INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Podle Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016
„o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů
a o zrušení směrnice 95/46/ES“ (obecné nařízení o ochraně osobních údajů – GDPR)
________________________________________________________________________________
Společnost VOTRUBEC s.r.o. (správce osobních údajů) informuje své obchodní partnery, zákazníky,
zaměstnance, spolupracovníky a další osoby o zpracování osobních údajů fyzických osob, které provádí. Na
stránkách společnosti: www.elastolith.cz na naleznete také plné znění směrnice společnosti o zpracování
osobních údajů s dalšími informacemi.
________________________________________________________________________________________
KONTAKTNÍ ÚDAJE
obchodní firma: VOTRUBEC s.r.o.
sídlo: U dálnice 2867, 155 00, Praha 5
IČO: 252 00 704
e-mail: dolezal@aaa-strechy.cz
datová schránka: 55ja9nq
telefon: dolezal@aaa-strechy.cz
statutární orgán: Milan Doležal
kontaktní osoba (případně pověřenec pro ochranu osobních údajů – DPO): Milan Doležal
________________________________________________________________________________________
CO JE TO OSOBNÍ ÚDAJ
Osobním údajem je jakákoli informace, např.: jméno, příjmení, datum narození, rodné číslo, místo narození,
adresa pobytu, státní příslušnost, místo podnikání, rodné číslo, IČO/DIČ, telefonní číslo, e-mail, evidenční
číslo zákazníka, údaj o místu pobytu a pohybu, síťový identifikátor, rodinný stav, vzdělání, zaměstnání,
majetkové poměry, příjmy a výdaje, počet dětí, podle které lze konkrétní fyzickou osobu identifikovat.
Takzvanými „citlivými“ údaji jsou informace, které představují určitá významnější rizika pro práva dotčené
osoby, jako např.: údaje o zdravotním stavu, rasovém či etnickém původu, sexuální orientaci, politických
názorech, náboženském vyznání, filozofickém přesvědčení, členství v odborech, nebo genetické či
biometrické údaje.
________________________________________________________________________________________
CO JE ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Zpracováním osobních údajů se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory
osobních údajů, jako je: shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo
pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění,
seřazení či zkombinování, omezení, výmaz nebo zničení.
Zpracování lze provádět s pomocí i bez pomoci automatizovaných (počítačově – strojově řízených) postupů.
________________________________________________________________________________________
ČÍ OSOBNÍ ÚDAJE ZPRACOVÁVÁME
Zpracováváme osobní údaje těchto subjektů:
● svých obchodních partnerů (dodavatelů, subdodavatelů, osob poskytujících služby)
● svých zákazníků (odběratelů, klientů)
● osob zajišťujících závazky shora uvedených osob
● svých zaměstnanců a jinak spolupracujících osob
● jiných osob, kterým nabízíme nebo chceme nabízet své produkty a služby – pro tzv. „přímý marketing“
JAKÉ OSOBNÍ ÚDAJE ZPRACOVÁVÁME
● U svých obchodních partnerů, jejich zástupců a kontaktních osob zpracováváme tyto osobní údaje:
○ firmu, jméno, sídlo, bydliště, datum narození, IČO, DIČ, telefon, e-mail, ID datové schránky, sídlo provozovny, kontaktní osoby,
spolehlivost, jiné reference
● U svých zákazníků, jejich zástupců a kontaktních osob zpracováváme tyto osobní údaje:
○ firmu, jméno, sídlo, bydliště, datum narození, IČO, DIČ, telefon, e-mail, ID datové schránky, sídlo provozovny, kontaktní osoby,
spolehlivost, jiné reference
● U osob poskytujících zajištění závazků zpracováváme tyto osobní údaje:
○ firmu, jméno, sídlo, bydliště, datum narození, IČO, DIČ, telefon, e-mail, ID datové schránky, sídlo provozovny, kontaktní osoby,
spolehlivost, jiné reference
● U svých zaměstnanců a jejich případných zástupců zpracováváme tyto osobní údaje:
○ jméno, příjmení, datum narození, rodné číslo, státní příslušnost, čísla osobních dokladů, bydliště, telefon, e-mail, ID datové
schránky, vzdělání, rodinný stav, počet a věk dětí, mzdové údaje, údaje o exekucích, údaje o insolvenci, údaje o pracovních
výsledcích, osobních vlastnostech a schopnostech, údaje o porušení pracovních povinností
● U jiných osob (pro účely nabídek našich produktů a služeb) zpracováváme tyto osobní údaje:
○ firmu, jméno, sídlo, bydliště, IČO, DIČ, telefon, e-mail, ID datové schránky, sídlo provozovny, kontaktní osoby, spolehlivost,
jiné reference
________________________________________________________________________________________
ODKUD OSOBNÍ ÚDAJE ZÍSKÁVÁME
Zpracovávané osobní údaje získáváme:
● přímo od subjektu údajů nebo od jejich zástupců
● z informací od třetích osob; takové informace si dostupným způsobem ověřujeme
● z veřejných rejstříků a evidencí (obchodní a živnostenské rejstříky, insolvenční rejstřík, evidence exekucí)
● z veřejně dostupných zdrojů (internet, prezentace a reference); takové informace si dostupným způsobem
ověřujeme
● z vlastní činnosti a tyto informace si dostupným způsobem ověřujeme
________________________________________________________________________________________
PROČ OSOBNÍ ÚDAJE ZPRACOVÁVÁME
● U svých obchodních partnerů, jejich zástupců a kontaktních osob zpracováváme osobní údaje:
○ pro účely obchodní spolupráce, pro uzavírání smluv a jejich plnění
○ pro účely vypořádávání práv a povinností z uzavřených smluv a uskutečněných obchodů
○ pro ochranu a uplatňování našich práv z uzavřených smluv a uskutečněných obchodů
○ pro účely zákonem předepsaných evidencí, které musíme vést (daňové, mzdové apod.)
○ pro účely zákonem předepsaných povinností, které musíme plnit (daňové a odvodové povinnosti, povinnosti podle předpisů proti
legalizaci výnosů z trestné činnosti a financování terorismu, povinnosti v oblasti ochrany spotřebitele, povinnosti v oblasti ochrany
životního prostředí, povinnosti v exekučních a insolvenčních řízeních, pro účely archivnictví apod.)
● U svých zákazníků, jejich zástupců a kontaktních osob zpracováváme osobní údaje:
○ pro účely obchodní spolupráce, pro uzavírání smluv a jejich plnění
○ pro účely vypořádávání práv a povinností z uzavřených smluv a uskutečněných obchodů
○ pro ochranu a uplatňování našich práv z uzavřených smluv a uskutečněných obchodů
○ pro účely zákonem předepsaných evidencí, které musíme vést (daňové, mzdové apod.)
○ pro účely zákonem předepsaných povinností, které musíme plnit (daňové a odvodové povinnosti, povinnosti podle předpisů proti
legalizaci výnosů z trestné činnosti a financování terorismu, povinnosti v oblasti ochrany spotřebitele, povinnosti v oblasti ochrany
životního prostředí, povinnosti v exekučních a insolvenčních řízeních, pro účely archivnictví apod.)
