VŠEOBECNÉ ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Kateřina Sedláčková, se sídlem Rodinná 681 / 7, 70030 Ostrava, IČ: 63351986, registrována v živnostenském rejstříku, vedeném místně-příslušným živnostenským úřadem
Dodržujeme NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/649, ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen GDPR či Nařízení GDPR anebo nařízení o ochraně osobních údajů), a příslušné zákony České republiky. Tyto normy jsme zapracovali do příslušných, vnitropodnikových směrnic a vypracovali tyto Všeobecné zásady zpracování osobních údajů, které veřejně a transparentně popisují zpracování a nakládání s osobními údaji u nás, definují postupy zpracování a práva všech dotčených subjektů.
Tyto Zásady se zavazujeme dodržovat. Jejich dodržování je povinné pro všechny naše pracovníky i zpracovatele.
V těchto zásadách naleznete odpovědi na otázky:
– jaké osobní údaje zpracováváme;
– na základě čeho osobní údaje zpracováváme;
– k jakému účelu osobní údaje zpracováváme;
– zda jsme při zpracování osobních údajů správcem či zpracovatelem;
– komu osobní údaje poskytujeme či mžeme poskytovat;
– komu naopak osobní údaje neposkytujeme;
– jaká práva máte v souvislosti se zpracováním osobních údajů.
Vysvětlení pojmů dle Nařízení GDPR.
- Správce údajů – je tím, kdo získává osobní údaje od subjektu údajů anebo od jiného správce, v tomto případě Kateřina Sedláčková
- Subjekt údajů – každá fyzická osoba, která poskytne správci své osobní údaje, tedy klient, obchodní partner, zaměstnanec, atp.
- Zpracovatel – je tím, kdo zpracuje údaje, které obdrží od správce údajů, tedy např. firma, která zpracovává mzdy a účetnictví
- Pověřenec – je tím, kdo dohlíží na to, zda jsou osobní údaje zpracovávány podle zákona, poskytuje rady správci a řeší podněty subjektu údajů.
– jaké osobní údaje zpracováváme
Zpracovávanými osobními údaji jsou anebo mohou být:
- základní osobní identifikační údaje: jméno, příjmení, titul, datum narození, trvalé bydliště
- kontaktní údaje: korespondenční adresa, e-mail, telefonní číslo, jiná adresa
- údaje, související s plněním smluvního vztahu vč. poskytnutí daru: IČO, DIČ, adresa sídla nebo místa podnikání, fakturační adresa, bankovní spojení, údaje o statutárním či obdobném zástupci včetně jejich kontaktních údajů apod.
- chráněné osobní údaje: rodné číslo, číslo občanského průkazu, to tam, kde je k tomu důvod, hodný zřetele
- jiné osobní údaje a informace, které jste nám poskytl v rámci naší, anebo Vaší činnosti
- další osobní údaje, které budeme zpracovávat na základě Vašeho souhlasu anebo je již zpracováváme
- údaje o objednaných službách či zboží, které jste si u nás Vy nebo Vaše společnost objednali, způsobu platby včetně čísla platebního účtu a údaje o reklamacích a stejné údaje zpracováváme v případě, že jsme si u Vás anebo u Vaší společnosti službu či zboží objednali.
– na základě čeho osobní údaje zpracováváme
Osobní údaje můžeme zpracovávat:
1. bez Vašeho souhlasu, to v případě, že musíme Vaše osobní údaje zpracovávat na základě
nějakého zákona, takže si nemůžeme vybrat ani my a ani Vy, anebo
2. s Vaším souhlasem, to v případě, že budeme mít zájem o zpracování osobních údajů k nějakému
konkrétnímu účelu, Vy s tím budete souhlasit, a tyto údaje nejsou nezbytně nutné k plnění
smlouvy, zákonných povinností, k oprávněných, životně důležitých i veřejných zájmů.
