosti osob účastnících se zpracování, tj. subjektů údajů, a osob oprávněných nakládat s osobními údaji jménem Společnosti, jejíž částečné znění je uvedeno níže. Úplné znění Směrnice a další dokumenty týkající se ochrany osobních údajů ve Společnosti jsou k dispozici na vyžádání.
1. Působnost a aplikace Směrnice
1.1 Směrnice se vztahuje na operace týkající se zpracování osobních údajů realizované Společností ode dne 25.5.2018.
1.2 Směrnice se nevztahuje na takové zpracování osobních údajů, na které se nevztahuje GDPR.
1.3 GDPR představuje všeobecný právní předpis Evropské unie pro oblast ochrany osobních údajů. Na výkon podnikatelské činnosti Společnosti a související zpracování osobních údajů se vztahují i další právní předpisy, např. zákoník práce, zákon o účetnictví a podobně.
1.4 Pojmy použité ve Směrnici mají shodný význam jako tytéž pojmy definované v čl. 4 GDPR.
2. Postavení Společnosti při zpracování osobních údajů
2.1 Společnost má při zpracování osobních údajů postavení správce ve smyslu článku 4 bodu 7 GDPR.
2.2 Společnost není správcem, pokud získá osobní údaje náhodným způsobem bez předchozího stanovení účelu a prostředků zpracování, přičemž v takovém případě se na ni GDPR nevztahuje. Může se jednat o případy, kdy jsou Společnosti poskytnuty osobní údaje omylem anebo jsou jí poskytnuty také osobní údaje, o které nežádala a nemá zájem tyto osobní údaje dále zpracovat pro žádné účely. Uchování těchto údajů např. z důvodu jejich vrácení oprávněné osobě anebo jejich vymazání v přiměřené lhůtě nepředstavuje zpracování osobních údajů spadající pod působnost GDPR.
3 Účely zpracování osobních údajů
3.1 Bližší popis skutečností relevantních pro zajištění souladu zpracování osobních údajů s právními předpisy, jako jsou účely zpracování, okruh subjektů údajů, kategorie zpracování osobních údajů, právní základy zpracování a doby uložení, je uveden v aktuální verzi dokumentu Přehled zpracovávaných osobních údajů (data mapping).
4 Základní zásady zpracování osobních údajů
4.1 GDPR upravuje základní zásady zpracování osobních údajů v článku 5 GDPR. Společnost průběžně zajišťuje, aby veškeré operace zpracování byly realizovány v souladu s veškerými zásadami uvedenými níže.
Zákonnost, korektnost, transparentnost
4.2 Společnost zpracovává osobní údaje subjektů údajů zákonným způsobem, korektně a transparentně.
4.2.1 Zákonný způsob zpracování znamená, že zpracování osobních údajů je založeno na některém z právních základů zpracování uvedených v článku 6 až 11 a 89 GDPR.
4.2.2 Korektnost a transparentnost znamená, že Společnost poskytuje subjektům osobních údajů, jejichž osobní údaje zpracovává, jasné a srozumitelné informace o podmínkách zpracování a o právech, která mají v této souvislosti. Při poučení o svých právech jsou subjekty údajů v rozsahu informovány o zvláštnostech zpracování, včetně toho, k jakým účelům se údaje zpracovávají a na jakém právním základě. Rozsah informační povinnosti je upraven v čl. 13 a 14 GDPR a při žádosti subjektu údajů v článku 15 GDPR. Z těchto ustanovení vyplývá, že právo subjektu údajů na poskytování informací není absolutní a v některých případech Společnost není povinna subjekty údajů výslovně informovat.
Omezení účelu
4.3 Osobní údaje Společnost získává pro konkrétně určené, výslovně uvedené a legitimní účely a nesmí je dále zpracovávat způsobem, který není slučitelný s těmito účely. Další zpracování za jiným účelem než tím, pro který byly osobní údaje získány, je za jistých podmínek dovoleno, to znamená, že i pokud Společnost získá osobní údaje pro konkrétní účel, za splnění určených podmínek může tyto údaje zpracovávat i pro jiný než původní účel („test slučitelnosti“).
4.4 Další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého nebo historického výzkumu či statistické účely se ve smyslu GDPR považuje za slučitelné s původním účelem. Společnost za tímto účelem zajistí přiměřené záruky pro práva a svobody subjektu údajů.
