A) Úvod
My, společnost SYNER, s.r.o, IČ 48292516, se sídlem Dr. Milady Horákové 580/7, 460 01 Liberec, zapsaná v obchodním rejstříku vedeném Krajským soudem v Ústí nad Labem, oddíl C, vložka 5153 (dále také jen jako „Správce“ nebo jako „Společnost“), vydáváme toto prohlášení o ochraně osobních údajů, které jsme připravili v souladu s platnou legislativou, včetně nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení“). Prostřednictvím tohoto prohlášení chceme naše obchodní partnery, zaměstnance a širokou veřejnost informovat o způsobech nakládání s osobními údaji v naší společnosti.
B) Pojmy
- Osobní údaje – jsou veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě (subjektu údajů); identifikovatelná osoba znamená osobu, kterou lze přímo či nepřímo identifikovat, zejména pak pomocí identifikačního čísla či jednoho či více faktorů specifických pro její fyzickou, fyziologickou, mentální, ekonomickou, kulturní či sociální identitu.
- Citlivé údaje – Zvláštní kategorie osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.
- Subjekt údajů – je jakákoli fyzická osoba, s jejímiž osobními údaji Společnost nakládá, včetně osobních údajů zaměstnanců.
- Správce údajů – je subjekt, který určuje účely a prostředky zpracování osobních údajů a za zpracování odpovídá. V tomto případě je správcem údajů Společnost.
- Zpracovatel údajů – je jakákoli fyzická či právnická osoba, orgán veřejné správy, agentura či jakýkoli jiný subjekt zpracovávající osobní údaje jménem správce údajů (zpracování údajů prostřednictvím subdodavatele – např. firma, která dodavatelsky zpracovává mzdy).
- Zaměstnanec odpovědný za ochranu osobních údajů – správcem údajů určená osoba, která monitoruje soulad nakládání s osobními údaji s Nařízením a dalšími platnými právními předpisy, poskytuje informace a poradenství správci údajů (včetně zaměstnanců, kteří se na zpracování osobních údajů podílí) nebo zpracovatelům údajů. Společnost nemá povinnost jmenovat pověřence pro ochranu osobních údajů ve smyslu čl. 37 Nařízení a pověřence ve smyslu čl. 37 Nařízení nejmenovala.
- Nakládání s osobními údaji – je jakákoli operace či soubor operaci prováděných s osobními údaji, jako je jejich shromažďování, zaznamenávání, organizace, ukládání, úpravy či změny, vyhledávání, konzultace, použití, zpřístupňování přenosem, šíření či poskytování jiným způsobem, seřazování či kombinování, blokování, mazání či likvidace. To zahrnuje i ruční zpracování osobních údajů ve strukturovaných složkách.
- Automatizovaná individuální rozhodnutí – jsou rozhodnutí, jež mají pro subjekt údajů právní důsledky či na něj mají významný vliv a jež jsou založena výhradně na automatizovaném zpracování údajů, jehož cílem je vyhodnocení určitých osobních aspektů subjektu údajů, např. jeho pracovní výkon, úvěrová způsobilost, spolehlivost, chování apod.
- Příjemce – je jakákoli fyzická či právnická osoba, orgán veřejné správy, agentura či jakýkoli jiný subjekt, jemuž jsou údaje zpřístupněny, ať již jde o třetí stranu či nikoli. Orgány veřejné správy, které mohou údaje případně obdržet v rámci jednotlivého dotazu, však nejsou za příjemce považovány.
- Třetí strana (osoba) – je jiná osoba či subjekt, než je správce údajů. Mezi třetí strany nepatří subjekty údajů ani osoby či subjekty, které mají povinnost shromažďovat, zpracovávat či využívat osobní údaje v České Republice, jiném členském státu Evropské unie či jiném státu, jenž uzavřel Dohodu o evropském hospodářském prostoru.
C) Zdroje osobních údajů
Správce v rámci své činnosti získává osobní údaje:
- přímo od subjektu údajů při jednání o uzavření obchodu nebo poskytnutí služby a při jejich následné realizaci,
- z veřejně přístupných rejstříků, seznamů a evidencí (obchodní rejstřík, živnostenský rejstřík, katastr nemovitostí, veřejný telefonní seznam apod.) a z dalších veřejných,
- od dalších subjektů, pokud tak stanoví zvláštní předpis,
- v rámci uděleného souhlasu ze strany subjektu údajů (zpracování fotografií, použití osobních údajů za účelem personálních řízení aj.),
- případně od dalších subjektů, pokud k tomu dal subjekt údajů svůj souhlas.