● U osob poskytujících zajištění závazků zpracováváme osobní údaje:
○ pro účely obchodní spolupráce, pro uzavírání smluv a jejich plnění
○ pro účely vypořádávání práv a povinností z uzavřených smluv a uskutečněných obchodů
○ pro ochranu a uplatňování našich práv z uzavřených smluv a uskutečněných obchodů
○ pro účely zákonem předepsaných povinností, které musíme plnit (daňové a odvodové povinnosti, povinnosti podle předpisů proti
legalizaci výnosů z trestné činnosti a financování terorismu, povinnosti v oblasti ochrany spotřebitele, povinnosti v oblasti ochrany
životního prostředí, povinnosti v exekučních a insolvenčních řízeních, pro účely archivnictví apod.)
● U svých zaměstnanců a jejich případných zástupců zpracováváme osobní údaje:
○ pro účely uzavření pracovních smluv, výkon práv a plnění povinností v pracovněprávním vztahu
○ pro ochranu a uplatňování našich práv z pracovněprávních vztahů
○ pro účely zákonem předepsaných evidencí, které musíme vést (daňové, mzdové apod.)
○ pro účely zákonem předepsaných povinností, které musíme plnit (daňové a odvodové povinnosti, povinnosti na úseku bezpečnosti a
ochrany zdraví při práci, povinnosti v exekučních a insolvenčních řízeních, pro účely archivnictví apod.)
● U jiných osob zpracováváme osobní údaje:
○ pro účely prezentace, nabízení našich produktů a služeb
Nemáme záměr použít vaše osobní údaje k jiným než uvedeným účelům. Pokud bychom tak chtěli přesto
učinit, jsme povinni vás o tom informovat.
________________________________________________________________________________________
NA ZÁKLADĚ JAKÉHO OPRÁVNĚNÍ OSOBNÍ ÚDAJE ZPRACOVÁVÁME
● U svých obchodních partnerů, jejich zástupců a kontaktních osob zpracováváme osobní údaje:
○ bez udělení souhlasu, pro plnění smlouvy nebo provedení opatření před uzavřením smlouvy [čl. 6, odst. (1), písm. b) GDPR]
○ bez udělení souhlasu, pro ochranu našich oprávněných zájmů či oprávněných zájmů třetí strany [čl. 6, odst. (1), písm. f) GDPR]
○ bez udělení souhlasu, pro plnění našich právních povinností (účetní, daňové, exekuce) [čl. 6, odst. (1), písm. c) GDPR]
● U svých zákazníků, jejich zástupců a kontaktních osob zpracováváme osobní údaje:
○ bez udělení souhlasu, pro plnění smlouvy nebo provedení opatření před uzavřením smlouvy [čl. 6, odst. (1), písm. b) GDPR]
○ bez udělení souhlasu, pro ochranu našich oprávněných zájmů či oprávněných zájmů třetí strany [čl. 6, odst. (1), písm. f) GDPR]
○ bez udělení souhlasu, pro plnění našich právních povinností (účetní, daňové, exekuce) [čl. 6, odst. (1), písm. c) GDPR]
● U osob poskytujících zajištění závazků zpracováváme osobní údaje:
○ bez udělení souhlasu, pro plnění smlouvy nebo provedení opatření před uzavřením smlouvy [čl. 6, odst. (1), písm. b) GDPR]
○ bez udělení souhlasu, pro ochranu našich oprávněných zájmů či oprávněných zájmů třetí strany [čl. 6, odst. (1), písm. f) GDPR]
○ bez udělení souhlasu, pro plnění našich právních povinností (účetní, daňové, exekuce) [čl. 6, odst. (1), písm. c) GDPR]
● U svých zaměstnanců a jejich případných zástupců zpracováváme osobní údaje:
○ bez udělení souhlasu, pro plnění smlouvy nebo provedení opatření před uzavřením smlouvy [čl. 6, odst. (1), písm. b) GDPR]
○ bez udělení souhlasu, pro ochranu našich oprávněných zájmů či oprávněných zájmů třetí strany [čl. 6, odst. (1), písm. f) GDPR]
○ bez udělení souhlasu, pro plnění našich právních povinností (účetní, daňové, exekuce) [čl. 6, odst. (1), písm. c) GDPR]
● U jiných osob zpracováváme osobní údaje:
○ na základě uděleného souhlasu se zpracováním osobních údajů [čl. 6, odst. (1), písm. a) GDPR]
Citlivé údaje, konkrétně: údaje o zdravotním stavu, členství v odborových organizacích, počtu a věku
rodinných příslušníků, vzdělání, osobních vlastnostech a schopnostech zpracováváme pouze u svých
zaměstnanců, protože nám to zákonný předpis přímo ukládá, nebo nám stanoví povinnosti, k jejichž splnění je
zpracování těchto osobních údajů nezbytné.
Náš oprávněný zájem, pro který uchováváme a zpracováváme osobní údaje [čl. 6, odst. (1), písm. f) GDPR] je
dán tím, že vstupujeme do obchodních a pracovně právních vztahů se subjekty údajů a z těchto vztahů nám
za nimi vznikají pohledávky a jiná práva. Abychom mohli své pohledávky vymáhat a svá práva uplatňovat
legitimní cestou (kupř. prostřednictvím soudů či rozhodčích soudů), musíme znát osobní údaje svých
obchodních partnerů, zákazníků, případně jejich zástupců a kontaktních osob.
Nemáte povinnost nám vaše osobní údaje poskytnout. Jejich poskytnutí je našim smluvním požadavkem,
protože bez požadovaných osobních údajů vám nebudeme schopni dodat kvalitní plnění či službu, a nebyli
bychom ani schopni dostát některým svým povinnostem plynoucím ze zákona.
