WOLT REGISTRACE

GDPR – Zásady ochrany osobních údajů

ORGANIZAČNÍ SMĚRNICE PRO ZPRACOVÁNÍ A OCHRANU OSOBNÍCH ÚDAJŮ V ORGANIZACI

Podle ustanovení nařízení evropského parlamentu a rady (EU) 2016/679, ze dne 27. dubna 2016 o ochraně fyzických osob při zpracovávání osobních údajů ao volném pohybu takových údajů, (dále jen GDPR) a podle ustanovení zákona 18/2018 s.z., ze dne 29. listopadu 2017 o ochraně osobních údajů ao změně některých zákonů, (dále jen ZoOOÚ)

Obsahuje technická a organizační opatření, která se naše společnost zavázala dodržovat, jelikož je podle článku 24 GDPR s ohledem na povahu, rozsah, kontext a účely zpracování, jakož i na rizika s různou pravděpodobností a závažností pro práva a svobody fyzických osob odpovědná, aby zajistila a byla schopna prokázat, že zpracování se provádí v souladu s nařízením GDPR.

Společnost:

Název: My doručujeme CZ s.r.o.

Adresa: Příčná 1892/4, 110 00  Praha

IČ: 140 39 605

Kontrolní úřad:

Úřad pro ochranu osobních údajů České republiky

Pplk. Sochora 27, 170 00  Praha 7

Tel: +420 234 665 800, +420 234 665 111

E-mail: posta@uoou.cz

(dále jen „dozorový orgán“)

1. VYMEZENÍ ZÁKLADNÍCH POJMŮ

dotčenou osobou každá fyzická osoba, jejíž osobní údaje se zpracovávají,

provozovatelem každý, kdo sám nebo společně s jinými vymezí účel a prostředky zpracování osobních údajů a zpracovává osobní údaje vlastním jménem; provozovatel nebo konkrétní požadavky na jeho určení mohou být stanoveny ve zvláštním předpisu nebo mezinárodní smlouvě, kterou je Česká republika vázána, pokud takový předpis nebo tato smlouva stanoví účel a prostředky zpracování osobních údajů,

zprostředkovatelem každý, kdo zpracovává osobní údaje jménem provozovatele,

zpracováním osobních údajů zpracovatelská operace nebo soubor zpracovatelských operací s osobními údaji nebo se soubory osobních údajů, zejména získávání, zaznamenávání, pořádání, strukturování, uchovávání, změna, vyhledávání, prohlížení, využívání, poskytování přenosem, šířením nebo jiným způsobem, přeskupování nebo kombinování, omezení , vymazání, bez ohledu na to, zda se provádí automatizovanými prostředky nebo neautomatizovanými prostředky,

souhlasem dotčené osoby jakýkoli vážný a svobodně daný, konkrétní, informovaný a jednoznačný projev vůle dotyčné osoby ve formě prohlášení nebo jednoznačného potvrzujícího úkonu, kterým dotyčná osoba vyjadřuje souhlas se zpracováním svých osobních údajů

informačním systémem jakýkoli uspořádaný soubor osobních údajů, které jsou přístupné podle určených kritérií, bez ohledu na to, zda se jedná o systém centralizovaný, decentralizovaný nebo distribuovaný na funkčním základě nebo geografickém základě,

biometrickými údaji osobní údaje, které jsou výsledkem zvláštního technického zpracování osobních údajů týkajících se fyzických charakteristických znaků fyzické osoby, fyziologických charakteristických znaků fyzické osoby nebo behaviorálních charakteristických znaků fyzické osoby a které umožňují jedinečnou identifikaci nebo potvrzují jedinečnou identifikaci této fyzické osoby, zejména vyobrazení daktyloskopické údaje,

omezením zpracování osobních údajů označení uchovávaných osobních údajů s cílem omezit jejich zpracování v budoucnosti,

profilováním jakákoli forma automatizovaného zpracování osobních údajů spočívajícího v použití osobních údajů k vyhodnocení určitých osobních znaků nebo charakteristik týkajících se fyzické osoby, zejména k analýze nebo předvídání znaků nebo charakteristik dotčené osoby souvisejících s její výkonností v práci, majetkovými poměry, zdravím, osobními preferencemi, zájmy , spolehlivostí, chováním, polohou nebo pohybem,

pseudonymizací zpracování osobních údajů způsobem, že je nelze přiřadit ke konkrétní dotčené osobě bez použití dodatečných informací, pokud se takové dodatečné informace uchovávají odděleně a vztahují se na ně technická a organizační opatření k zajištění toho, aby osobní údaje nebylo možné přiřadit identifikované fyzické osobě nebo identifikovatelné fyzické osobě,