– k jakému účelu osobní údaje zpracováváme
Zpracování osobních údajů na základě uzavřené smlouvy
Uzavřeme-li společně smlouvu, uvedeme do ní osobní údaje proto, abychom věděli, kdo smlouvu uzavřel (identifikační údaje). Osobní údaje pak dále potřebujeme proto, abychom smlouvu řádně splnili, k čemuž potřebujeme také zpracovávat Vaše osobní údaje (kontaktní údaje). Jelikož smlouvu uzavíráme s více zákazníky či dodavateli, evidujeme také údaje o objednaných službách, to proto, abychom na nikoho nezapomněli, či o dokončených dílech, zakázkách, objednávkách a smlouvách, to proto, abychom mohli uspokojit Vaše nároky, třeba při reklamaci.
Osobní údaje potřebujeme ale ještě předtím, než uzavřeme smlouvu. Tyto osobní údaje jsou potřebné k tomu, abychom připravili nejen smlouvu, ale i vše ostatní. Osobní údaje, nedojde-li k uzavření smlouvy, rychle vymažeme, protože je již nepotřebujeme.
Zpracování osobních údajů na základě plnění právních povinností
Jelikož musíme plnit určité, zákonem stanovené povinnosti, musíme také zpracovávat Vaše osobní údaje. Tyto údaje jsou obsaženy třeba ve fakturách. Zpracováváme proto Vaše identifikační a kontaktní údaje, to na základě různých zákonů. V případě faktur je to zákon o účetnictví (zák. č. 563/1991 Sb. v pozd. zn.), může to být také třeba zákon o DPH (zák. č. 235/2004 Sb. v pozd. zn.) či Občanský zákoník (zák. č. 89/2012 Sb. v pozd. zn.).
Zákonů, které musíme dodržovat, a potřebujeme k tomu Vaše osobní údaje, je samozřejmě více, a proto je zde vyjmenovávat nebudeme.
Poté, co uzavřeme smlouvu, vystavíme fakturu, dokončíme dílo či dodáme zboží a uplyne záruční lhůta, ukládáme dále Vaše osobní údaje, to na základě zákona (třeba zák. o archivaci). Jelikož se opět jedná o plnění zákonné povinnosti, Váš souhlas nepotřebujeme.
Oprávněný zájem
I přesto, že mnohdy ukládáme Vaše osobní údaje dle zákona, jak uvádíme v předchozím odstavci, ukládáme je i z důvodu tzv. oprávněného zájmu. Chráníme tak naše právní nároky a kontrolujeme řádnost plnění přijatých ujednání, to pro případ, že by někdo nebyl zcela spokojen s tím co a jak děláme anebo jsme udělali.
V případě třetích osob (škůdců, poškozených, svědků apod.) zpracováváme osobní údaje, to také na základě oprávněného zájmu, jehož základem může být plnění práv a povinností ze smlouvy s klientem, partnerem, anebo přímo ze zákona. Znamená to třeba, že způsobíte-li nám anebo našemu partnerovi nějakou škodu, musíme znát Vaše osobní údaje proto, abychom se mohli u Vaší pojišťovny domáhat náhrady škody. Osobní údaje v tomto případě získáváme přímo od Vás, anebo z protokolů, záznamů, ze svědectví atd.
Soudní spory
V případě, že dojde k zahájení soudního či obdobného řízení, zpracováváme osobní údaje po celou dobu takovéhoto řízení.
Zpracování osobních údajů z e-mailů, dopisů, jiných způsobů komunikace či z Vaší prezentace.
Každý dopis, e-mail, zprávu či komunikaci s Vámi, to vše považujeme za důležité. Dopis může být např. důležitý proto, že může souviset s Vašimi požadavky v rámci naplňované smlouvy či z jiného právního důvodu.
Jelikož nám z takovéto komunikace mohou vyplynout právní povinnosti, komunikaci archivujeme, a to také z důvodu ochrany našich, ale i Vašich zájmů.
Zpracování osobních údajů na základě souhlasu
Jestliže Vám budeme chtít například zaslat reklamní nabídku, musíte s tím souhlasit. K tomuto účelu slouží souhlas, ve kterém uvedeme, proč po Vás souhlas budeme chtít, a jaké osobní údaje chceme pro tento účel zpracovávat. Vždy bude záležet na Vašem rozhodnutí, zda s naším návrhem budete anebo nebudete souhlasit.