________________________________________________________________________________________
KOMU OSOBNÍ ÚDAJE PŘEDÁVÁME
● Osobní údaje obchodních partnerů, jejich zástupců a kontaktních osob předáváme:
○ jiným našim obchodním partnerům, pokud se podílejí na realizaci smlouvy či obchodu se subjektem údajů
○ našim zákazníkům, pokud se podílejí na plnění subjektu údajů
○ osobám poskytujícím zajištění závazků subjektu údajů
○ našim bankám, pojišťovnám, finančním institucím, pokud se podílejí na realizaci smlouvy či obchodu se subjektem údajů
○ našim externím dodavatelům (IT, poradci, školitelé, kontroloři) pokud je to naši činnost nezbytné
○ našim externím právníkům, daňovým poradcům, auditorům, pokud se účastní plnění našich povinností a výkonu našich práv
○ osobám s námi propojeným (tvořícím s námi koncern), pokud je to potřebné pro naši obchodní činnost
○ našim právním nástupcům v případě naší přeměny
○ orgánům veřejné moci, pokud nám tak stanoví právní povinnost
● Osobní údaje zákazníků, jejich zástupců a kontaktních osob předáváme:
○ jiným našim obchodním partnerům, pokud se podílejí na realizaci smlouvy či obchodu se zákazníkem
○ osobám poskytujícím zajištění závazků zákazníka
○ našim bankám, pojišťovnám, finančním institucím, pokud se podílejí na realizaci smlouvy či obchodu se zákazníkem
○ našim externím dodavatelům (IT, poradci, školitelé, kontroloři) pokud je to naši činnost nezbytné
○ našim externím právníkům, daňovým poradcům, auditorům, pokud se účastní plnění našich povinností a výkonu našich práv
○ osobám s námi propojeným (tvořícím s námi koncern), pokud je to potřebné pro naši obchodní činnost
○ našim právním nástupcům v případě naší přeměny
○ orgánům veřejné moci, pokud nám tak stanoví právní povinnost
● Osobní údaje osob poskytujících zajištění závazků předáváme:
○ jiným našim obchodním partnerům, pokud se podílejí na realizaci zajišťované smlouvy či obchodu
○ osobám, jejichž závazky jsou zajišťovány
○ našim bankám, pojišťovnám, finančním institucím, pokud se podílejí na realizaci zajišťované smlouvy či obchodu
○ našim externím dodavatelům (IT, poradci, školitelé, kontroloři) pokud je to naši činnost nezbytné
○ našim externím právníkům, daňovým poradcům, auditorům, pokud se účastní plnění našich povinností a výkonu našich práv
○ osobám s námi propojeným (tvořícím s námi koncern), pokud je to potřebné pro naši obchodní činnost
○ našim právním nástupcům v případě naší přeměny
○ orgánům veřejné moci, pokud nám tak stanoví právní povinnost
● Osobní údaje svých zaměstnanců a jejich případných zástupců předáváme:
○ našim externím dodavatelům (IT, poradci, školitelé, kontroloři) pokud je to naši činnost nezbytné
○ našim externím právníkům, daňovým poradcům, auditorům, pokud se účastní plnění našich povinností a výkonu našich práv
○ osobám s námi propojeným (tvořícím s námi koncern), pokud je to potřebné pro naši obchodní činnost
○ našim právním nástupcům v případě naší přeměny
○ orgánům veřejné moci, pokud nám tak stanoví právní povinnost
Mezinárodním organizacím osobní údaje nezpřístupňujeme. Příjemcům ve třetích zemích (výhradně země EU)
osobní údaje zpřístupňuje výjimečně, pokud se jedná o:
● naše obchodní partnery a je to nezbytné pro splnění smlouvy nebo oprávněnou ochranu našich zájmů
● cizí orgány veřejné moci a ukládá nám to právní povinnost
JAK DLOUHO OSOBNÍ ÚDAJE UCHOVÁVÁME
● Osobní údaje obchodních partnerů, jejich zástupců a kontaktních osob uchováváme:
○ v případě dlouhodobé obchodní spolupráce po dobu jejího trvání a tři roky po jejím ukončení
○ v případě jednání o smlouvě po dobu tří let po posledním kontaktu
○ v případě uzavření smlouvy po dobu tří let po jejím naplnění a uplynutí garančních závazků
avšak
► vždy uchováváme osobní údaje až do skončení případného sporu, vypořádání všech závazků nebo uplynutí promlčecích lhůt
► vždy uchováváme osobní údaje nejméně po archivační dobu, kterou nám ukládá zákon nebo obdobně závazný předpis
● Osobní údaje zákazníků, jejich zástupců a kontaktních osob uchováváme:
○ v případě jednání o plnění po dobu tří let po posledním kontaktu
○ v případě uzavření smlouvy po dobu tří let po jejím naplnění a uplynutí garančních závazků
avšak
► vždy uchováváme osobní údaje až do skončení případného sporu, vypořádání všech závazků nebo uplynutí promlčecích lhůt
► vždy uchováváme osobní údaje nejméně po archivační dobu, kterou nám ukládá zákon nebo obdobně závazný předpis
● U osob poskytujících zajištění závazků zpracováváme osobní údaje:
○ v případě poskytnutí zajištění závazku po dobu tří let po jeho naplnění a uplynutí závazků ze zajištění
avšak
► vždy uchováváme osobní údaje až do skončení případného sporu, vypořádání všech závazků nebo uplynutí promlčecích lhůt
► vždy uchováváme osobní údaje nejméně po archivační dobu, kterou nám ukládá zákon nebo obdobně závazný předpis
● Osobní údaje svých zaměstnanců a jejich případných zástupců uchováváme:
○ po dobu trvání pracovního poměru a tři roky po jeho ukončení
avšak
► vždy uchováváme osobní údaje až do skončení případného sporu, vypořádání všech závazků nebo uplynutí promlčecích lhůt
► vždy uchováváme osobní údaje nejméně po archivační dobu, kterou nám ukládá zákon nebo obdobně závazný předpis
● Osobní údaje jiných osob uchováváme
○ po dobu platnosti uděleného souhlasu
________________________________________________________________________________________
VAŠE PRÁVA
● Jako subjekt osobních údajů máte právo na přístup ke svým osobním údajům. Máte právo získat od nás
potvrzení, zda vaše osobní údaje jsou či nejsou námi zpracovávány, a pokud ano, umožníme vám k těmto
osobním údajům přístup a poskytneme následující informace:
○ které vaše osobní údaje zpracováváme
○ odkud jsme vaše osobní údaje získali, pokud nepochází přímo od vás
○ proč vaše osobní údaje zpracováváme
○ komu vaše osobní údaje předáváme
○ jak dlouho vaše osobní údaje uchováváme nebo jak je tato doba určena
○ že máte právo požadovat opravu nebo výmaz svých osobních údajů, omezení jejich zpracování, nebo právo vznést námitku proti
zpracování vašich osobních údajů
○ že máte právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů
○ že dochází k automatizovanému rozhodování či profilování vašich osobních údajů, včetně použitých postupů a o tom,
jaké mohou být důsledky takového zpracování pro vás
○ pokud by měly vaše osobní údaje být předávány do zahraničí nebo mezinárodní organizaci, jaké jsou záruky takového předání
Na vaši žádost vám poskytneme také kopii vašich osobních údajů, které zpracováváme.
● Máte právo na opravu svých osobních údajů, které zpracováváme. Na vaši žádost doplníme nebo opravíme
neúplné nebo nepřesné údaje, které zpracováváme.