šifrováním transformace osobních údajů způsobem, kterým opětovné zpracování je možné pouze po zadání zvoleného parametru, jako je klíč nebo heslo,

online identifikátorem identifikátor poskytnutý aplikací, nástrojem nebo protokolem, zejména IP adresa, cookies, přihlašovací údaje do online služeb, radiofrekvenční identifikace, které mohou zanechávat stopy, které se zejména v kombinaci s jedinečnými identifikátory nebo jinými informacemi mohou použít k vytvoření profilu dotčené osoby a na její identifikaci,

porušením ochrany osobních údajů porušení bezpečnosti, které vede k náhodnému nebo nezákonnému zničení, ztrátě, změně nebo k neoprávněnému poskytnutí přenášených, uchovávaných osobních údajů nebo jinak zpracovávaných osobních údajů nebo k neoprávněnému přístupu k nim,

příjemcům každý, komu se osobní údaje poskytnou bez ohledu na to, zda je třetí stranou; za příjemce se nepovažuje orgán veřejné moci, který zpracovává osobní údaje na základě zvláštního předpisu nebo mezinárodní smlouvy, kterou je Slovenská republika vázána, v souladu s pravidly ochrany osobních údajů vztahujícími se k danému účelu zpracování osobních údajů,

třetí stranou každý, kdo není dotčenou osobou, provozovatel, zprostředkovatel nebo jinou fyzickou osobou, která na základě pověření provozovatele nebo zprostředkovatele zpracovává osobní údaje.

2. MAPOVÁNÍ OSOBNÍCH ÚDAJŮ

Naše společnost se v tomto kroku rozhodla definovat, jaké osobní údaje zpracovává, aby byla schopna zanalyzovat zpracování osobních údajů a zajistit soulad s GDPR.

Jednotlivé kategorie osobních údajů si definujeme jako jednotlivé informační systémy.

-IS Zákazníci

Právnická osoba: název firmy, fakturační adresa firmy, IČO, DIČ, DIČ, adresa sídla, jméno a příjmení kontaktní osoby, pracovní pozice kontaktní osoby, telefonní číslo, emailová adresa, fax, web, cookies

účel zpracování: vystavení daňového dokladu, kontakt se zákazníkem, plnění smlouvy, dodání zboží, dodání služeb, reklamace

-IS Zaměstnanci / partneři

Fyzická osoba / Právnická osoba: Jméno příjmení / název firmy, fakturační adresa firmy, IČO, DIČ, DIČ, adresa sídla, jméno a příjmení kontaktní osoby, pracovní pozice kontaktní osoby, telefonní číslo, emailová adresa, fax, web, cookies

účel zpracování: vystavení daňového dokladu, kontakt se zaměstnancem, plnění smlouvy, dodání zboží, dodání služeb, reklamace

-IS Účetnictví

Právnická osoba: název firmy, fakturační adresa firmy, IČO, DIČ, DIČ, název banky, číslo účtu

účel zpracování: vedení účetnictví

-IS Marketing

Jméno, příjmení, telefonní číslo, emailová adresa, cookies

Účel: zasílání marketingových a reklamních emailů, kontaktní formulář, kontakt na sociálních sítích

-IS Doprava

Fyzické osoby: jméno, příjmení, dodací adresa, číslo telefonu

Právnické osoby: název firmy, dodací adresa, kontaktní osoba, číslo telefonu

účel zpracování: dodání zboží, převoz osob, kontakt se zákazníkem, plnění smlouvy

-IS Právní služby

Fyzická osoba: jméno, příjmení, adresa bydliště, telefonní číslo, emailová adresa

Právnická osoba: název firmy, fakturační adresa firmy, IČO, DIČ, DIČ, telefonní číslo, emailová adresa, jméno a příjmení jednatele

účel zpracování: vyhotovení smlouvy, právní služby, vymáhání pohledávek

3. ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ (ČLÁNEK 5 GDPR)

Naše společnost bude dodržovat následující zásady zpracování osobních údajů:

3.1. Zákonnost, spravedlnost a transparentnost (čl. 5 odst. 1 písm. a) GDPR)

Osobní údaje budou zpracovávány zákonným způsobem, spravedlivě a transparentně ve vztahu k dotyčné osobě („zákonnost, spravedlnost a transparentnost“);

3.1.1. Zákonnost zpracování (článek 6 GDPR)

Naše společnost se zavázala zpracovávat údaje jen zákonným způsobem tak, aby nedošlo k porušení základních práv dotyčné osoby.

Zpracování osobních údajů naší společností bude zákonné a to zajištěním, že se provádí na základě alespoň jednoho z těchto právních základů:

a) zpracování je nezbytné pro plnění smlouvy, jejíž smluvní stranou je dotyčná osoba, nebo aby byla na žádost dotyčné osoby provedena opatření před uzavřením smlouvy;
b) zpracování osobních údajů je nezbytné podle zvláštního předpisu nebo mezinárodní smlouvy, kterou je Slovenská republika vázána (§ 13 odst. 1 písm. c ZoOOÚ)
c) zpracování je nezbytné, aby se ochránily životně důležité zájmy dotyčné osoby nebo jiné fyzické osoby;
d) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci svěřené provozovateli;
e) zpracování je nezbytné pro účely oprávněných zájmů, které sleduje provozovatel nebo třetí strana, s výjimkou případů, kdy nad takovými zájmy převažují zájmy nebo základní práva a svobody dotyčné osoby, které vyžadují ochranu osobních údajů, zejména je-li dotyčnou osobu dítě.