Minimalizace údajů
4.5 Osobní údaje, které Společnost zpracovává, jsou přiměřené, relevantní a omezené v rozsahu, který je nezbytný vzhledem k účelu, pro který se zpracovávají. Za tímto účelem Společnost zrealizovala před nabytím účinnosti GDPR audit zpracování osobních údajů a též průběžně monitoruje operace zpracování, aby mohla prokázat, že veškerá zpracování osobních údajů potřebuje pro dosažení sledovaných účelů zpracování.
Zásada správnosti
4.6 Společnost vynakládá přiměřené úsilí, aby osobní údaje zpracované Společností byly správné a podle potřeby aktualizované. Společnost průběžně zajišťuje, aby se osobní údaje, které jsou nesprávné, bezodkladně vymazaly nebo opravily. Subjekty údajů jsou povinny za všech okolností poskytovat Společnosti správné osobní údaje a tyto průběžně efektivním způsobem (např. písemně včetně prostřednictvím emailu) u Společnosti aktualizovat, když např. dojde k jejich změně.
4.7 Společnost předpokládá, že osobní údaje poskytnuté subjekty údajů jsou pravdivé, aktuální, úplné a správné, a to až do momentu oznámení změny ze strany subjektu údajů. V takovém případě Společnost bezodkladně zajistí změnu, doplnění nebo opravu příslušného osobního údaje.
Minimalizace uchování
4.8 Společnost uchovává osobní údaje ve formě, která umožňuje identifikaci subjektu údajů, nejdéle po dobu, která je potřebná pro účely, pro které se osobní údaje zpracovávají. Pokud jsou osobní údaje zpracovávány pro vícero účelů, Společnost je oprávněna zpracovávat je po dobu, dokud trvá některý z nich. Osobní údaje se mohou uchovávat déle, pokud se budou zpracovávat výlučně pro účely archivace ve veřejném zájmu, pro účely vědeckého nebo historického výzkumu či pro statistické účely. V takovém případě Společnost zabezpečí přijetí přiměřených technických a organizačných opatření na ochranu práv a svobod subjektů údajů.
4.9 Doba uložení může v některých případech vyplývat ze zvláštních předpisů. Některé zvláštní předpisy však stanoví pouze minimální zákonnou dobu uchování, přičemž doba uložení může být v daných případech delší. Zásada minimalizace uchování dovoluje pokračovat ve zpracování osobních údajů po uplynutí doby uložení pro některé další vymezené účely. Jde o účely archivace ve veřejném zájmu, účely vědeckého nebo historického výzkumu a statistické účely upravené v článku 89 GDPR.
Integrita a důvěrnost
4.10 Společnost zajišťuje, že osobní údaje se zpracovávají způsobem, který zaručuje přiměřenou bezpečnost osobních údajů, včetně ochrany před neoprávněným nebo nezákonným zpracováním a náhodnou ztrátou, zničením nebo poškozením, a to prostřednictvím přiměřených technických nebo organizačních opatření (tzv. „bezpečnostní opatření“).
4.11 Tato zásada je tvořena dalšími povinnostmi, které se týkají bezpečnosti osobních údajů, kterým se GDPR věnuje v samostatném oddíle 2 kapitoly IV, konkrétně v článcích 32 až 34 GDPR. Zásada integrity a důvěrnosti je blíže vysvětlena v bodě 8 níže.
Odpovědnost
4.12 Společnost je odpovědná za zpracování osobních údajů v souladu s výše uvedenými zásadami, přičemž přijímá opatření k prokázání souladu každého případu zpracování. Za tímto účelem např. vypracuje písemné podklady o tom, že veškeré aspekty zpracovatelských postupů v rámci Společnosti byly interně posouzeny, přičemž výsledkem tohoto posouzení je soulad s ustanoveními GDPR. Povinnost prokázat soulad je dána výlučně vůči příslušnému Úřadu na ochranu osobních údajů.