– komu osobní údaje poskytujeme či můžeme poskytovat
Základní zpracování provádí naši pracovníci, kteří jsou poučeni o způsobech a pravidlech zpracování osobních údajů. Tito jsou povinni zachovávat mlčenlivost a jsou povinni ochraňovat osobní údaje.
Jelikož jsme Správcem osobních údajů, jsme povinni stanovovat účel a prostředky zpracování, rozhodujeme o způsobu zpracování a odpovídáme za řádné plnění veškerých, s tímto souvisejících povinností.
Některé Vaše osobní údaje předáváme zpracovatelům, kteří se zavázali, že budou dodržovat stejná pravidla, jako my. Jejich pracovníci jsou povinni také zachovávat mlčenlivost a jsou povinni chránit osobní údaje.
Zpracovatelé pro nás provádí činnosti zpracování v oblastech, na které nejsme specializováni. Veškerá zpracování mohou tito zpracovatelé provádět jen na základě našeho přímého pokynu. K těmto zpracovatelům například patří účetní kancelář, poskytovatelé e-mailových hostingů či cloudů.
Osobní údaje také předáváme jiným správcům, to proto, že nám poskytují služby jiného charakteru. Předmětem jejich činnosti není zpracování osobních údajů, osobní údaje ale potřebují k tomu, aby zadaný úkol splnili. Takovým správcem je například doručovatel listovních zásilek, který pro nás nezpracovává osobní údaje, Vaše osobní údaje ale potřebuje proto, aby Vám přinesl dopis.
Obdobná situace může nastat v případě, že budeme nuceni předat Vaše osobní údaje správcům, kteří jsou orgánem státní moci, anebo jsme k této povinnosti vázáni smluvním ujednáním v případě naplňování veřejného zájmu.
– jaké kategorie příjemců osobních údajů evidujeme
V rámci naší činnosti evidujeme tyto kategorie příjemců osobních údajů:
- zpracovatelé (např. účetní kancelář) a správci (např. doručovatel poštovních zásilek), v rámci plnění smluvených anebo právních povinností, a jejich subdodavatelé (např. poskytovatel e-mailových služeb, resp. provozovatel příslušného serveru)
- daňoví poradci
- auditoři
- poskytovatelé právních služeb
- pověřenci pro ochranu osobních údajů
- bankovní ústavy, finanční instituce
- pojišťovny
- orgány veřejné moci, v rámci plnění zákonných povinností, vymezených příslušnými právními předpisy.
– odkud získáváme osobní údaje
Většinu osobních údajů získáváme od Vás, v rámci jednání o možné spolupráci, při uzavírání obchodních případů, takže z komunikace s Vámi, z Vašich dokladů, zpráv a dopisů.
– komu a kam osobní údaje neposkytujeme
Osobní údaje zásadně neposkytujeme subjektům, které nejsou důvěryhodné a prověřené. Za důvěryhodné a prověřené považujeme takové správce a zpracovatele, kteří transparentně a zákonně deklarují svůj závazek dodržovat Nařízení GDPR, souhlasí s těmito našimi Všeobecnými zásadami zpracování osobních údajů, a my jsme o nich nezjistili cokoliv, co by zpochybňovalo jejich důvěryhodnost.
Osobní údaje nepředáváme do třetích zemí, mezinárodním organizacím anebo jiným, než řádně určeným správcům a zpracovatelům.
Výjimku při předávání osobních do třetích zemí mohou tvořit cloudová zpracování, prováděná v rámci používání mobilního telefonu, příp. při použití služeb (aplikací) mobilního telefonu, anebo při použití jiné sdílené služby (aplikace), použité v prostředcích výpočetní techniky, při kterých může dojít ke zpracování osobních údajů. Vždy ale posuzujeme, zda daný zpracovatel splňuje podmínky, upravené Nařízením GDPR.