Právní základ pro jednotlivé informační systémy (IS) jsou následující:

-IS zákazníci

Právní základ – čl. 6 odst. 1 písm. 1. písmeno c) GDPR – zpracování osobních údajů (jméno, příjmení, titul, ulice a číslo, PSČ, město) je nezbytné podle zvláštního předpisu nebo mezinárodní smlouvy, kterou je Slovenská republika vázána. Především podle zákona 222/2004 Sb. o dani z přidané hodnoty

Právní základ – čl. 6 odst. 1 písm. 1. písmeno b) GDPR – zpracování osobních údajů je nezbytné pro plnění smlouvy.

-IS zaměstnanci / partneři

Právní základ – čl. 6 odst. 1 písm. 1. písmeno c) GDPR – zpracování osobních údajů (jméno, příjmení, titul, ulice a číslo, PSČ, město) je nezbytné podle zvláštního předpisu nebo mezinárodní smlouvy, kterou je Slovenská republika vázána.

Právní základ – čl. 6 odst. 1 písm. 1. písmeno b) GDPR – zpracování osobních údajů je nezbytné pro plnění smlouvy.

-IS Účetnictví

Právní základ – čl. 6 odst. 1 písm. 1. písmeno c) GDPR – zpracování osobních údajů je nezbytné podle zvláštního předpisu nebo mezinárodní smlouvy, kterou je Slovenská republika vázána. Především podle zákona 222/2004 Sb. o dani z přidané hodnoty ve znění pozdějších předpisů

Právní základ – čl. 6 odst. 1 písm. c) GDPR Čl. 6 odst. 1 písm. 1. písmeno c) GDPR -zákon č.j. 431/2002 Sb. o účetnictví

-IS Marketing

Právní základ – čl. 6 odst. 1 písm. 1. písmeno a) GDPR – dotyčná osoba vyjádřila souhlas se zpracováním svých osobních údajů alespoň pro jeden konkrétní účel

-IS Doprava

Právní základ – čl. 6 odst. 1 písm. 1. písmeno b) GDPR – zpracování osobních údajů (jméno, příjmení / název firmy a jméno kontaktní osoby, dodací adresa, telefonní kontakt) je nezbytné pro plnění smlouvy.

-IS Právní služby

Právní základ – čl. 6 odst. 1 písm. 1. písmeno c) GDPR – zpracování osobních údajů je nezbytné podle zvláštního předpisu nebo mezinárodní smlouvy, kterou je Slovenská republika vázána. Především podle zákona 311/2001 Sb. Zákoník práce

Právní základ – čl. 6 odst. 1 písm. 1. písmeno c) GDPR – zpracování osobních údajů je nezbytné podle zvláštního předpisu nebo mezinárodní smlouvy, kterou je Slovenská republika vázána. Především podle zákona 513/1991 Sb. Obchodní zákoník

Právní základ – čl. 6 odst. 1 písm. 1. písmeno b) GDPR – zpracování osobních údajů (email, telefonní kontakt) je nezbytné pro plnění smlouvy.

3.2. Zásada omezení účelu (čl. 5 odst. 1 písm. b) GDPR)

Naše společnost bude získávat osobní údaje pouze pro konkrétně určené, výslovně uvedené a legitimní účely a nesmí se dále zpracovávat způsobem, který není slučitelný s těmito účely. Naše společnost informuje dotyčnou osobu o účelu zpracování osobních údajů před jejich zpracováním.

V části mapování osobních údajů jsme si stanovili účely zpracování jednotlivých IS a osobní údaje budeme zpracovávat pouze pro účely uvedené v této části.

3.3. Zásada minimalizace osobních údajů (čl. 5 odst. 1 písm. c) GDPR)

Naše společnost bude zpracovávat osobní údaje tak, aby toto zpracování přiměřené, relevantní a omezené na nezbytný rozsah daný účelem, pro který se zpracovávají.

S cílem zajistit minimalizaci osobních údajů se naše společnost rozhodla zanalyzovat, zda jsou zpracovávané údaje přiměřené, relevantní a omezené na rozsah, který je nezbytný vzhledem k účelům, pro které se zpracovávají.

Analyzují se následující kategorie, konkrétní druhy osobních údajů jsou uvedeny v části „mapování osobních údajů“.

-IS Zákazníci

Všechny zpracovávané údaje jsou nezbytné. Jsou zpracovávány pro účely vystavení daňového dokladu, kontaktu se zákazníkem a plnění smlouvy.

-IS Zaměstnanci / partneři

Všechny zpracovávané údaje jsou nezbytné. Jsou zpracovávány pro účely přípravy pracovní smlouvy, kontaktu se zaměstnancem a plnění smlouvy.

-IS Účetnictví

Všechny zpracovávané údaje jsou nezbytné. Jsou zpracovávány pro účely vystavení daňového dokladu a plnění smlouvy.

-IS Marketing

Všechny zpracovávané údaje jsou nezbytné.

-IS Doprava

Všechny zpracovávané údaje jsou nezbytné. Jsou zpracovávány pro účely dodání zboží zákazníkovi, kontaktu se zákazníkem a plnění smlouvy.

-IS Právní služby

Všechny zpracovávané údaje jsou nezbytné. Jsou zpracovávány pro účely vypracování smluv, vymáhání pohledávek, právního poradenství.