4.13 V souladu se zásadou odpovědnosti může Společnost prokázat splnění základních zásad zpracování osobních údajů např. některým z následujících způsobů (pokud se uplatní v případě Společnosti):
4.13.1 přijetím a dodržováním této Směrnice;
4.13.2 uzavřením smluv se zpracovateli nebo společnými správci podle článku 26 nebo 28 GDPR;
4.13.3 vedením záznamů o zpracovatelské činnosti podle článku 30 GDPR;
4.13.4 poskytnutím součinnosti příslušnému Úřadu na ochranu osobních údajů při výkonu jeho povinností a pravomocí podle článku 31 GDPR;
4.13.5 přijetím přiměřených bezpečnostních opatření podle článku 32 GDPR;
4.13.6 provedením posouzení vlivu a případné předchozí konzultace podle článku 35 a 36 GDPR;
4.13.7 vzděláváním zaměstnanců v oblasti ochrany osobních údajů;
4.13.8 jmenováním pověřence pro ochranu osobních údajů podle článku 37 až 39 GDPR;
4.13.9 dodržováním pravidel a přiměřených záruk při předávání osobních údajů do třetích zemí nebo mezinárodním organizacím;
4.13.10 dodržováním schválených certifikačních mechanismů, pečetí nebo značek podle článku 42 a násl. GDPR.
4.14 Společnost vyvíjí přiměřené úsilí k zajištění ochrany osobních údajů prostřednictvím specificky navržené („data protection by design“) a standardní („data protection by default“) ochrany osobních údajů.
4.14.1 Specificky navržená ochrana osobních údajů znamená, že Společnost, s ohledem na různé aspekty zpracování (např. nejnovější poznatky, povahu, rozsah a účely zpracování, rizika vyplývající pro práva subjektu údajů), před zahájením zpracování přijme přiměřená technická a organizační opatření a záruky na ochranu osobních údajů, a tyto průběžně adaptuje na aktuální podmínky zpracování.
4.14.2 Standardní ochrana osobních údajů znamená, že Společnost zajistí, aby byly zpracovány jen osobní údaje nezbytné pro každý konkrétní účel zpracování. Rovněž zajistí, aby osobní údaje nebyly bez zásahu fyzické osoby standardně přístupné neomezenému počtu fyzických osob.
5 Zpracování zvláštních kategorií osobních údajů
5.1 GDPR mezi zvláštní kategorie osobních údajů (tzv. „citlivé údaje“) zahrnuje také osobní údaje, které odhalují rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení nebo členství v odborových organizacích. Dále jako citlivé osobní údaje GDPR výslovně uvádí také genetické údaje, biometrické údaje k individuální identifikaci fyzické osoby, údaje týkající se zdraví nebo údaje týkající se sexuálního života nebo sexuální orientace fyzické osoby. Podle článku 9 odst. 1 GDPR platí všeobecný zákaz jejich zpracování, který se neuplatní, pouze pokud jsou splněny podmínky uvedené v článku 9 odst. 2 GDPR.
5.2 Na rozdíl od předcházející úpravy se rodné číslo a osobní údaje týkající se uznání viny za trestné činy a přestupky nepovažují za citlivé údaje. Rovněž ani fotografie se už nepovažuje za citlivý údaj, a tak běžný záznam z bezpečnostní kamery nebo kopie dokladu totožnosti včetně fotografie na daném dokladu tuto podmínku nesplňují.
5.3 Společnost při zpracování osobních údajů může přijít do styku také s citlivými údaji. Půjde především o údaje týkající se zdraví pro pracovněprávní účely.
5.4 Zpracování citlivých údajů je možné provádět pro účely splnění povinností a výkonu osobních práv správce nebo subjektu údajů v oblasti pracovního práva a práva sociálního zabezpečení a sociální ochrany. Společnost je oprávněna pro pracovněprávní účely zpracovat citlivé údaje i bez souhlasu subjektu údajů. V případě, že Společnost bude zpracovávat citlivé údaje na základě souhlasu subjektu údajů, obstará si od subjektu údajů výslovný souhlas pro tento účel.
6 Práva subjektů údajů
Právo na informace
6.1 Transparentnost je jednou ze základních zásad zpracování osobních údajů. Společnost proto do svých interních postupů implementuje opatření s cílem poskytnout subjektům údajů informace týkající se zpracování. Právní rámec poskytování informací subjektu údajů je upravený následovně: 6.1.1 informace se poskytují ve stručné, transparentní, srozumitelné a jednoduše dostupné formě, formulované jasně a jednoduše;
6.1.2 informace se mohou podat písemně, elektronicky nebo jiným způsobem nebo na požádání ústně;
6.1.3 informace se poskytují bezplatně, v případě neopodstatněných nebo nepřiměřených žádostí subjektů údajů je Společnost oprávněna účtovat přiměřený poplatek nebo odmítnout žádosti vyhovět;
