GDPR
POUČENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Poučení o zpracování osobních údajů v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a poučení subjektů údajů (dále jen „GDPR“).
Společnost B+B podlahy s.r.o. Vás tímto v souladu s čl. 12 a 21 GDPR informuje o rozsahu zpracovávání osobních údajů a o právech subjektů údajů v souvislosti se zpracováním jejich osobních údajů, které jsou účinné od 25.5.2018.
-
Správce osobních údajů
Společnost B+B podlahy s.r.o. se sídlem Bratří Štefanů 902/71, 500 03 Hradec Králové 3, IČ: 64824365, Spisová značka: C 8680 vedená u rejstříkového soudu v Hradci Králové, (dále jen jako „správce“)
Kontakt na osobu zodpovědnou za agendu spojenou s ochranou osobních údajů na straně Správce:
email: herbstova@bbpodlahy.cz
-
Rozsah zpracování osobních údajů subjektu údajů
-
Osobní údaje jsou zpracovány v rozsahu, v jakém je příslušný subjekt údajů správci nebo zpracovateli poskytl, a to v souvislosti s uzavřením smluvního či jiného právního vztahu se správcem, k plnění zákonných povinností správce, nebo které správce shromáždil jinak a zpracovává je v souladu s platnými právními předpisy.
-
Správce zpracovává údaje se souhlasem subjektu údajů s výjimkou zákonem stanovených případů, kdy zpracování osobních údajů nevyžaduje souhlas subjektu údajů. V souladu se čl. 6 odst. 1 GDPR může správce bez souhlasu subjektu údajů zpracovávat údaje v těchto případech:
• zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů
• zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje
• zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
• zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce
• zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů
-
Zdroje osobních údajů
• přímo od subjektů údajů (registrace a nákupy na prodejně, e-maily, telefon, webové stránky, vizitky aj.)
• dodavatel/zpracovatel
• odběratel
• veřejně přístupné rejstříky, seznamy a evidence
-
Kategorie zpracovávaných osobních údajů
• identifikační a kontaktní údaje sloužící k identifikaci subjektu údajů (jméno, příjmení, titul, datum narození, adresa trvalého pobytu, IČ, DIČ, kontaktní adresa, telefonní číslo, číslo faxu, e-mailová adresa a jiné obdobné informace)
• popisné údaje (např. bankovní spojení)
• další údaje nezbytné pro plnění smlouvy
• údaje poskytnuté nad rámec příslušných zákonů zpracovávané v rámci uděleného souhlasu ze strany subjektu údajů (zpracování fotografií, aj.)
-
Kategorie subjektů údajů
• zákazník
• uchazeč o zaměstnání
• dodavatel služeb (externí účetní, dodavatel IT služeb, dopravce, personální agentura, aj.)
• jiná osoba, které je ve smluvním vztahu ke správci
-
Kategorie příjemců zpracovávaných osobních údajů
• správce
• obchodní partneři
• zpracovatel správce
• dodavatel správce
• další příjemci (např. předání osobních údajů do zahraničí – státy EU)
-
Účel zpracování osobních údajů
Správce zpracovává osobní údaje subjektu údajů pro níže uvedené účely:
• účely obsažené v rámci souhlasu subjektu údajů (tyto jsou specifikovány přímo v samostatném „Souhlasu se zpracováním osobních údajů“)
• jednání o smluvním vztahu
• plnění smlouvy
• ochrana práv správce, příjemce nebo jiných dotčených osob (např. vymáhání pohledávek správce)
• systém archivace vedené na základě zákona nebo nastaveného režimu doby uložení osobních údajů ve společnosti.
• výběrová řízení na volná pracovní místa
• plnění zákonných povinností ze strany správce
• ochrana životně důležitých zájmů subjektu údajů
-
Způsob zpracování a zabezpečení osobních údajů subjektu údajů
• Zpracování osobních údajů provádí správce, ve svých pobočkách a sídle správce, a to jednotlivými pověřenými zaměstnanci správce, příp. zpracovatelem správce.