3.4. Zásada správnosti (čl. 5 odst. 1 písm. d) GDPR)

Naše společnost bude zpracovávat osobní údaje tak, aby byly správné a podle potřeby aktualizovány; a přijme přiměřená a účinná opatření k zajištění toho, aby se osobní údaje, které jsou nesprávné z hlediska účelů, pro které jsou zpracovávány, bez zbytečného odkladu vymazány nebo opraveny.

K zajištění zásady správnosti má naše společnost v písemném souhlasu se zpracováním osobních údajů následující formulaci:

„Dotyčná osoba je povinna poskytnout pravdivé a aktuální osobní údaje. V případě změny osobních údajů je dotyčná osoba povinna změnu neprodleně oznámit provozovateli.“

3.5. Zásada minimalizace uchovávání (čl. 5 odst. 1 písm. e) GDPR)

Osobní údaje bude naše společnost uchovávat ve formě, která umožňuje identifikaci dotyčné osoby nejpozději do doby, kdy je to potřebné pro účel, pro který se osobní údaje zpracovávají.

3.6. Zásada integrity a důvěrnosti (čl. 5 odst. 1 písm. f) GDPR)

Osobní údaje budou v naší společnosti zpracovávány způsobem, který zaručuje přiměřenou bezpečnost osobních údajů včetně ochrany před neoprávněným zpracováváním osobních údajů, nezákonným zpracováváním osobních údajů, náhodnou ztrátou osobních údajů, výmazem osobních údajů nebo poškozením osobních údajů a to prostřednictvím přiměřených technických nebo organizačních opatření.

3.6.1. Osobní údaje uložené v elektronických dokumentech

Naše společnost používá antivirus od firmy Windows / ESET a firewall Windows Defender Firewall

Každý zaměstnanec má individuální přístupové heslo a má přístup pouze ke složkám, které jsou v jeho kompetenci.

Připojení na internet: UPC Slovensko

3.6.2. Osobní údaje uložené v papírové (vytištěné) podobě

Fyzické dokumenty jsou uloženy v obalech a v šanonech, čímž je zajištěna ochrana před poškozením.

Šanony s fyzickými dokumenty jsou uloženy:

  • ve skříňce
    v zamčené kanceláři

Tak je zajištěno, že se k těmto dokumentům dostanou pouze oprávněné osoby

Fyzické dokumenty se likvidují pomocí skartovačky.

3.7. Zásada odpovědnosti (čl. 5 odst. 2 GDPR)

Naše společnost je zodpovědná za dodržování základních zásad zpracování osobních údajů, za soulad zpracování osobních údajů se zásadami zpracování osobních údajů a je povinna tento soulad se zásadami zpracování osobních údajů na požádání úřadu prokázat.

4. PODMÍNKY POSKYTNUTÍ SOUHLASU SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ (ČLÁNEK 7 GDPR)

Společnost zajistí splnění následujících podmínek při vyjádření souhlasu dotyčnou osobou

a) souhlas se zpracováním osobních údajů musí být vyjádřen svobodně, konkrétně, informovaně a jednoznačným projevem vůle.
b) žádost o vyjádření souhlasu musí být podána tak, aby byla jasně odlišitelná od těchto jiných skutečností, ve srozumitelné a snadno dostupné formě a formulována jasně a jednoduše.
c) dotyčná osoba má právo kdykoli odvolat svůj souhlas. Odvolání souhlasu nemá vliv na zákonnost zpracování vycházejícího ze souhlasu před jeho odvoláním. Před poskytnutím souhlasu musí být dotyčná osoba o této skutečnosti informována. Odvolání souhlasu musí být tak jednoduché jako jeho poskytnutí.

Naše společnost zrevidovala písemné souhlasy se zpracováním osobních údajů, aby splňovaly požadavky GDPR.

5. PODMÍNKY UPLATNITELNÉ NA SOUHLAS DÍTĚTE V SOUVISLOSTI SE SLUŽBAMI INFORMAČNÍ SPOLEČNOSTI (ČLÁNEK 8 GDPR)

Pokud se poużije ćl. 1 písm. a), v souvislosti s nabídkou služeb informační společnosti adresovanou přímo dítěti je zpracování osobních údajů dítěte zákonné, jen pokud je dítě alespoň 16 let. Je-li dítě mladší 16 let, takové zpracování je zákonné pouze za podmínky a v rozsahu, v jakém takový souhlas vyjádřil nebo schválil nositel rodičovské zodpovědnosti.

Naše společnost vynaloží přiměřené úsilí, aby si v takových případech ověřila, že nositel rodičovské zodpovědnosti vyjádřil souhlas nebo jej schválil, přičemž zohlední dostupnou technologii.

6. ZPRACOVÁNÍ ZVLÁŠTNÍCH KATEGORIÍ OSOBNÍCH ÚDAJŮ (ČLÁNEK 9 GDPR)

Podle GDPR se zakazuje zpracování osobních údajů, které odhalují rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení nebo členství v odborových organizacích, a zpracování genetických údajů, biometrických údajů pro individuální identifikaci fyzické osoby, údajů týkajících se zdraví nebo údajů týkajících se sexuálního života nebo sexuální orientace fyzické osoby.

Tento zákaz se však nepoužije, platí-li některá z podmínek či. 2 GDPR písm. a)–j)

Naše společnost zpracovává údaje týkající se zdraví na základě podmínky či. 2 GDPR písm. b) zpracování je nezbytné pro účely plnění povinností a výkonu zvláštních práv provozovatele nebo subjektu údajů v oblasti pracovního práva a práva sociálního zabezpečení a sociální ochrany.