6.1.4 Společnost je oprávněná žádat o poskytnutí dodatečných informací potřebných k potvrzení totožnosti subjektu údajů.
6.2 Společnost je oprávněna splnit informační povinnost podle článku 13 a 14 GDPR jakýmkoliv vhodným a prokazatelným způsobem, bez ohledu na formu a podobu poskytnutých informací. Společnost se vzhledem k okolnosti daného zpracování může rozhodnout pro poskytování těchto informací například prostřednictvím odkazu na svoje webové sídlo, elektronicky prostřednictvím webu, v rámci samostatného pop-up okna, fyzicky v tištěné podobě, zakomponováním do smluvní dokumentace nebo všeobecných obchodných podmínek, certifikovanými mechanismy, značkami nebo pečetěmi, zasláním na e-mailovou nebo poštovní adresu subjektu údajů nebo ústním nebo písemným poskytnutím.
Rozsah informační povinnosti
6.3 V případech, kdy se od subjektu údajů získávají osobní údaje, které se ho týkají, poskytne Společnost při získávání osobních údajů subjektu údajů veškeré tyto informace:
6.3.1 totožnost a kontaktní údaje správce a v příslušných případech zástupce správce;
6.3.2 kontaktní údaje případného pověřence pro ochranu osobních údajů;
6.3.3 účely zpracování, pro které jsou osobní údaje určené, jakož i právní základ zpracování;
6.3.4 pokud se zpracování zakládá na článku 6 odst. 1 písm. f), oprávněné zájmy, které sleduje správce nebo třetí strana;
6.3.5 příjemce nebo kategorie příjemců osobních údajů, pokud existují;
6.3.6 v relevantním případě informace o tom, že správce zamýšlí předat osobní údaje do třetí země nebo mezinárodní organizaci a informace o existenci nebo neexistenci rozhodnutí Komise o přiměřenosti nebo v případě předání uvedeného v článku 46 nebo 47 či v článku 49 odst. 1 druhém pododstavci odkaz na přiměřené nebo vhodné záruky a prostředky na získání jejich kopie, nebo kde byly poskytnuty.
6.4 Mimo informací uvedených v čl. 6.3 Společnost poskytne subjektu údajů při získávání osobních údajů tyto další informace, pokud jsou potřebné k zajištění spravedlivého a transparentního zpracování:
6.4.1 doba uchování osobních údajů nebo, pokud to není možné, kritéria na její určení;
6.4.2 existence práva požadovat od správce přístup k osobním údajům týkajících se subjektu údajů a práva na jejich opravu nebo vymazání nebo omezení zpracování, nebo práva namítat proti zpracování, jakož i práva na přenositelnost údajů;
6.4.3 pokud je zpracování založeno na článku 6 odst. 1 písm. a) nebo na článku 9 odst. 2 písm. a), existence práva kdykoli svůj souhlas odvolat bez toho, aby to mělo vliv na zákonnost zpracování založeného na souhlasu uděleném před jeho odvoláním;
6.4.4 právo podat stížnost dozorovému úřadu;
6.4.5 informace o tom, zda je poskytování osobních údajů zákonným nebo smluvním požadavkem nebo požadavkem, který je potřebný k uzavření smlouvy, zda je subjekt údajů povinen poskytnout osobní údaje, jakož i o možných následcích neposkytnutí takovýchto údajů;
6.4.6 existence automatizovaného rozhodování včetně profilování uvedeného v článku 22 odst. 1 a 4 a alespoň v těchto případech smysluplné informace o použitém postupu, jakož i významu a předpokládaných důsledcích takového zpracování pro subjekt údajů.
Lhůty pro splnění informační povinnosti
6.5 Ohledně lhůt týkajících se splnění informační povinnosti platí následující:
6.5.1 pokud Společnost získává osobní údaje od subjektu údajů, informuje je při získání údajů;
6.5.2 pokud Společnost nezískává osobní údaje přímo od subjektu údajů, tyto údaje poskytne:
a) v přiměřené lhůtě po získání osobních údajů, nejpozději však do jednoho měsíce, přičemž zohlední konkrétní okolnosti, za kterých se osobní údaje zpracovávají;
b) pokud se osobní údaje mají použít ke komunikaci se subjektem údajů, nejpozději v okamžiku první komunikace s tímto subjektem údajů; nebo
c) pokud se předpokládá poskytnutí osobních údajů dalšímu příjemci, nejpozději tehdy, kdy se osobní údaje poskytnou prvně.