● Máte právo na výmaz svých osobních údajů, které zpracováváme; tzv. právo „být zapomenut“. Na vaši
žádost vaše osobní údaje, které zpracováváme, ze svých evidencí a zařízení vymažeme, pokud:
○ vaše osobní údaje již nepotřebujeme pro účel, pro který byly shromážděny nebo jinak zpracovány
○ jsme vaše osobní údaje jsme získali na základě vašeho souhlasu, vy souhlas odvoláte a neexistuje již žádný další právní důvod
pro který bychom vaše osobní údaje mohli zpracovávat
○ vznesete námitky proti zpracování vašich osobních údajů a nebudou žádné převažující oprávněné důvody pro takové zpracování
○ vznesete námitky proti zpracování vašich osobních údajů pro účely přímého marketingu (nabízení produktů a služeb)
○ vaše osobní údaje byly zpracovány protiprávně
○ vaše osobní údaje musí být vymazány ke splnění právní povinnosti
○ vaše osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti
Vaše osobní údaje však nevymažeme, pokud je jejich další zpracování nezbytné:
○ pro výkon práva na svobodu projevu a informace
○ pro splnění právní povinnosti, jež vyžaduje zpracování nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu
veřejné moci, kterým jsme pověřeni
○ z důvodů veřejného zájmu v oblasti veřejného zdraví
○ pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely, pokud je
pravděpodobné,
že by právo na výmaz znemožnilo nebo vážně ohrozilo cíle zpracování
○ pro určení, výkon nebo obhajobu našich právních nároků
● Máte právo kdykoli odvolat svůj souhlas se zpracováním svých osobních údajů, pokud je zpracováváme
na základě takového souhlasu. Odvoláním souhlasu však není dotčena zákonnost zpracování vašich
osobních údajů do doby, než odvolání souhlasu obdržíme.
● Máte právo na omezení zpracování svých osobních údajů, které zpracováváme. Na vaši žádost omezíme
požadovaným způsobem zpracování vašich osobních údajů, pokud:
○ popřete přesnost svých osobních údajů, a to na dobu potřebnou k tomu, abychom mohli přesnost vašich osobních údajů ověřit
○ zpracování je protiprávní, ale vy odmítnete výmaz svých osobních údajů a místo toho požádáte o omezení jejich použití
○ vaše osobní údaje již nepotřebujeme pro účely zpracování, ale vy je požadujete pro určení, výkon nebo obhajobu právních nároků
○ vznesete námitku proti zpracování údajů zpracovávaných pro splnění našeho úkolu ve veřejném zájmu nebo při výkonu veřejné
moci,
nebo pro účely oprávněných zájmů našich či třetí osoby, a to na dobu, dokud nebude ověřeno, zda naše oprávněné důvody
převažují
nad vašimi oprávněnými důvody
Pokud vaše osobní údaje opravíme, vymažeme, nebo omezíme jejich zpracování, oznámíme to osobám,
kterým jsme vaše osobní údaje poskytli nebo poskytujeme, ledaže se to ukáže jako nemožné nebo to bude
vyžadovat nepřiměřené úsilí. O osobách, kterým jsme vaše osobní údaje poskytli, vás však na vaši žádost
kdykoli informujeme.
● Máte právo vznést námitku proti zpracování svých osobních údajů, které zpracováváme pro účely splnění
našeho úkolu ve veřejném zájmu nebo při výkonu veřejné moci anebo pro účely našich oprávněných zájmů či
oprávněných zájmů třetí strany (včetně profilování založeného na těchto důvodech). Pokud námitku vznesete,
nebudeme vaše osobní údaje zpracovávat, jestliže neprokážeme, že existují závažné a oprávněné důvody pro
takové zpracování, které převažují nad vašimi zájmy nebo právy a svobodami, nebo pokud neprokážeme, že
potřebujeme vaše osobní údaje zpracovávat pro určení, výkon nebo obhajobu našich právních nároků.
Pokud vznese námitku proti zpracování svých osobních údajů pro účely přímého marketingu (včetně
profilování těchto údajů), nebudeme vaše osobní údaje pro účely přímého marketingu dále zpracovávat.
● Máte právo přezkum automatizovaného zpracování a profilování vašich osobních údajů. Pokud vaše
osobní údaje zpracováváme automaticky, umožníme vám na vaši žádost, abyste nebyl předmětem výhradně
automatizovaného zpracování svých osobních údajů (včetně profilování) a umožníme vám, aby zpracování (i
profilování) vašich osobních údajů bylo přezkoumáno člověkem, pokud:
○ automatizované zpracování (či profilování) není nezbytné k uzavření či plnění smlouvy mezi námi
○ automatizované zpracování (či profilování) není povoleno závazným právním předpisem
○ automatizované zpracování (či profilování) není založeno na vašem výslovném souhlasu
● Proti porušení práv při zpracování svých osobních údajů máte právo podat stížnost u dozorového orgánu.
Tím je v České republice Úřad pro ochranu osobních údajů – ÚOOÚ, se sídlem Pplk. Sochora 727/27,
Holešovice, 170 00, Praha 7, telefon: +420 234 665 111, web: www.uoou.cz.

PLATNOST INFORMACÍ
Tyto informace jsou platné ode dne 25. 5. 2018. Jejich obsah může být měněn a platné je vždy to znění
informací, které je zveřejněno na našich internetových stránkách.
VERZE 25. 5. 2018

 

Směrnice o ochraně osobních údajů

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016
„o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů
a o zrušení směrnice 95/46/ES“ (obecné nařízení o ochraně osobních údajů – GDPR)
I. PREAMBULE A ÚČEL SMĚRNICE
j
(1) Tato směrnice jako vnitřní předpis společnosti VOTRUBEC s.r.o. (dále správce), která je ve smyslu
GDPR správcem osobních údajů, upravuje postup členů orgánů, zaměstnanců, spolupracujících osob a
dalších pověřených osob při zpracování a ochraně osobních údajů fyzických osob, pro naplnění právních
povinností stanovených GDPR.
(2) Tato směrnice je veřejně dostupným dokumentem, je zveřejněna na internetových stránkách správce:
www.elastolith.cz a plní současně účel záznamu o zpracování osobních údajů ve smyslu čl. 30 GDPR.
II. DEFINICE POJMŮ
Dále používané pojmy jsou definovány takto [čl. 4 GDPR]:
a) „Osobní údaj“ je jakákoli informace o identifikované nebo identifikovatelné fyzické osobě, ať už jde o identifikační či kontaktní
údaje (např. jméno, příjmení, datum narození, místo narození, adresa pobytu, místo podnikání, rodné číslo, IČO/DIČ, telefonní číslo, email,
evidenční číslo zákazníka, údaj o místu pobytu a pohybu, síťový identifikátor, popisné údaje vypovídající o fyziologii člověka, věk,
pohlaví, národnost, rodinný stav, vzdělání, zaměstnání, majetkové poměry, příjmy a výdaje, počet dětí, údaje o chování, preferencích
apod.)
b) „Zvláštní kategorii osobních údajů – citlivé osobní údaje“ představují některé zvlášť rizikové osobní údaje z pohledu
možných zásahů do garantovaných práv a svobod fyzických osob (např. údaje o zdravotním stavu, o rasovém či etnickém původu,
politických názorech, náboženském vyznání, filozofickém přesvědčení, členství v odborech, nebo genetické či biometrické údaje).
c) „Údaji o zdravotním stavu“ jsou osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o
poskytnutí zdravotních služeb (léků, ošetření, lékařských zákroků, léčebných postupů), které vypovídají o jejím zdravotním stavu.