7. PRÁVA DOTKNUTÉ OSOBY (KAPITOLA 3 GDPR)

Práva dotyčné osoby jsou upravena kapitolou 3 GDPR a naše společnost se zavazuje je dodržovat.

Jedná se například o následující práva:

7.1. Informace, které mají být poskytovány při získávání osobních údajů od dotyčné osoby (článek 13 GDPR)

Naše společnost poskytne dotyčné osobě při zpracování osobních údajů následující informace:

a) údaje o naší společnosti
b) kontaktní údaje případné odpovědné osoby;
c) účely zpracování
d) právní základ zpracování
e) pokud je zpracování založeno na čl. 6 odst. 1 písm. 1 písm. f) GDPR, oprávněné zájmy, které sleduje provozovatel nebo třetí strana;
f) příjemci nebo kategorie příjemců osobních údajů, pokud existují;
g) v relevantním případě informace o tom, že naše společnost zamýšlí přenést osobní údaje do třetí země nebo mezinárodní organizaci
h) doba uchovávání osobních údajů nebo, není-li to možné, kritéria pro její určení;
i) existence práva požadovat od provozovatele přístup k osobním údajům týkajícím se subjektu údajů a práva na jejich opravu nebo vymazání nebo omezení zpracování, nebo práva namítat proti zpracování, jakož i práva na přenositelnost údajů;
j) pokud je zpracování založeno na či. 1 písm. a) nebo na či. 2 písm. a) GDPR, existence práva kdykoli svůj souhlas odvolat, aniž by to mělo vliv na legalitu zpracování založeného na souhlasu uděleném před jeho odvoláním;
k) právo podat stížnost orgánu dozoru;
l) informace o tom, zda je poskytování osobních údajů zákonným nebo smluvním požadavkem, nebo požadavkem, který je nezbytný k uzavření smlouvy, zda je dotyčná osoba povinna poskytnout osobní údaje, jakož i možné následky neposkytnutí takových údajů;
m) existence automatizovaného rozhodování, včetně profilování uvedeného v či. 1 a 4 GDPR a alespoň v těchto případech smysluplné informace o použitém postupu, jakož i významu a předpokládaných důsledcích takového zpracování pro dotyčnou osobu.

7.2. Informace, které mají být poskytnuty, pokud osobní údaje nebyly získány od subjektu údajů (článek 14 GDPR)

Naše společnost poskytne dotyčné osobě, pokud tyto osobní údaje nebyly získány od ní, veškeré informace uvedené v bodě 7.1 této organizační směrnice a také z jakého zdroje pocházejí osobní údaje, případně informace o tom, zda údaje pocházejí z veřejně přístupných zdrojů.

Tyto informace poskytne naše společnost dotyčné osobě v přiměřené lhůtě po obdržení osobních údajů, nejpozději však do jednoho měsíce, přičemž zohlední konkrétní okolnosti, za kterých se osobní údaje zpracovávají uvedené v či. 3 GDPR

Naše společnost neposkytne dotyčné osobě tyto informace v případech uvedených v či. 5 GDPR, zejména pokud:

a) dotyčná osoba má již dané informace
b) se poskytování takových informací ukáže jako nemožné nebo by vyžadovalo nepřiměřené úsilí
c) se získání nebo poskytnutí výslovně stanoví v právu Unie nebo v právu členského státu, kterému provozovatel podléhá, a ve kterém se stanoví přiměřená opatření na ochranu oprávněných zájmů dotyčné osoby.

7.3. Právo subjektu údajů na přístup k údajům (článek 15 GDPR)

Dotyčná osoba má právo získat od provozovatele potvrzení o tom, zda se zpracovávají osobní údaje, které se jí týkají, a pokud tomu tak je, má právo získat přístup k těmto osobním údajům

7.4. Právo na opravu (článek 16 GDPR)

Dotyčná osoba má právo na to, aby provozovatel bez zbytečného odkladu opravil nesprávné osobní údaje, které se jí týkají. S ohledem na účely zpracování má dotyčná osoba právo na doplnění neúplných osobních údajů, a to i prostřednictvím poskytnutí doplňkového prohlášení.

7.5. Právo na vymazání (právo „k zapomenutí“, článek 17 GDPR)

Dotyčná osoba má také právo dosáhnout u provozovatele bez zbytečného odkladu vymazání osobních údajů, které se jí týkají, a provozovatel je povinen bez zbytečného odkladu vymazat osobní údaje, je-li splněn některý z těchto důvodů:

a) osobní údaje již nejsou potřebné pro účely, pro které byly získávány nebo jinak zpracovávány;
b) dotyčná osoba odvolá souhlas, na jehož základě se zpracování provádí, podle či. 1 písm. a) nebo či. 2 písm. a), a pokud neexistuje jiný právní základ pro zpracování;
c) dotyčná osoba zpochybňuje zpracovávání podle ćl. 1 a nepřevažují žádné oprávněné důvody pro zpracování nebo dotyčná osoba zpochybňuje zpracování podle čl . 21 odst . 2;
d) osobní údaje byly zpracovávány nezákonně;
e) osobní údaje musí být vymazány, aby byla splněna zákonná povinnost podle práva Unie nebo práva členského státu, kterému provozovatel podléhá;
f) osobní údaje byly získávány v souvislosti s nabídkou služeb informační společnosti podle či. 1.