Právo na přístup k osobním údajům
6.6 Právo na přístup zaručuje subjektu údajů možnost prověřit, jaké osobní údaje o něm Společnost zpracovává.
6.7 Subjekt údajů má právo žádat Společnost o přístup k osobním údajům v souladu s podmínkami podle článku 15 GDPR. Právo na přístup v první řadě zahrnuje právo subjektu údajů získat informaci, zda o něm Společnost zpracovává osobní údaje. Pouze v případě, že Společnost zpracovává osobní údaje o subjektu údajů, má subjekt údajů právo dále uplatnit další práva, jmenovitě:
6.7.1 právo na poskytnutí informací podle článku 15 odst. 1 GDPR;
6.7.2 právo získat přístup k osobním údajům zpracovaných Společností;
6.7.3 právo na poskytnutí kopií zpracovaných osobních údajů.
6.8 Pokud subjekt údajů v žádosti výslovně neuvede, že žádá i o získání přístupu k osobním údajům nebo o poskytnutí kopie osobních údajů podle bodu 6.7.2 a 6.7.3 výše, je Společnost oprávněna všeobecnou žádost podle článku 15 GDPR považovat za žádost o potvrzení, zda jsou osobní údaje zpracovávány.
6.9 Při poskytovaní informací podle článku 15 odst. 1 GDPR je Společnost oprávněna použít stejný způsob a metodu poskytování informací, jaký se uplatňuje na poskytování informací podle článku 13 a 14 GDPR. Informace podle článku 15 GDPR ale musí být přizpůsobeny okolnostem týkajícím se konkrétního subjektu údajů. Např. pokud Společnost poskytla všeobecné informace o zpracování osobních údajů podle článku 13 a 14 GDPR, poskytne neadresovaný přehled účelů zpracování, ke kterým může docházet. U práva na přístup Společnost upřesní tyto informace ve vztahu ke konkrétnímu subjektu údajů a měla by poskytovat informace o účelech zpracování, které se týkají tohoto konkrétního subjektu údajů.
6.10 Právo na poskytnutí kopie osobních údajů podle článku 15 odst. 3 GDPR představuje doplňkové právo subjektu údajů v rámci práva na přístup. Uplatněním práva na poskytnutí informací podle článku 15 odst. 1 GDPR Společnost poskytne subjektu údajů jen kategorie dotčených osobních údajů, které zpracovává o konkrétním subjektu údajů (např.: jméno, věk). Právem na poskytnutí kopie osobních údajů podle článku 15 odst. 3 GDPR subjekt údajů uplatňuje právo na poskytnutí konkrétní „hodnoty“ těchto osobních údajů (např.: Josef, 41). Kopie osobních údajů mohou být poskytovány v jakékoli běžně používané elektronické podobě, přičemž na žádost subjektu údajů odpovídá Společnost písemně nebo elektronicky – podle toho, jak o kopie osobních údajů žádá subjekt údajů.
6.11 Právo na přístup podle článku 15 GDPR včetně jakýchkoli specifických práv, která jsou jeho součástí, nesmí mít nepříznivé důsledky na práva a svobody jiných. Mezi „jiné“ je možné zařadit např. jiné subjekty údajů nebo jiné osoby než je subjekt údajů uplatňující žádost.
Právo na opravu
6.12 Subjekt údajů má právo žádat Společnost o opravu nesprávných osobních údajů, které se ho týkají, a má právo na doplnění neúplných osobních údajů, a to i prostřednictvím poskytnutí doplňkového prohlášení. O tom, zda jsou osobní údaje neúplné z pohledu účelu zpracování, však rozhoduje Společnost jako správce. Společnost není povinna doplnit osobní údaje podle žádosti subjektu údajů, pokud je nepovažuje za potřebné pro dané účely, protože Společnost má všeobecnou povinnost zpracovat jen ty osobní údaje, které jsou nezbytné pro dané účely.
Právo na výmaz
6.13 Právo na výmaz se aplikuje pouze v případech vymezených v článku 17 GDPR, které nemají všeobecnou nebo absolutní povahu. Subjekt údajů má právo dosáhnout výmazu svých osobních údajů ze strany Společnosti, pokud prokáže splnění některé z uvedených podmínek. Pokud subjekt údajů žádá o výmaz jeho osobních údajů z důvodů nezákonnosti zpracování, považuje se za nezákonné zpracování pro účely tohoto práva jen takové zpracování, o jehož nezákonnosti právoplatně rozhodl příslušný soud nebo Úřad na ochranu osobních údajů.