d) „Genetickými údaji“ jsou osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují
jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby.
e) „Biometrickými údaji“ jsou osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických
znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo
daktyloskopické údaje.
f) „Subjektem (údajů)“ je jakákoli fyzická osoba, jejíž osobní údaje jsou zpracovávány.
g) „Zpracováním“ se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je
prováděn pomocí či bez pomoci automatizovaných postupů, jako je: shromáždění, zaznamenání, uspořádání, strukturování, uložení,
přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení
či zkombinování, omezení, výmaz nebo zničení.
h) „Správce“ je ve smyslu GDPR určen podle toho, že určuje účely a prostředky zpracování osobních údajů
i) „Zpracovatelem“ je každá fyzická nebo právnická osoba, který zpracovává osobní údaje pro správce (kupř. zaměstnanci, externí
účetní, externí IT, externí právník, auditor apod.)
j) „Příjemcem“ je jakákoli fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje
poskytnuty, ať už se jedná o třetí stranu, či nikoli (orgány veřejné moci, které mohou získávat osobní údaje na základě zákona v rámci
zvláštního šetření se za příjemce nepovažují).
k) „Souhlasem“ subjektu údajů je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává
prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
l) „Evidencí“ je jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný,
decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.
m) „Profilováním“ se rozumí jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení
některých osobních aspektů fyzické osoby (kupř. k rozboru či odhadu pracovního výkonu, ekonomické situace, zdravotního stavu,
preferencí, zájmů, spolehlivosti, chování, místa pobytu nebo pohybu).
n) „Pseudonymizací“ se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez
použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační
opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě.
o) „Porušením zabezpečení osobních údajů“ je porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení,
ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních
údajů.
p) „Dozorovým úřadem“, orgánem veřejné moci v ČR, určeným pro kontrolu nakládání s osobními údaji, je Úřad pro ochranu
osobních údajů – ÚOOÚ, se sídlem Pplk. Sochora 727/27, Holešovice, 170 00, Praha 7, telefon: +420 234 665 111, web: www.uoou.cz.
q) „Pověřenec pro ochranu osobních údajů – DPO“ je fyzická nebo právnická osoba jmenovaná správcem, aby jako interní
auditor, poradce a koordinátor dohlížel nad tím, že osobní údaje jsou zpracovávány a chráněny v souladu s GDPR; je rovněž kontaktní
osobou mezi správcem, subjekty a dozorovým úřadem.
III. ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Správce při zpracování osobních údajů dodržuje tyto zásady [čl. 5 GDPR]:
a) Zákonnost, korektnost a transparentnost: osobní údaje ve vztahu k subjektu údajů jsou zpracovávány korektně a
zákonným a transparentním způsobem.
b) Účelové omezení: shromažďovány jsou osobní údaje pro určité, výslovně vyjádřené a legitimní účely a nejsou dále
zpracovávány způsobem, který je s těmito účely neslučitelný (další zpracování pro účely archivace ve veřejném zájmu, pro účely
vědeckého či historického výzkumu nebo pro statistické účely se nepovažuje za neslučitelné s původními účely).
c) Minimalizace údajů: zpracování osobních údajů je přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro
který jsou zpracovávány.
d) Přesnost: zpracování osobních údajů je přesné a v případě potřeby aktualizované, jsou přijímána veškerá rozumná opatření, aby
osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny.
e) Omezení uložení: zpracovávané osobní údaje jsou uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší,
než je nezbytné pro účely, pro které jsou zpracovávány, po delší dobu jsou ukládány, pokud se zpracovávají výhradně pro účely
archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely, a to za předpokladu provedení
příslušných technických a organizačních opatření požadovaných GDPR s cílem zaručit práva a svobody subjektu údajů.
f) Integrita a důvěrnost: osobní údaje jsou zpracovávány způsobem, který zajišťuje jejich náležité zabezpečení, včetně jejich
ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před
náhodnou ztrátou, zničením nebo poškozením.
IV. PRÁVNÍ TITULY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Správce zpracovává osobní údaje pouze na základě těchto právních titulů [čl. 6 GDPR]:
a) Subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů.
b) Zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení
opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů.
c) Zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje.
d) Zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby.
e) Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci,
kterým je pověřen správce.
f) Zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy
před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu
osobních údajů, zejména pokud je subjektem údajů dítě.
V. ZÁZNAM O ČINNOSTECH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
pro vyplnění
Správce zpracovává osobní údaje v tomto rozsahu a tímto způsobem [článek 30 GDPR]:
a) Jméno a kontaktní údaje správce (kontaktní osoba pověřená ochranou osobních údajů (či DPO):
Milan Doležal tel.: 602 250 750, mail : dolezal@aaa-strechy.cz
b) Pověřenými osobami, které jsou oprávněny zpracovávat osobní údaje:
● členové statutárního orgánu (případně prokuristé) správce, ředitelé a osoby ve funkcích
vedoucích organizačních složek a oddělení
● zaměstnanci zařazení na pozice v personálním a ekonomickém oddělení
● osoby, které zabezpečují informační systémy pro zpracování osobních údajů
● jiné osoby mající oprávnění na základě uzavřené smlouvy o zpracování osobních údajů
c) Účel zpracování osobních údajů:
● agenda obchodních partnerů (dodavatelů, subdodavatelů, osob poskytujících služby či zajištění)
● agenda zákazníků (odběratelů, klientů)
● seznam zaměstnanců
● účetní, daňová a mzdová agenda, exekuční a insolvenční řízení
● evidence pro kontrolu ze strany orgánů veřejné moci
● přímý marketing
d) Kategorie subjektů a osobních údajů a právní titul zpracování:
● obchodní partneři (jejich zástupci a kontaktní osoby)