7.6. Právo na omezení zpracování (článek 18 GDPR)

Dotyčná osoba má právo na to, aby provozovatel omezil zpracování, pokud jde o jeden z těchto případů:

a) dotyčná osoba napadne správnost osobních údajů, a to během období umožňujícího provozovateli ověřit správnost osobních údajů;
b) zpracování je protizákonné a dotyčná osoba namítá proti vymazání osobních údajů a žádá místo toho omezení jejich použití;
c) provozovatel již nepotřebuje osobní údaje pro účely zpracování, ale potřebuje je dotyčná osoba k prokázání, uplatňování nebo obhajování právních nároků;
d) dotyčná osoba vznesla námitky vůči zpracování podle čl. 21 odst. 1 písm. 1, a to až do ověření, zda oprávněné důvody na straně provozovatele převažují nad oprávněnými důvody dotyčné osoby.

Oznamovací povinnost v souvislosti s opravou nebo vymazáním osobních údajů nebo omezením zpracování (článek 19 GDPR)

Provozovatel oznámí každému příjemci, jemuž byly osobní údaje poskytnuty, každou opravu nebo vymazání osobních údajů nebo omezení zpracování provedené podle článku 16, čl. 17 odst. 1 písm. 1 a článku 18, pokud se to neukáže jako nemožné nebo si to nevyžaduje nepřiměřené úsilí. Provozovatel o těchto příjemcích informuje dotyčnou osobu, pokud to dotyčná osoba požaduje.

7.7. Právo na přenosnost údajů (článek 20 GDPR)

Dotyčná osoba má právo získat osobní údaje, které se jí týkají a které poskytla provozovateli, ve strukturovaném, běžně používaném a strojově čitelném formátu a má právo přenést tyto údaje dalšímu provozovateli, aniž by její provozovatel, kterému byly tyto osobní údaje poskytnuty, bránil, pokud:

a) se zpracování zakládá na souhlasu podle čl. 6 odst. 1 písm. 1 písm. a) nebo či. 2 písm. a) nebo na smlouvě podle či. 1 písm. b), a
b) pokud se zpracování provádí automatizovanými prostředky.

Dotčená osoba má při uplatňování svého práva na přenosnost údajů podle odstavce 1 právo na přenos osobních údajů přímo od jednoho provozovatele druhému provozovateli, pokud je to technicky možné.

7.8. Právo namítat (článek 21 GDPR)

Dotčená osoba má právo kdykoli vznést námitky z důvodů týkajících se její konkrétní situace proti zpracovávání osobních údajů, které se jí týká, které je vykonáváno na základě či. 1 písm. e) nebo f), včetně námitky proti profilování založené na uvedených ustanoveních.

7.9. Automatizované individuální rozhodování včetně profilování (článek 22 GDPR)

Dotyčná osoba má právo na to, aby se na ni nevztahovalo rozhodnutí, které je založeno výlučně na automatizovaném zpracování, včetně profilování, a které má právní účinky, které se jí týkají nebo ji podobně významně ovlivňují.

8. ODPOVĚDNOST PROVOZOVATELE (ČLÁNEK 24 GDPR)

Naše společnost se jako provozovatel zavazuje dodržovat následující obecné povinnosti:

a) S ohledem na povahu, rozsah a účel zpracování osobních údajů a na rizika s různou pravděpodobností a závažností pro práva fyzické osoby se zavazujeme přijmout vhodná technická a organizační opatření k zajištění a prokázání toho, že zpracování osobních údajů se provádí v souladu s GDPR.
b) Uvedená opatření budeme podle potřeby aktualizovat.
c) Budeme pravidelně prověřovat trvání účelu zpracování osobních údajů a po jeho splnění bez zbytečného odkladu zajistit výmaz osobních údajů
d) Naše společnost bude zachovávat mlčenlivost o osobních údajích, které zpracovává. Povinnost mlčenlivosti trvá i po ukončení zpracování osobních údajů.

9. SPECIFICKY NAVRŽENÁ A STANDARDNÍ OCHRANA OSOBNÍCH ÚDAJŮ (ČLÁNEK 25 GDPR)

Naše společnost se zavazuje před zpracováváním osobních údajů zavést a během zpracování osobních údajů mít zavedenou specificky navrženou ochranu osobních údajů, která spočívá v přijetí přiměřených technických a organizačních opatření, například i ve formě pseudonymizace, na účinné zavedení přiměřených záruk ochrany osobních údajů a dodržování nařízení GDPR .

Naše společnost se zavazuje při specificky navržené ochraně osobních údajů zohlednit nejnovější poznatky ochrany osobních údajů, náklady na provedení opatření, povahu, rozsah, kontext a účel zpracovávání osobních údajů a rizika zpracovávání osobních údajů s různou pravděpodobností a závažností, které zpracovávání osobních údajů představuje pro práva dotyčné osoby.