K takovémuto zpracování může dojít pouze v případě společnosti:
– Google LLC, sídlem 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, a
– Microsoft Corporation, sídlem WA98052 Redmon, One Microsoft Way, USA,
to v souladu, v rozsahu a způsobem, dle uzavřené standardní smluvní doložky, která byla schválena příslušnými orgány EU, a dále v souladu, v rozsahu a způsobem, upraveným pravidly tzv. Privacy Shield (šít soukromí).
– jaká práva máte v souvislosti se zpracováním osobních údajů
Dle Nařízení GDPR má každý subjekt údajů práva, a to:
PRÁVO NA PŘÍSTUP K OSOBNÍM ÚDAJŮM
(dle čl. 15 Nařízení GDPR)
Chcete-li vědět, jaké osobní údaje o Vás zpracováváme, za jakým účelem je zpracováváme, po jakou dobu, anebo komu je předáváme a kdo je zpracovává, chcete využít svého práva na přístup k Vašim osobním údajům. Většinu odpovědí naleznete v tomto dokumentu. A pokud zde nejsou odpovědi na Vaše otázky, rádi Vám je sdělíme. Stejně tak Vám rádi poskytneme kopie zpracovávaných osobních údajů, to však dle pravidel Nařízení GDPR a po uhrazení příslušného poplatku. K nahlédnutí Vám kopie zpracování či originály poskytneme zdarma.
PRÁVO NA OPRAVU A DOPLNĚNÍ NEÚPLNÝCH OSOBNÍCH ÚDAJŮ
(dle čl. 16 Nařízení GDPR)
I u nás pracují jen lidé, kteří dělají chyby, a proto existuje právo na opravu anebo doplnění neúplných informací. Naleznete-li chybu, nepřesnost či neúplný údaj ve Vašich osobních údajích, sdělte nám to, rychle vše napravíme, nepřesnost či chybu opravme a neúplné informace doplníme.
PRÁVO NA VÝMAZ – tzv. právo být zapomenut
(dle čl. 17 a 19 Nařízení GDPR)
Za splnění některého z níže uvedených důvodů máte právo na výmaz, tedy právo na to, abychom Vaše údaje úplně z našich zpracování odstranili, tzv. právo být zapomenut.
Důvody, které Vás opravňují k uplatnění práva být zapomenut:
– Vaše údaje již nejsou potřebné pro účely, pro které jsme je zpracovávali;
– odvoláte souhlas se zpracováním osobních údajů a nám nesvědčí jiné právo, které by toto Vaše právo omezovalo, anebo se jedná o tzv. zvláštní kategorii osobních údajů;
– využijete svého práva vznést námitku proti zpracování (viz níže) u osobních údajů, které zpracováváme na základě našich oprávněných zájmů, které zanikly anebo zpracování údajů opravňovaly;
– Vaše osobní údaje byly zpracovávány protiprávně;
– vymazání nařizuje speciální zákonná norma;
– osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti dítěti.
Právo na výmaz není možné uplatnit tam, kde zpracování Vašich osobních údajů nařizuje zákonný předpis či jiná právní povinnost, jak tyto popisujeme v části „-k jakému účelu osobní údaje zpracováváme“.
PRÁVO NA OMEZENÍ ZPRACOVÁNÍ
(dle čl. 18 a 19 Nařízení GDPR)
Dále máte právo na to, abychom omezili zpracování v případě, že:
– budete popírat přesnost osobních údajů, a to na dobu, která bude potřebná k tomu, abychom mohli přesnost osobních údajů ověřit; nebo
– zpracování je protiprávní a vy budete odmítat využít práva na výmaz osobních údajů a budete trvat na omezení použití osobních údajů; nebo
– již osobní údaje nepotřebujeme, Vy však budete požadovat určení, výkon nebo obhajobu právních nároků; nebo
– vznesete námitku proti zpracování, kdy omezení zpracování bude trvat do doby, dokud nebude ověřeno, že naše oprávněné důvody převáží Vaše oprávněné důvody.