• Ke zpracování dochází prostřednictvím výpočetní techniky, popř. i manuálním způsobem u osobních údajů v listinné podobě za dodržení všech bezpečnostních zásad pro správu a zpracování osobních údajů. Za tímto účelem přijal správce technickoorganizační opatření k zajištění ochrany osobních údajů, zejména opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
• Veškeré subjekty, kterým mohou být osobní údaje zpřístupněny, respektují právo subjektů údajů na ochranu soukromí a jsou povinny postupovat dle platných právních předpisů týkajících se ochrany osobních údajů.
• Správce zároveň informuje subjekt údajů, že používá kamerový systém se záznamovým zařízením. Účel provozování kamerového systému je ochrana majetku a bezpečnosti osob a správce pořizuje pouze obrazové záznamy. Správce informuje subjekty údajů o používání kamerového systému pomocí označení na budově. Záznamy jsou uchovávány po dobu 60 dní od pořízení záběru a poté dle provozního řádu smazán. O smazání údaje je proveden záznam.
-
Oznamování případů porušení zabezpečení osobních údajů subjektu údajů
a) Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů subjektu údajů bude mít za následek vysoké riziko pro jeho práva a svobody, má správce povinnost toto porušení subjektu údajů bez zbytečného odkladu oznámit.
b) Oznámení se však nevyžaduje, je-li splněna kterákoli z těchto podmínek:
• Správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita, zejména taková, která činí tyto osobní údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;
• Správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektu údajů se již pravděpodobně neprojeví;
• Oznámení by vyžadovalo nepřiměřené úsilí.
-
Doba zpracování osobních údajů
• V souladu se lhůtami uvedenými v příslušných smlouvách, archivačním a skartačním řádu správce či v příslušných právních předpisech jde o dobu nezbytně nutnou k zajištění práv a povinností plynoucích jak ze závazkového vztahu, tak i z příslušných právních předpisů.
• Bližší specifikace doby zpracování údajů u některých kategorií subjektů údajů:
-
Zákazník (neplatí pro zákazníky, kteří objednávají přes e-shop správce) – osobní údaje jsou uchovávány v obchodní databázi správce po dobu 13 let
-
Uchazeč o zaměstnání – po dobu nezbytně nutnou v rámci výběrového řízení (nejdéle po dobu 6 měsíců, následně pouze v případě udělení výslovného souhlasu uchazeče)
• V případě zpracovávání osobních údajů subjektu údajů založených na získání souhlasu subjektu údajů je doba zpracování specifikována v samostatném dokumentu - „Souhlas se zpracováním osobních údajů“.
-
Poučení subjektu údajů o právech spojených se zpracováním osobních údajů
Poskytnutí osobních údajů subjektem údajů správci není povinností. Bude-li se subjekt údajů domnívat, že správce nebo zpracovatel osobních údajů zpracovává osobní údaje v rozporu s ochranou osobního a soukromého života nebo v rozporu se zákonem má níže uvedená práva.
-
Práva na přístup k osobním údajům a informacím
-
Subjekt údajů má právo získat od správce potvrzení o tom, že jsou jeho údaje správcem zpracovávány, toto potvrzení mu bude bez zbytečného odkladu předáno.
-
V případě, že správce zpracovává osobní údaje subjektu údajů má tento nárok na přístup ke svým osobním údajů a na následující informace:
• účel zpracování
• kategorie dotčených osobních údajů
• příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny
• plánovaná doba, po kterou budou osobní údaje uloženy
• veškeré dostupné informace o zdroji osobních údajů, pokud nebyly získány přímo od subjektu údajů
• informace o tom, že subjekt údajů má právo požadovat od správce opravu nebo výmaz osobních údajů, omezení jejich zpracování či právo vznést námitku proti tomuto zpracování
• informace o tom, že subjekt údajů má právo na podání stížnosti u ÚOOÚ
• informace o tom, zda dochází k automatizovanému rozhodování, vč. profilování, o použitém postupu, jakož i významu a předpokládaných důsledcích takového zpracování.
-
Subjekt údajů má právo na poskytnutí kopie svých osobních údajů zpracovávaných správcem nebo zpracovatelem. Za poskytnutí kopie je správce oprávněn požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace.
-
Právo na opravu
Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se jej týkají. S přihlédnutím k účelům zpracování má právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.