Naše společnost se zavazuje zavést standardní ochranu osobních údajů, která spočívá v přijetí přiměřených technických a organizačních opatření k zajištění zpracování osobních údajů pouze pro konkrétní účel, minimalizaci množství získaných osobních údajů a rozsahu jejich zpracování, doby uchovávání a dostupnosti osobních údajů. Naše společnost zajistí, aby osobní údaje nebyly bez zásahu fyzické osoby standardně přístupné neomezenému počtu fyzických osob.

10. ZPROSTŘEDKOVATEL (ČLÁNEK 28 GDPR)

Zprostředkovatel je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje jménem provozovatele.

Naše společnost jako provozovatel využívá zprostředkovatelů, kteří jejím jménem zpracovávají osobní údaje. Jedná se například o účetnické a právnické společnosti.

Pro naši společnost zpracovávají údaje následující zprostředkovatelé

atax, s.r.o. Jelačičova 8 Bratislava 82108 IČ: 45 729 310

Naše společnost bude využívat pouze zprostředkovatelů poskytujících dostatečné záruky k tomu, že se přijmou přiměřená technická a organizační opatření tak, aby zpracování splňovalo požadavky GDPR a aby se zajistila ochrana práv dotyčné osoby.

Zpracování zprostředkovatelem pro naši společnost se řídí „smlouvou o zpracování osobních údajů“. Zavazuje zprostředkovatele vůči provozovateli a stanoví se jí předmět a doba zpracování, povaha a účel zpracování, typ osobních údajů a kategorie dotčených osob a povinnosti a práva provozovatele a zprostředkovatele.

Naše společnost podepíše dodatky ke smlouvám se zmíněnými zprostředkovateli, aby smlouvy splňovaly všechny náležitosti GDPR.

11. ZÁZNAMY O ZPRACOVATELSKÝCH ČINNOSTECH (ČLÁNEK 30 GDPR)

11.1. Záznamy o zpracovatelských činnostech provozovatele

Naše společnost jako provozovatel vede záznamy o zpracovatelských činnostech a na požádání je zpřístupní dozorovému orgámu. Tyto záznamy obsahují následující údaje:

a) jméno/název a kontaktní údaje provozovatele a v příslušném případě společného provozovatele, zástupce provozovatele a odpovědné osoby;
b) účely zpracování;
c) popis kategorií subjektů údajů a kategorií osobních údajů;
d) kategorie příjemců, kterým byly nebo budou osobní údaje poskytnuty, včetně příjemců ve třetích zemích nebo mezinárodních organizací;
e) v příslušných případech předávání osobních údajů do třetí země nebo mezinárodní organizaci, včetně označení dotčené třetí země nebo mezinárodní organizace, a v případě přenosů uvedených v čl. 49 odst. 1 písm. 1 druhém pododstavci GDPR dokumentaci přiměřených záruk;
f) pokud možno předpokládané lhůty pro vymazání různých kategorií údajů;
g) pokud možno obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1 písm. 1. GDPR
11.2. Záznamy o zpracovatelských činnostech zprostředkovatele

Naše společnost jako zprostředkovatel vede záznamy o zpracovatelských činnostech a na požádání je zpřístupní dozorovému orgámu. Tyto záznamy obsahují následující údaje:

a) jméno/název a kontaktní údaje zprostředkovatele nebo zprostředkovatelů a každého provozovatele, jehož jménem zprostředkovatel jedná, av příslušném případě zástupce provozovatele nebo zprostředkovatele a odpovědné osoby;
b) kategorie zpracování prováděného jménem každého provozovatele;
c) v příslušných případech předávání osobních údajů do třetí země nebo mezinárodní organizaci, včetně označení dotčené třetí země nebo mezinárodní organizace, a v případě přenosů uvedených v čl. 49 odst. 1 písm. 1 druhém pododstavci dokumentaci přiměřených záruk;
d) pokud možno obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 2; 1. GDPR.

12. BEZPEČNOST ZPRACOVÁNÍ (ČLÁNEK 32 GDPR)

Naše společnost přijme s ohledem na nejnovější poznatky, náklady na provedení opatření a na povahu, rozsah, kontext a účely zpracování, jakož i na rizika s různou pravděpodobností a závažností pro práva a svobody fyzických osob, přiměřená technická a organizační opatření s cílem zajistit úroveň bezpečnosti přiměřenou tomuto riziku.

Pověření zpracovávat osobní údaje (čl. 32 odst. 4 GDPR)

Naše společnost podnikne kroky k zajištění toho, aby každá fyzická osoba jednající na základě pověření provozovatele nebo zprostředkovatele, která má přístup k osobním údajům, zpracovávala tyto údaje pouze na základě našich pokynů s výjimkou případů, kdy je to od ní požadováno podle práva Unie nebo práva členského státu.

13. OZNÁMENÍ PORUŠENÍ OCHRANY OSOBNÍCH ÚDAJŮ DOZORNÍMU ORGÁNU (ČLÁNEK 33 A 34 GDPR)

V případě porušení ochrany osobních údajů naše společnost bez zbytečného odkladu a podle možnosti nejpozději do 72 hodin poté, co se o této skutečnosti dozvěděla, oznámí porušení ochrany osobních údajů dozorčímu orgánu.

Nebylo-li oznámení dozorčímu orgánu předloženo do 72 hodin, připojí se k němu zdůvodnění prodlení.