6.14 Subjekt údajů musí žádost o výmaz osobních údajů dostatečně odůvodnit, zejména odkazem na právní předpis, podle kterého by měly být jeho osobní údaje vymazány (článek 17 odst. 1 písm. e) GDPR) nebo odkazem na rozhodnutí, podle kterého jsou osobní údaje zpracovány Společností nezákonně (článek 17 odst. 1 písm. d) GDPR). Společnost je oprávněna žádat doplnění informací subjektem údajů. Společnost je zároveň oprávněna odmítnout konat na základě žádosti o výmaz osobních údajů, pokud platí některý z důvodů uvedených v článku 17 odst. 3 GDPR.
Právo na omezení zpracování
6.15 Subjekt údajů má právo žádat Společnost o omezení zpracování v situacích předpokládaných v článku 18 GDPR, přičemž obsah naplnění těchto povinností se posuzuje přiměřeným způsobem jako při posuzování důvodů na výmaz osobních údajů vysvětlených v bodě 6.13 výše. Pokud jsou splněny podmínky na omezení zpracování, Společnost je povinna přistoupit k omezení zpracování v přiměřené lhůtě podle článku 12 GDPR. Společnost v této lhůtě posoudí, zda je žádost opodstatněná.
Právo na přenositelnost údajů
6.16 Subjekt údajů má právo žádat o poskytnutí osobních údajů podle článku 20 odst. 1 GDPR jen ve vztahu k osobním údajům, které:
6.16.1 jsou zpracované automatizovanými prostředky (tj. elektronicky);
6.16.2 jsou zpracované na právním základě souhlasu nebo plnění smlouvy (podle článku 6 odst. 1 písm. a) nebo b) GDPR); a
6.16.3 aktivně poskytl Společnosti samotný subjekt údajů.
6.17 Právo na přenositelnost se nevztahuje na osobní údaje, které Společnost zpracovává na jiných právních základech, jako je souhlas nebo plnění smlouvy. Pod kategorie údajů, které nespadají pod právo na přenositelnost, spadají především všechny osobní údaje zpracované na právním základě vyplývajícím ze zvláštních předpisů nebo oprávněných zájmů Společnosti vysvětlených výše.
Právo vznést námitku
6.18 Subjekty údajů mají právo vznést námitku z důvodů týkajících se jejich konkrétní situace proti zpracování osobních údajů Společností na právním základě veřejného nebo oprávněného zájmu. Po přijetí žádosti subjektu údajů je Společnost povinna ve lhůtě podle článku 12 GDPR prokázat subjektu údajů nezbytné oprávněné důvody ke zpracování, které převažují nad zájmy, právy a svobodami subjektu údajů, nebo důvody na prokazování, uplatňování nebo obhajování právních nároků.
6.19 Subjekty údajů mají právo vznést námitku proti zpracování osobních údajů pro účely přímého marketingu, přičemž v tomto případě je Společnost povinna v rámci lhůty podle článku 12 GDPR přestat s daným zpracováním osobních údajů.
Automatizované individuální rozhodování včetně profilování
6.20 Společnost nerealizuje automatizované individuální rozhodování ani profilování.
Uplatňování práv subjektů údajů
6.21 Subjekty údajů jsou oprávněny uplatňovat svá práva z GDPR vůči Společnosti prostřednictvím žádostí.
6.22 Při jakékoliv žádosti na základě práv subjektů údajů vyplývajících z GDPR Společnost v první řadě identifikuje subjekt údajů v souladu s ustanoveními článku 12 GDPR. Společnost není povinna konat na základě žádosti subjektu údajů, pokud není jednoznačně ověřená totožnost subjektu údajů. Subjekty údajů se mohou na Společnost obrátit osobně, písemně, elektronicky nebo telefonicky. V každém z těchto případů je však Společnost oprávněna požadovat poskytnutí dodatečných informací na ověření totožnosti subjektu údajů. Tato skutečnost vyplývá i z článku 12 odst. 6 GDPR, podle kterého, pokud má Společnost oprávněné pochybnosti v souvislosti s totožností fyzické osoby podávající žádost, může požádat o poskytnutí dodatečných informací potřebných na potvrzení totožnosti subjektu údajů. Společnost je oprávněna v takovém případě např. odkázat subjekt údajů na osobní ověření totožnosti v prostorách Společnosti.