○ firmu, jméno, sídlo, bydliště, datum narození, IČO, DIČ, telefon, e-mail, ID datové schránky, sídlo provozovny, kontaktní osoby,
spolehlivost, jiné reference
○ plnění smlouvy nebo provedení opatření před uzavřením smlouvy [čl. 6, odst. (1), písm. b) GDPR]
○ ochrana oprávněných zájmů správce [čl. 6, odst. (1), písm. f) GDPR]
○ plnění právních povinností správce (účetní, daňové) [čl. 6, odst. (1), písm. c) GDPR]
● zákazníci (jejich zástupci a kontaktní osoby)
○ firmu, jméno, sídlo, bydliště, datum narození, IČO, DIČ, telefon, e-mail, ID datové schránky, sídlo provozovny, kontaktní osoby,
spolehlivost, jiné reference
○ plnění smlouvy nebo provedení opatření před uzavřením smlouvy [čl. 6, odst. (1), písm. b) GDPR]
○ ochrana oprávněných zájmů správce [čl. 6, odst. (1), písm. f) GDPR]
○ plnění právních povinností správce (účetní, daňové) [čl. 6, odst. (1), písm. c) GDPR]
● osoby poskytující zajištění závazků (jejich zástupci a kontaktní osoby)
○ firmu, jméno, sídlo, bydliště, datum narození, IČO, DIČ, telefon, e-mail, ID datové schránky, sídlo provozovny, kontaktní osoby,
spolehlivost, jiné reference
○ plnění smlouvy nebo provedení opatření před uzavřením smlouvy [čl. 6, odst. (1), písm. b) GDPR]
○ ochrana oprávněných zájmů správce [čl. 6, odst. (1), písm. f) GDPR]
○ plnění právních povinností správce (účetní, daňové) [čl. 6, odst. (1), písm. c) GDPR]
● zaměstnanci (jejich případní zástupci)
○ jméno, příjmení, datum narození, rodné číslo, státní příslušnost, čísla osobních dokladů, bydliště, telefon, e-mail, ID datové
schránky, vzdělání, rodinný stav, počet a věk dětí, mzdové údaje, údaje o exekucích, údaje o insolvenci, údaje o pracovních
výsledcích, osobních vlastnostech a schopnostech, údaje o porušení pracovních povinností
○ plnění smlouvy nebo provedení opatření před uzavřením smlouvy [čl. 6, odst. (1), písm. b) GDPR]
○ plnění právních povinností správce (účetní, daňové, exekuce) [čl. 6, odst. (1), písm. c) GDPR]
○ ochrana oprávněných zájmů správce [čl. 6, odst. (1), písm. f) GDPR]
● jiné osoby – přímý marketing
○ firmu, jméno, sídlo, bydliště, IČO, DIČ, telefon, e-mail, ID datové schránky, sídlo provozovny, kontaktní osoby, spolehlivost,
jiné reference
○ subjekt udělil souhlas se zpracováním osobních údajů [čl. 6, odst. (1), písm. a) GDPR]
e) Zdroje osobních údajů:
● údaje sdělené subjekty nebo jejich zástupci
● údaje sdělené třetí stranou; takové informace je třeba si dostupným způsobem ověřit
● veřejné rejstříky a evidence (obchodní a živnostenské rejstříky, insolvenční rejstřík, evidence exekucí)
● veřejně dostupné informace (internet, prezentace a reference); takové informace je třeba si dostupným
způsobem ověřit
● údaje získané při vlastní činnosti správce; takové informace je třeba si dostupným způsobem ověřit
f) Kategorie příjemců osobních údajů:
● údaje obchodních partnerů (jejich zástupců a kontaktních osob)
○ jiní obchodní partneři, pokud se podílejí na realizaci smlouvy či obchodu se subjektem údajů
○ zákazníci, pokud se podílejí na plnění subjektu údajů
○ osoby poskytující zajištění závazků subjektu údajů
○ banky, pojišťovny, finanční instituce, pokud se podílejí na realizaci smlouvy či obchodu se subjektem údajů
○ externí dodavatelé správce (IT, poradci, školitelé, kontroloři) pokud je to nezbytné pro činnost správce
○ externí právníci, daňoví poradci, auditoři, pokud se účastní uplatňování práv a plnění povinností správce
○ osoby propojené se správcem (koncern), pokud je to potřebné pro obchodní činnost správce
○ právní nástupci správce v případě přeměny správce
○ orgány veřejné moci, pokud tak správci stanoví právní povinnost
● údaje zákazníků (jejich zástupců a kontaktních osob)
○ obchodní partneři správce, pokud se podílejí na plnění zákazníkovi
○ osoby poskytující zajištění závazků zákazníka
○ banky, pojišťovny, finanční instituce, pokud se podílejí na plnění zákazníkovi
○ externí dodavatelé správce (IT, poradci, školitelé, kontroloři) pokud je to nezbytné pro činnost správce
○ externí právníci, daňoví poradci, auditoři, pokud se účastní uplatňování práv a plnění povinností správce
○ osoby propojené se správcem (koncern), pokud je to potřebné pro plnění zákazníkovi
○ právní nástupci správce v případě přeměny správce
○ orgány veřejné moci, pokud tak správci stanoví právní povinnost
● údaje osob poskytujících zajištění (jejich zástupců a kontaktních osob)
○ obchodní partneři správce, pokud se podílejí na realizaci zajišťované smlouvy či obchodu
○ osoby jejichž závazky jsou zajišťovány
○ banky, pojišťovny, finanční instituce, pokud se podílejí na realizaci zajišťované smlouvy či obchodu
○ externí dodavatelé správce (IT, poradci, školitelé, kontroloři) pokud je to nezbytné pro činnost správce
○ externí právníci, daňoví poradci, auditoři, pokud se účastní uplatňování práv a plnění povinností správce
○ osoby propojené se správcem (koncern), pokud je to potřebné pro plnění zákazníkovi
○ právní nástupci správce v případě přeměny správce
○ orgány veřejné moci, pokud tak správci stanoví právní povinnost
● údaje zaměstnanců (jejich případných zástupců)
○ externí dodavatelé správce (IT, poradci, školitelé, kontroloři) pokud je to nezbytné pro činnost správce
○ externí právníci, daňoví poradci, auditoři, pokud se účastní uplatňování práv a plnění povinností správce
○ osoby propojené se správcem (koncern), pokud je to potřebné pro obchodní činnost správce
○ právní nástupci správce v případě přeměny správce
○ orgány veřejné moci, pokud tak správci stanoví právní povinnost
Mezinárodním organizacím správce osobní údaje nezpřístupňuje. Příjemcům ve třetích zemích
(výhradně země EU) správce osobní údaje zpřístupňuje výjimečně, pokud se jedná o:
● obchodní partnery správce a je to nezbytné pro splnění smlouvy nebo oprávněnou ochranu zájmů správce
● cizí orgány veřejné moci a správci tak ukládá právní povinnost
g) Plánované lhůty pro výmaz osobních údajů:
● údaje obchodních partnerů (jejich zástupců a kontaktních osob)
○ v případě dlouhodobé obchodní spolupráce po dobu jejího trvání a tři roky po jejím ukončení
○ v případě jednání o smlouvě po dobu tří let po posledním kontaktu
○ v případě uzavření smlouvy po dobu tří let po jejím naplnění a uplynutí garančních závazků
avšak
► vždy správce uchovává osobní údaje až do skončení případného sporu, vypořádání všech závazků nebo uplynutí promlčecích lhůt