-
Právo na výmaz
Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se jej týkají, pokud je dán jeden z těchto důvodů:
-
Osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány
-
Subjekt údajů odvolal souhlas na jehož základě byly osobní údaje zpracovávány, a neexistuje žádný další právní důvod pro zpracování
-
Subjekt údajů vznesl námitky proti zpracování podle čl. 21 odst. 1 GDPR a neexistují žádné převažující oprávněné důvody pro zpracování nebo vznesl námitky proti zpracování podle čl. 21 odst. 2 GDPR
-
Osobní údaje byly zpracovány protiprávně
-
Osobní údaje musí být vymazány ke splnění právní povinnosti
Právo na výmaz se neuplatní, pokud je zpracování osobních údajů subjektu údajů nezbytné v rámci zákonné výjimky:
-
pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Evropské unie nebo jejího členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, pokud by jím byl správce pověřen;
-
pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely v souladu s čl. 89 odst. 1 GDPR;
-
pro určení, výkon nebo obhajobu právních nároků.
-
Právo na omezení zpracování
• Subjekt údajů má právo na to, aby správce omezil zpracování v kterémkoli z těchto případů:
a) pokud by subjekt údajů popíral přesnost svých osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit
b) zpracování je protiprávní a subjekt údajů by výmaz svých osobních údajů odmítl a žádal by místo toho o omezení jejich použití
c) správce již osobní údaje subjektu údajů nepotřebuje pro účely zpracování, avšak subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků
d) subjekt údajů by vznesl námitku proti zpracování podle čl. 21 odst. 1 GDPR, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.
• Pokud bylo zpracování omezeno, mohou být tyto osobní údaje subjektu údajů, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Evropské unie nebo některého jejího členského státu.
-
Automatizované zpracování
Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něj právní účinky nebo se jej obdobným způsobem významně dotýká. Toto neplatí, pokud je rozhodnutí:
-
Nezbytné k uzavření nebo plnění smlouvy mezi jím a správcem;
-
Povoleno právem Evropské unie nebo jejího členského státu, které se na správce vztahuje, a které rovněž stanoví vhodná opatření zajišťující ochranu jeho práv a svobod a oprávněných zájmů;
-
Založeno na výslovném souhlasu subjektu údajů
-
Právo vznést námitku
-
Subjekt údajů má právo na podání námitky proti zpracovávání svých osobních údajů a to kdykoliv během doby zpracovávání osobních údajů z důvodů týkajících se konkrétní situace subjektu údajů, na základě čl. 6 odst. 1 písm. f) GDPR, včetně profilování založeného na těchto ustanoveních. Správce nebude zpracovávat osobní údaje subjektu údajů, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy subjektu údajů nebo právy a svobodami, nebo pro určení, výkon nebo obhajobu právních nároků.
-
mohu uplatnit své právo vznést námitku automatizovanými prostředky pomocí technických specifikací.
-
Právo odvolat souhlas
Subjekt údajů má kdykoliv právo odvolat udělený souhlas se zpracování svých osobních údajů, v případech kdy je udělený souhlas zákonem vyžadován. Odvoláním souhlasu subjektu údajů není dotčeno zpracování osobních údajů před jeho odvoláním.
-
Právo na podání stížnosti
-
Každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může:
• Požádat správce o vysvětlení.
• Požadovat, aby správce odstranil takto vzniklý stav (zejména se může jednat o blokování, provedení opravy, doplnění nebo vymazání osobních údajů).
-
Je-li žádost subjektu údajů shledána oprávněnou, správce či zpracovatel odstraní neprodleně bez zbytečného odkladu závadný stav. Lhůta na vyřízení stížnosti je 30 kalendářních dnů a začíná plynout prvním pracovním dnem po jejím doručení či doplnění správci. Z podané stížnosti musí být zřejmé, kdo stížnost podává a co je předmětem stížnosti. V opačném případě vyzve správce odesilatele k doplnění.
-
Nevyhoví-li správce žádosti subjektu údajů, má subjekt údajů právo obrátit se přímo na dozorový úřad, tedy Úřad na ochranu osobních údajů.
-
Postup podle odstavce a) nevylučuje, aby se subjekt údajů obrátil se svým podnětem na dozorový úřad přímo.
-
Stížnost lze podat písemně na výše uvedených kontaktech správce.