6.23 Všeobecná lhůta na vyřízení žádosti subjektu údajů podle článku 15 až 20 GDPR je jeden měsíc od doručení žádosti, přičemž pokud v okamžiku doručení žádosti totožnost subjektu údajů není úspěšně ověřena, měsíční lhůta začíná plynout až od úspěšného ověření totožnosti subjektu údajů (dále jen „měsíční lhůta“). Společnost je oprávněna rozhodnout o prodloužení této měsíční lhůty o další dva měsíce, přičemž zohlední komplexnost žádosti a celkový počet žádostí, které v daném období Společnost obdržela. Vždy když Společnost rozhodne o prodloužení dané lhůty, je povinna informovat subjekt údajů o každém takovém prodloužení spolu s důvody zmeškání lhůty v původní měsíční lhůtě.
6.24 Pokud Společnost nepřijme opatření na základě žádosti subjektu údajů, je povinna v měsíční lhůtě informovat subjekt údajů o důvodech nečinnosti a o možnosti podat stížnost Úřadu na ochranu osobních údajů nebo uplatnit soudní prostředek nápravy do jednoho měsíce od doručení žádosti. Tato povinnost se však nevztahuje na situaci, kdy Společnost nepřijme opatření na základě žádosti subjektu údajů z důvodu, že Společnost neumí subjekt údajů identifikovat nebo subjekt údajů odmítne poskytnout dodatečné informace na ověření jeho identity.
6.25 Společnost je oprávněna z důvodů uvedených v článku 12 odst. 5 druhé věty GDPR odmítnout vyhovět žádosti nebo požadovat přiměřený poplatek zohledňující administrativní náklady Společnosti v souvislosti s poskytnutím informací, oznámení nebo v souvislosti s uskutečněním požadovaného oprávnění. Společnost může tímto způsobem postupovat vždy, když jsou žádosti subjektu údajů zjevně neopodstatněné nebo nepřiměřené, zejména pro jejich opakující se povahu. Za neopodstatněné žádosti subjektu údajů se považují zejména takové žádosti:
6.25.1 na základě kterých subjekt údajů neoprávněně žádá přístup k důvěrným nebo citlivým informacím bez ohledu na jeho úmysl v souvislosti s těmito informacemi;
6.25.2 které mají výslovně šikanózní charakter vůči zaměstnancům Společnosti nebo vůči samotné Společnosti;
6.25.3 které jsou vulgární nebo obsahují prvky rasové, etnické, genderové, pohlavní, sexuální nebo náboženské nenávisti;
6.25.4 které mají tak všeobecný charakter nebo jsou tak nesrozumitelné, že Společnost neumí z dané žádosti posoudit, jaké právo subjekt údajů uplatňuje;
6.25.5 kterými subjekt údajů žádá informace, oznámení nebo provedení opatření, která výslovně nevyplývají z článků 15 až 20 GDPR;
6.25.6 které směřují opakovaně k téže skutečnosti, kterou Společnost subjektu údajů již opakovaně vysvětlila, přičemž subjektu údajů musí být z okolností jasné, že odpověď Společnosti neměla důvod se změnit;
6.25.7 které vzbuzují podezření z úmyslu subjektu údajů v souvislosti s jeho žádostí dopustit se jednání, které by mohlo mít za následek trestněprávní odpovědnost nebo škodu vzniklou Společnosti nebo jiným osobám;
6.25.8 při kterých subjekt údajů vyhotovuje obrazové, zvukové nebo obrazovozvukové záznamy zaměstnanců Společnosti nebo Společnosti;
6.25.9 při kterých subjekt údajů jedná agresivně, pod vlivem alkoholu nebo omamných látek nebo ohrožuje bezpečnost ostatních osob nacházejících se v daném prostoru.
7 Posouzení vlivu a předchozí konzultace
7.1 Společnost provedla analýzu povinnosti posouzení vlivu a předchozí konzultace, a tyto povinnosti jí v souvislosti se zpracovatelskými postupy realizovanými Společností nevyplývají.
8 Bezpečnost osobních údajů
Přiměřenost bezpečnostních opatření
8.1 Společnost osobním údajům, které zpracovává, zajišťuje vždy přiměřenou úroveň ochrany v souladu s GDPR s přihlédnutím k:
8.1.1 nejnovějším poznatkům;
8.1.2 nákladům na provedení opatření;
8.1.3 povaze, rozsahu, kontextu a účelu zpracování;
8.1.4 rizikům s různou pravděpodobností a závažností pro práva a svobody fyzických osob.