► vždy správce uchovává osobní údaje nejméně po archivační dobu, kterou mu ukládá zákon nebo obdobně závazný předpis
● údaje zákazníků (jejich zástupci a kontaktní osoby)
○ v případě jednání o plnění po dobu tří let po posledním kontaktu
○ v případě uzavření smlouvy po dobu tří let po jejím naplnění a uplynutí garančních závazků
avšak
► vždy správce uchovává osobní údaje až do skončení případného sporu, vypořádání všech závazků nebo uplynutí promlčecích lhůt
► vždy správce uchovává osobní údaje nejméně po archivační dobu, kterou mu ukládá zákon nebo obdobně závazný předpis
● údaje osob poskytujících zajištění závazků (jejich zástupci a kontaktní osoby)
○ v případě poskytnutí zajištění závazku po dobu tří let po jeho naplnění a uplynutí závazků ze zajištění
avšak
► vždy uchováváme osobní údaje až do skončení případného sporu, vypořádání všech závazků nebo uplynutí promlčecích lhůt
► vždy uchováváme osobní údaje nejméně po archivační dobu, kterou nám ukládá zákon nebo obdobně závazný předpis
● údaje zaměstnanců (jejich případní zástupci)
○ po dobu trvání pracovního poměru a tři roky po jeho ukončení
avšak
► vždy správce uchovává osobní údaje až do skončení případného sporu, vypořádání všech závazků nebo uplynutí promlčecích lhůt
► vždy správce uchovává osobní údaje nejméně po archivační dobu, kterou mu ukládá zákon nebo obdobně závazný předpis
● údaje jiných osob – přímý marketing
○ po dobu platnosti uděleného souhlasu
h) Aktualizace osobních údajů:
● při každém kontaktu se subjektem, kdy je správci změna oznámena subjektem nebo jeho zástupcem
● kdykoli je změna oznámena správci jinou osobou nebo zjištěna vlastní činností správce
● pomocí veřejně dostupných zdrojů (veřejné rejstříky) vždy, když správce změnu zjistí
i) Druhy listinných a elektronických evidencí, zabezpečení a sdílení:
● listinná evidence uchovávaná v uzamykatelné skříni umístěné v uzamykané místnosti, přičemž
budova je uzamykána a chráněna elektronickým zabezpečovacím systémem
● elektronická evidence na sdíleném serveru chráněná standardním firewall, přístupná za použití unikátního,
měněného přístupového hesla pro každou pověřenou osobu
● přístup do elektronické evidence je umožněn účetnímu a obchodnímu systému zabezpečeným
(zaheslovaným) způsobem
● přenos dat podléhá standardnímu šifrování (e-mail) nebo je uskutečňován do datové schránky, přístup do
e-mailových a datových schránek je chráněn heslem
● zaměstnanci i ostatní osoby mají zákaz nahrávání dat s osobními údaji na přenosná média nepatřící správci
a zákaz vynášení paměťových médií mimo sféru správce
● osobní údaje jsou dostupné jen pro osoby, které je nezbytně potřebují pro výkon své činnosti
● zálohování dat probíhá do externí lokality chráněné přístupovým heslem
● správce je schopen obnovit dostupnost osobních údajů v případě technických incidentů
● všechny pověřené osoby jsou poučeny o pravidlech ochrany osobních údajů a mají se správcem uzavřeny
dohody o zachování mlčenlivosti
● všichni zpracovatelé osobních údajů mají se správcem uzavřeny smlouvy podle čl. 28 GDPR
● vymazávaná data jsou likvidována, nejen deaktivována
● software, hardware a IT systém je standardní, opatřený standardní antivirovou ochranou,
● bezpečnost a aktuálnost je kontrolována interními či externími IT zpravidla jedenkrát ročně
● je určena osoba pověřená kontrolou a koordinací ochrany osobních údajů (případně DPO)
VI. GARANTOVANÁ PRÁVA SUBJEKTŮ OSOBNÍCH ÚDAJŮ
pro vyplnění
(1) Správce garantuje subjektům osobních údajů tato práva:
a) Právo na informace a přístup k osobním údajům [čl. 12, 13 a 14 GDPR]:
Správce poskytuje subjektům ve stanovených lhůtách stručným, transparentním, srozumitelným a snadno přístupným způsobem za
použití jasných a jednoduchých jazykových prostředků zejména tyto informace:
● totožnost a kontaktní údaje správce, jeho zástupce (případně DPO),
● kategorie zpracovávaných osobních údajů
● zdroje zpracovávaných osobních údajů včetně případného údaje o původu z veřejně dostupných zdrojů
● účely zpracování, pro které jsou osobní údaje určeny
● právní základ (titul) pro zpracování
● oprávněné zájmy správce nebo třetí strany jsou-li právním titulem pro zpracování
● příjemce zpracovávaných osobních údajů
● případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci
● dobu po kterou budou osobní údaje zpracovávány či uloženy nebo způsob jejího určení
● existenci práva požadovat: přístup k osobním údajům, jejich opravu nebo výmaz, omezení jejich zpracování, vznést námitku proti
zpracování, přenositelnost údajů
● existenci práva odvolat kdykoli souhlas se zpracováním je-li právním titulem pro zpracování, aniž je tím dotčena zákonnost
zpracování
založená na souhlasu uděleném před jeho odvoláním
● existenci práva podat stížnost u dozorového úřadu
● zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy,
a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů
● že dochází k automatizovanému rozhodování či profilování, použité postupy a význam předpokládaných důsledků takového
zpracování
pro subjekt údajů
● záměr správce použít osobní údaje pro jiný účel, než pro který byly shromážděny
b) Právo na přístup k osobním údajům [čl. 15 GDPR]:
Správce garantuje subjektům právo získat potvrzení, zda osobní údaje týkající se subjektu jsou či nejsou zpracovávány, a pokud ano,
garantuje subjektu právo získat přístup k těmto osobním údajům a k následujícím informacím:
● účely zpracování
● kategorie dotčených osobních údajů
● příjemce nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny
● plánovanou dobu, po kterou budou osobní údaje uloženy nebo kritéria použitá ke stanovení této doby
● existenci práva požadovat od správce opravu nebo výmaz osobních údajů, nebo omezení jejich zpracování, nebo vznést námitku
proti
tomuto zpracování
● existenci práva podat stížnost u dozorového úřadu
● veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu
● že dochází k automatizovanému rozhodování či profilování, použité postupy a význam předpokládaných důsledků takového
zpracování
pro subjekt údajů
● pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci informaci o vhodných zárukách, které se na předání
vztahují
Správce poskytne subjektu kopii zpracovávaných údajů, které se subjektu týkají.
c) Právo na opravu [čl. 16 GDPR]:
Správce bez zbytečného odkladu po žádosti subjektu provede opravu nebo doplnění nesprávných nebo neúplných osobních údajů,
které o něm zpracovává.