Oznámení o porušení ochrany osobních údajů bude obsahovat alespoň:

a) popis povahy porušení ochrany osobních údajů včetně, pokud možno, kategorií a přibližného počtu dotčených osob, kterých se porušení týká, a kategorií a přibližného počtu dotčených záznamů o osobních údajích;
b) kontaktní údaje odpovědné osoby v naší společnosti, kde lze získat více informací o porušení ochrany osobních údajů;
c) popis pravděpodobných následků porušení ochrany osobních údajů;
d) popis opatření přijatých nebo navrhovaných provozovatelem s cílem napravit porušení ochrany osobních údajů, včetně případných opatření ke zmírnění jeho potenciálních nepříznivých důsledků.

Naše společnost zdokumentuje každý případ porušení ochrany osobních údajů včetně skutečností spojených s porušením ochrany osobních údajů, jeho následky a přijatá opatření k nápravě.

V případě porušení ochrany osobních údajů, které pravděpodobně povede k vysokému riziku pro práva a svobody fyzických osob, naše společnost bez zbytečného odkladu oznámí porušení ochrany osobních údajů dotyčné osobě.

14. POSOUZENÍ DOPADŮ NA OCHRANU ÚDAJŮ (ČLÁNEK 35)

Pokud typ zpracování, zejména s využitím nových technologií a s ohledem na povahu, rozsah, kontext a účely zpracování pravděpodobně povede k vysokému riziku pro práva a svobody fyzických osob, provede provozovatel před zpracováním posouzení dopadu plánovaných zpracovatelských operací na ochranu osobních údajů.

Posouzení dopadů na ochranu údajů se vyžaduje zejména v případech:

a) systematického a rozsáhlého hodnocení osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování včetně profilování a ze kterého vycházejí rozhodnutí s právními účinky týkajícími se fyzické osoby nebo s podobně závažným vlivem na ni;
b) zpracování ve velkém rozsahu zvláštních kategorií údajů podle čl. 9 odst. 1 písm. 1 nebo osobních údajů týkajících se uznání viny za trestné činy a přestupky podle článku 10, nebo
c) systematického sledování veřejně přístupných míst ve velkém rozsahu.

Zpracovatelské činnosti naší společnosti nezahrnují případy uvedené výše, z tohoto důvodu není nutné provést posouzení vlivu na ochranu osobních údajů.

15. URČENÍ ZODPOVĚDNÉ OSOBY (KAPITOLA 4 ODDÍL 4 GDPR)

Provozovatel je povinen určit odpovědnou osobu, pokud

a) zpracování osobních údajů provádí orgán veřejné moci nebo veřejnoprávní instituce kromě soudů při výkonu jejich soudní pravomoci,
b) hlavními činnostmi provozovatele nebo zprostředkovatele jsou zpracovatelské operace, které vzhledem ke své povaze, rozsahu nebo účelu vyžadují pravidelné a systematické sledování subjektu údajů ve velkém rozsahu nebo
c) hlavními činnostmi provozovatele nebo zprostředkovatele je zpracovávání zvláštních kategorií osobních údajů podle článku 9 GDPR ve velkém rozsahu nebo zpracovávání osobních údajů týkajících se uznání viny za spáchání trestného činu nebo přestupku podle článku 10 GDPR ve velkém rozsahu.

Jelikož naše společnost nesplňuje ani jednu ze zmíněných podmínek, zodpovědnou osobu neurčuje.

16. PŘENOS OSOBNÍCH ÚDAJŮ DO TŘETÍ ZEMĚ NEBO MEZINÁRODNÍ ORGANIZACE

Přenos osobních údajů, které jsou zpracovávány nebo jsou určeny ke zpracování po přenosu do třetí země nebo mezinárodní organizace, se může uskutečnit pouze tehdy, pokud provozovatel a zprostředkovatel dodržují podmínky včetně podmínek následného přenosu osobních údajů z dotčené třetí země nebo od dotčené mezinárodní organizace do jiné. třetí země nebo jiné mezinárodní organizace.

Úřad pro ochranu osobních údajů zveřejňuje na své webové stránce seznam třetích zemí, území a určených sektorů v dané třetí zemi a mezinárodních organizací, u nichž Evropská komise rozhodla, že v nich je zaručena přiměřená úroveň ochrany nebo již přestala být přiměřená úroveň ochrany zaručena.

Naše společnost bude tento seznam pravidelně sledovat a při přenosu osobních údajů do zemí mimo seznam úřadu na ochranu osobních údajů, bude postupovat podle kapitoly 4 GDPR.

17. MLČANLIVOST (§ 79 ZOOOÚ)

Naše společnost je povinna zachovávat mlčenlivost o osobních údajích, které zpracovává. Povinnost mlčenlivosti trvá i po ukončení zpracování osobních údajů.

Naše společnost je také povinna zavázat mlčenlivostí o osobních údajích fyzické osoby, které přijdou do styku s osobními údaji u provozovatele nebo zprostředkovatele. Povinnost mlčenlivosti podle první věty musí trvat i po skončení pracovního poměru, státně zaměstnaneckého poměru, služebního poměru nebo obdobného pracovního vztahu této fyzické osoby.