8.2 Společnost k zajištění bezpečnosti a integrity osobních údajů implementovala některá nebo všechna následující opatření:
8.2.1 pseudonymizaci a šifrování osobních údajů;
8.2.2 schopnost zajistit trvalou důvěrnost, integritu, dostupnost a odolnost systémů zpracování a služeb;
8.2.3 schopnost včas obnovit dostupnost osobních údajů a přístup k nim v případě fyzického nebo technického incidentu;
8.2.4 proces pravidelného testování, posuzování a hodnocení účinnosti technických a organizačních opatření k zajištění bezpečnosti zpracování.
8.3 Společnost zajišťuje ochranu osobních údajů i prostřednictvím pravidelných školení zaměstnanců, kterým z náplně jejich pracovní pozice vyplývá oprávnění přístupu k osobním údajům. Školení se realizují minimálně 1x ročně.
8.4 Společnost prostřednictvím zpracovatele poskytujícího Společnosti služby správy počítačové sítě vykonává činnost za účelem identifikace, vyhodnocení a řízení rizik informační bezpečnosti. Existující a nový hardware se konfiguruje profesionálně. Společnost zajišťuje bezpečné používání přenosných paměťových zařízení (USB, CD). Společnost přiděluje uživatelské účty zaměstnancům tak, aby měli přístup pouze k takovým informacím/zařízením/datům, která potřebují k výkonu své práce. Společnost ukládá svým zaměstnancům povinnost pravidelně měnit přístupová hesla do počítačů a programů. Společnost zajišťuje zjišťování jakýchkoliv neautorizovaných přístupů k nim.
Oznamování porušení ochrany osobních údajů
8.5 Společnost oznamuje porušení ochrany osobních údajů ve lhůtě 72 hodin od zjištění, zda nastalo porušení ochrany osobních údajů a jaká může představovat rizika pro práva a svobody fyzických osob. Společnost je povinna provést oznámení podle předcházející věty bezodkladně po zjištění, že porušení ochrany osobních údajů mohlo nastat.
9 Další subjekty zapojené do zpracování osobních údajů
Poskytování osobních údajů
9.1 Při výkonu činnosti Společnosti dochází k poskytování osobních údajů Společností jako správcem jiným subjektům. Vzhledem k tomu, že GDPR ani zákon o ochraně osobních údajů výslovně nepodmiňují poskytnutí osobních údajů jinému subjektu souhlasem subjektu údajů, platí, že poskytování osobních údajů je zpracovatelskou operací, která může probíhat na jakémkoliv právním základě dovoleném GDPR.
9.2 Společnost je v některých případech povinna podle zvláštních předpisů poskytovat osobní údaje jiným subjektům. K osobním údajům zpracovaným Společností může mít přístup Úřad na ochranu osobních údajů, orgány činné v trestním řízení, daňové úřady a další subjekty.
Použití zpracovatelů
9.3 Společnost může použít ke zpracování osobních údajů zpracovatele, kteří zpracovávají osobní údaje jejím jménem. Použití zpracovatelů nepodléhá souhlasu subjektu údajů. Pokud se má zpracování uskutečnit jménem Společnosti, Společnost využívá jen zpracovatele poskytující dostatečné záruky o tom, že budou přijata přiměřená technická a organizační opatření tak, aby zpracování splnilo požadavky GDPR a aby se zajistila ochrana práv subjektu údajů.
10 Pověřenec pro ochranu osobních údajů
10.1 Společnost provedla analýzu povinnosti ustanovit pověřence pro ochranu osobních údajů a výsledkem analýzy je skutečnost, že takovou povinnost nemá.
11 Likvidace osobních údajů
11.1 Společnost pravidelně likviduje osobní údaje, kterým zanikl účel zpracování. Výmaz neaktuálních a nepotřebných osobních údajů provádějí určení zaměstnanci Společnosti pravidelně 1x ročně. Likvidace se uskutečňuje technicky bezpečným způsobem tak, aby se eliminovalo riziko zneužití údajů. Listinné nosiče údajů se skartují a elektronické nosiče se vymažou, aby se zajistila nemožnost obnovení osobních údajů.
12 Závěrečná ustanovení
12.1 Směrnice byla přijata Společností za účelem zajištění souladu s GDPR a úpravy práv a povinností příslušných subjektů podílejících se na zpracovatelských operacích.
12.2 Znění Směrnice bylo vypracováno v souladu s GDPR a v nezbytném rozsahu se zvláštními právními předpisy.
12.3 Směrnice a všechny vztahy z ní vyplývající se řídí právním řádem České republiky.