d) Právo na výmaz (být zapomenut) [čl. 17 GDPR]:
Správce bez zbytečného odkladu po žádosti subjektu provede výmaz jeho osobních údajů, pokud:
● osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány
● subjekt odvolá souhlas, na jehož základě byly údaje zpracovány a neexistuje žádný další právní důvod pro zpracování
● subjekt vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování, nebo subjekt údajů
vznese
námitky proti zpracování údajů pro účely přímého marketingu
● osobní údaje byly zpracovány protiprávně
● osobní údaje musí být vymazány ke splnění právní povinnosti
● osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti
Správce však výmaz osobních údajů neprovede, pokud je zpracování nezbytné:
● pro výkon práva na svobodu projevu a informace
● pro splnění právní povinnosti, jež vyžaduje zpracování nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu
veřejné
moci, kterým je správce pověřen
● z důvodů veřejného zájmu v oblasti veřejného zdraví
● pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely, pokud je
pravděpodobné,
že by právo na výmaz znemožnilo nebo vážně ohrozilo cíle zpracování
● pro určení, výkon nebo obhajobu právních nároků
e) Právo na omezení zpracování [čl. 18 GDPR]:
Správce na žádost subjektu omezí zpracování jeho osobních údajů pokud:
● subjekt popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit
● zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů, ale žádá místo toho o omezení jejich použití
● správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu
právních nároků
● subjekt z důvodů týkajících se jeho konkrétní situace vznesl námitku proti zpracování údajů zpracovávaných pro splnění úkolu
ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce nebo pro účely oprávněných zájmů správce či třetí
strany,
a to na dobu, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu
f) Oznamovací povinnost ohledně opravy, výmazu nebo omezení zpracování [čl. 19 GDPR]:
Správce oznamuje příjemcům, jimž byly zpřístupněny osobní údaje, veškeré opravy, výmazy nebo omezení zpracování údajů s
výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto
příjemcích, pokud to subjekt požaduje.
g) Právo na přenositelnost [čl. 20 GDPR]:
Správce na žádost subjektu předá subjektu jeho osobní údaje, které zpracovává, ve strukturovaném, běžně používaném a strojově
čitelném formátu a předá je jinému, subjektem určenému správci, pokud:
● je zpracování údajů založeno na souhlasu subjektu (s výjimkou případů, kdy podle práva nemůže být souhlas subjektem zrušen)
nebo
na plnění smlouvy uzavřené mezi správcem a subjektem či pro provedení opatření přijatých před uzavřením takové smlouvy a
zpracování se provádí automatizovaně.
Správce přenos osobních údajů neumožní, pokud by tím byla nepříznivě dotčena práva a svobody jiných osob.
h) Právo vznést námitku [čl. 21 GDPR]:
Pokud subjekt z důvodů týkajících se jeho konkrétní situace vznese vůči správci námitku proti zpracování svých osobních údajů
zpracovávaných správcem ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce nebo pro účely oprávněných
zájmů příslušného správce či třetí strany (včetně profilování založeného na těchto důvodech), správce osobní údaje subjektu dále
nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami
subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků správce.
Pokud subjekt vznese námitku proti zpracování svých osobních údajů pro účely přímého marketingu (včetně profilování těchto údajů),
nebude správce tyto osobní údaje pro účely přímého marketingu dále zpracovávat.
i) Právo na přezkum automatizovaného zpracování a profilování [čl. 22 GDPR]:
Správce umožní subjektu na jeho žádost, aby nebyl předmětem výhradně automatizovaného zpracování svých osobních údajů (včetně
profilování) a umožní mu, aby zpracování (i profilování) jeho osobních údajů bylo přezkoumáno člověkem, pokud:
● automatizované zpracování (či profilování) není nezbytné k uzavření či plnění smlouvy mezi správcem a subjektem
● automatizované zpracování (či profilování) není povoleno závazným právním předpisem
● automatizované zpracování (či profilování) není založeno na výslovném souhlasu subjektu
j) Právo odvolat souhlas se zpracováním osobních údajů [čl. 7, odst. (2) GDPR]:
Pokud jsou osobní údaje zpracovávány na základě souhlasu subjektu [čl. 6 odst. (1) písm. a) nebo čl. 9 odst. (2) písm. a) GDPR] má
subjekt právo svůj kdykoli odvolat, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním.
k) Právo podat stížnost u dozorového orgánu [čl. 77 GDPR]:
Správce, bez ohledu na jiná práva a jiné prostředky ochrany, informuje subjekty osobních údajů o právu podat proti porušení práv při
zpracování jeho osobních údajů stížnost u dozorového úřadu, kterým je v České republice Úřad pro ochranu osobních údajů – ÚOOÚ,
se sídlem Pplk. Sochora 727/27, Holešovice, 170 00, Praha 7, telefon: +420 234 665 111, web: www.uoou.cz.
(2) Subjekt údajů může svá práva vůči správci uplatnit podáním k těmto kontaktům:
● statutární orgán správce: Milan Doležal
● kontaktní osoba (případně DPO): Milan Doležal
VII. OHLAŠOVÁNÍ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ
pro vyplnění
(1) Jakékoli porušení zabezpečení osobních údajů, je-li pravděpodobné, že toto porušení může mít za
následek riziko pro práva a svobody fyzických osob, správce bez zbytečného odkladu a pokud možno do 72
hodin od okamžiku, kdy se o něm dozvěděl, ohlásí Úřadu pro ochranu osobních údajů [čl. 33 GDPR]. V
ohlášení správce uvede nejméně tyto údaje:
a) Popis povahy daného případu porušení zabezpečení osobních údajů včetně (pokud je to možné) kategorií a
přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních
údajů.
b) Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může
poskytnout bližší informace.
c) Popis pravděpodobných důsledků porušení zabezpečení osobních údajů.
d) Popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení
osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
(2) Pro ohlášení porušení zabezpečení osobních údajů dozorovému úřadu správce může využít formulář
v příloze této směrnice.
(3) Správce dokumentuje a uchovává veškeré případy porušení zabezpečení osobních údajů, přičemž
uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato
dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.
(4) Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za
následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného
odkladu subjektu údajů [čl. 34 GDPR]. V oznámení subjektu správce uvede:
a) Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může
poskytnout bližší informace.
b) Popis pravděpodobných důsledků porušení zabezpečení osobních údajů.
c) Popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení
osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
(5) Oznámení porušení zabezpečení osobních údajů subjektu údajů správce neučiní, pokud:
a) Zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů
dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými
pro kohokoli, kdo není oprávněn k nim mít přístup (například šifrování).
b) Přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již
pravděpodobně neprojeví.
c) Oznámení by vyžadovalo nepřiměřené úsilí; v takovém případě budou subjekty údajů informovány stejně
účinným způsobem pomocí veřejného oznámení nebo podobného opatření.
VIII. KONTROLA DODRŽOVÁNÍ SMĚRNICE
pro vyplnění
Správce zajišťuje prostřednictvím svého statutárního orgánu nebo jiné pověřené osoby (případně DPO)
průběžnou kontrolu dodržování této směrnice. Její porušení ze strany svých zaměstnanců vyhodnocuje
správce jako porušení právních povinností vztahujících se k vykonávané práci s následky uvedenými ve
zvláštním zákoně.
IX. PLATNOST A ÚČINNOST SMĚRNICE
pro vyplnění
(1) Tato směrnice nabývá platnosti a účinnosti dnem 25. 5. 2018.
(2) Správce je oprávněn a povinen obsah směrnice přizpůsobovat zněním rozhodných právních
předpisů, vývoji poznatků v oblasti ochrany osobních údajů a faktickým změnám v činnosti a vybavení
správce.
(3) Účinné znění směrnice je vždy to, které zveřejněno na internetových stránkách správce v okamžiku
rozhodném pro vznik příslušných práv a povinností.
VERZE 25. 5. 2018