V případě, že uplatníte právo na omezení zpracování, můžeme, s výjimkou uložení, zpracovávat osobní údaje pouze s Vaším souhlasem, anebo proto, že existuje jiný právní důvod.
PRÁVO NA PŘENOSITELNOST ÚDAJŮ
(dle čl. 20 Nařízení GDPR)
Jedním z dalších Vašich práv je právo na přenositelnost údajů. Dle tohoto máte právo od nás získat všechny osobní údaje, které jste nám poskytli v rámci plnění smlouvy a na základě souhlasu, to ve strukturovaném, běžně používaném a strojově čitelném formátu. Informace také můžeme poskytnout na Váš pokyn druhému správci, kterého určíte za příjemce Vašich osobních údajů. Tomuto Vašemu právu vyhovíme v případě, že zpracovávání provádíme automatizovaně.
PRÁVO VZNÉST NÁMITKU
(dle čl. 21 Nařízení GDPR)
Odkazujeme-li v tomto dokumentu na náš oprávněný zájem, který vysvětlujeme, musí existovat i Vaše právo, které povede k přehodnocení našich závěrů. Proto je Vaším dalším právem právo vznést námitku proti zpracování osobních údajů.
Bude-li se jednat o reklamní aktivity, přestaneme Vám je na základě této námitky posílat, v jiných případech přezkoumáme Vaše důvody a nebude-li to v rozporu s jinou naší právní povinností zpracovávat Vaše osobní údaje, Vaší námitce vyhovíme.
Námitku dále můžete vznést kdykoliv v případě, že ke zpracování dochází proto, že je toto zpracování nezbytné ve veřejném zájmu.
PRÁVO ODVOLAT SOUHLAS SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ
Neopominutelným právem je také právo odvolat souhlas se zpracováním osobních údajů, tedy udělíte-li nám souhlas se zpracováním, můžete svůj názor změnit a svůj souhlas odvolat. Odvolání souhlasu je účinné v okamžiku, kdy nám toto odvolání doručíte. Zde platí, že do doby odvolání tohoto souhlasu byla veškerá zpracování provedena v souladu s Nařízením GDPR.
PRÁVO PODAT STÍŽNOST
Pokud dospějete k závěru, že některé naše rozhodnutí není správné a odporuje Vašim právům, máte možnost podat stížnost k dozorovému úřadu, kterým je v případě GDPR:
Úřad pro ochranu osobních údajů,
který sídlí na adrese Pplk. Sochora 27, 170 00 Praha 7
PRÁVO NA SOUDNÍ OCHRANU
Dále máte právo na soudní ochranu vůči správci či zpracovateli osobních údajů, to včetně přezkumu postupu mimosoudního vyrovnání či přezkumu jakéhokoliv dalšího jednání správce, to v rozsahu a způsobem dle příslušné legislativy.
– jak, kde a kdy uplatnit jednotlivá práva
Veškerá svá práva, související s GDPR, můžete uplatnit jednoduše, a to tím, že:
– nám zašlete doporučený dopis. V případě, že se na nás obrátíte písemně, pak musí být podpis na
žádosti úředně ověřen.
– V případě, že nám zašlete svou žádost elektronicky e-mailem, musí být takové podání opatřeno
Vaším elektronickým podpisem, anebo můžete využít k odeslání Vaši datovou schránku.
– nás navštívíte a sdělíte nám, co je předmětem Vašeho požadavku. V takovém případě si ověříme
Vaši totožnost z dokladu totožnosti.
Ověření totožnosti považujeme za základní předpoklad pro uplatnění Vašeho práva, k čemuž jsme povinni právě s ohledem na povinnost Vaše osobní údaje chránit. V mnoha případech se bude jednat o osobní údaje, které mohou zasáhnout do života subjektů údajů a je naší povinností tyto osobní údaje chránit. Nemůžeme proto, a nebudeme řešit žádosti, u nichž nebudeme mít jistotu, že právo uplatňuje skutečně subjekt údajů.
Vaši žádost vyřídíme co nejdříve, maximálně však do jednoho měsíce. Ve výjimečných případech jsme oprávněni tuto lhůtu prodloužit o další dva měsíce, to v případě, že se bude jednat o složitou situaci či složitý požadavek. O případném prodloužení lhůty Vás budeme informovat.
Zvažte prosím vždy, zda bude pro naplnění Vámi sledovaného cíle ideální se na nás obracet písemně, anebo nás navštívíte na adrese firmy Kateřina Sedláčková, to v pracovních dnech, v pracovní době, kde se Vám budeme rádi věnovat. Návštěvu si však předem telefonicky dohodněte, to proto, abychom zajistili přítomnost našeho odborného spolupracovníka. A bude-li to možné, pokusíme se Vašim požadavkům hned vyhovět, a nebude-li to možné, sepíše s Vámi náš pracovník příslušnou žádost na místě.
Budete-li mít jakýkoliv dotaz, anebo budete chtít uplatnit své právo, obraťte se na správce osobních údajů, kterým je: Kateřina Sedláčková, e-mailem na: kamos@kamos.cz, osobně na adrese Rodinná 681 / 7 , 700 30 Ostrava, (po telefonické dohodě na tel. čísle: +420 602 23 79 29 bude k dispozici pověřený pracovník)
– jaké jsou lhůty zpracování
Lhůty zpracování se liší podle povahy zpracování. Smlouvy ukládáme po dobu 5 let, faktury po dobu 5 anebo 10 let, to s ohledem na skutečnost, zda se jedná o fakturaci a část ceny tvoří DPH, či nikoliv. Jedná se tedy o problematiku, která nemá jednoduchou odpověď a vztahuje se na ni mnoho zákonů.
– jakým způsobem zpracováváme osobní údaje
Zpracování osobních údajů provádíme ručně, to v případě tištěných materií, dále částečně a i zcela automaticky, to v případě zpracování osobních údajů digitálních, zpracovávaných příslušný programem, provádějícím automatické zpracování.
– co neděláme
Subjekt údajů má právo nebýt předmětem žádného rozhodnutí, založeného výhradně na automatizovaném zpracování či automatickém individuálním rozhodování, včetně profilování, které by pro něj mělo právní účinky, nebo by se ho mohlo obdobným způsobem významně dotknout.
Uvádíme proto, že neprovádíme automatizované zpracování bez vlivu lidského posouzení s právními účinky pro subjekty údajů, nevyužíváme automatické rozhodování a neprofilujeme bez vlivu lidského posouzení s právními účinky pro subjekty údajů, a stejně tak neumožňujeme svým zpracovatelům využití automatického rozhodování, ani profilování bez vlivu lidského posouzení s právními účinky pro subjekty údajů,
– jakým způsobem zabezpečujeme osobní údaje
Veškeré tištěné osobní údaje ukládáme v zabezpečených archivech, které se nachází v běžně nepřístupných, uzamčených prostorách. Veškeré digitální osobní údaje jsou ukládány na firemních serverech, které jsou zabezpečeny prostředky ochrany vysoké kvality. K ochraně používáme antivirovou ochranu všech našich zařízení. Zálohy osobních údajů jsou uloženy na serverech našich zpracovatelů, specializujících se na zabezpečení poskytovaných úložišť. Všechny programové prostředky jsou řádně licencovány a pravidelně aktualizovány.
Systémy zabezpečení jsou pravidelně kontrolovány a modernizovány tak, aby bylo minimalizováno riziko vzniku bezpečnostního incidentu.
PRÁVO VZNÉST NÁMITKU
I přesto, že je toto právo popsáno v předchozím textu, dovolujeme si Vás na něj ještě jednou upozornit, to samostatně, dle povinnosti, uvedené v čl. 21, odst. 4, Nařízení GDPR.
1. Subjekt údajů má, z důvodů, týkajících se jeho konkrétní situace, právo kdykoliv vznést námitku proti zpracování osobních údajů, které se ho týkají, na základě čl. 6, odst. 1, písm. e) nebo f), Nařízení GDPR, včetně profilování, založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo určení, výkon nebo obhajobu právních nároků.
2. Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoliv námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.