D) Rozsah osobních údajů
Správce zpracovává osobní údaje subjektů údajů v tomto rozsahu:
- identifikační údaje subjektu údajů, zejména jméno, příjmení, titul, rodné číslo, datum a místo narození, pohlaví, rodinný stav, státní příslušnost, adresa trvalého pobytu, kontaktní adresy a telefonní spojení, u fyzické osoby podnikající dále její obchodní firma, odlišující dodatek nebo další označení, místo podnikání a identifikační číslo, podobiznu, podpis,
- kontaktní údaje subjektu údajů, zejména emailovou adresu, telefonní číslo,
- další popisné údaje (bankovní spojení, dosažené vzdělání apod.),
- osobní údaje se subjektem údajů spjaté osoby (identifikační a kontaktní údaje člena rodiny jako např. manžela, manželky, druha, družky, potomků),
- informace z externích zdrojů, zejména z veřejně dostupných registrů (např. obchodní rejstřík, živnostenský rejstřík, katastr nemovitostí, insolvenční rejstřík, veřejný telefonní seznam apod.).
- citlivé údaje pouze v nezbytně nutné míře.
E) Účel zpracování osobních údajů a doba zpracování osobních údajů
- Realizace smluvního vztahu
- Zpracování osobních údajů nezbytné pro řádné plnění práv a povinností vyplývajících pro Správce ze smluvního vztahu se subjektem údajů (např. příprava uzavření smluvního vztahu, vykonávání obchodů, kontrola plnění smluv apod.).
- Správce zpracovává osobní údaje pro tento účel po dobu trvání smluvního vztahu.
- Oprávněný zájem Správce
- Zpracování osobních údajů je pro tento účel nezbytné (např. ochrana prostor Správce, interní reporting, řešení sporů se subjektem údajů a ochrana a domáhání se práv Správce, správa a vymáhání pohledávek).
- Správce zpracovává osobní údaje pro tento účel po dobu trvání smluvního vztahu a do uplynutí promlčecích lhůt plynoucích z plnění práv a povinností na základě daného smluvního vztahu, resp. po dobu nezbytnou v případě, že není spojeno se smluvním vztahem mezi Správcem a subjektem údajů.
- Splnění povinností stanovených právními předpisy
- Zpracování osobních údajů je pro tento účel nezbytné z toho důvodu, že jejich zpracování ukládá zákon nebo jiný obecně závazný právní předpis (např. plnění oznamovací povinnosti vůči orgánům veřejné moci, plnění povinností týkajících se výkonu rozhodnutí, plnění archivačních povinností, plnění povinností vyplývající z předpisů upravujících pojistné, daně a účetnictví, povinnosti vyplývající z předpisů upravujících zaměstnanost apod.).
- Správce zpracovává osobní údaje pro tento účel v rozsahu stanoveném příslušným právním předpisem.
- Zpracovávání na základě uděleného souhlasu
- Správce zpracovává dále osobní údaje v rozsahu a způsobem, k němuž mu subjekt údajů udělil svůj souhlas.
- Správce zpracovává osobní údaje pro tento účel po dobu trvání souhlasu.
F) Způsob zpracování osobních údajů
Správce zpracovává osobní údaje subjektu údajů automatizovanými prostředky a manuálně za dodržení všech bezpečnostních zásad pro správu a zpracování osobních údajů. Za tímto účelem přijal Správce technickoorganizační opatření k zajištění ochrany osobních údajů, zejména opatření, která mají zabránit neoprávněného nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Veškeré subjekty, kterým mohou být osobní údaje zpřístupněny, respektují právo subjektu údajů na ochranu soukromí a jsou povinny postupovat dle platných právních předpisů týkajících se ochrany osobních údajů.
G) Informování o poskytování osobních údajů třetích osobám – příjemci osobních údajů
- Správce předává osobní údaje subjektů orgánům státního dohledu, a dalším osobám, kterým je povinen zpřístupnit osobní údaje na základě právních předpisů – jedná se zejména o orgány státní správy, soudy, orgány činné v trestním řízení, exekutory, notáře, insolvenční správce apod.
- Správce zpracovává osobní údaje prostřednictvím vlastních zaměstnanců jako správce osobních údajů nebo prostřednictvím svých zpracovatelů, na základě uzavřené smlouvy v souladu s Nařízením, za současného zajištění technických, organizačních a personálních opatření zajišťujících vysokou úroveň ochrany a zabezpečení osobních údajů Subjektů.
H) Práva Subjektů údajů
- Právo přístupu k osobním údajům
Subjekt je oprávněn požádat Správce o přístup ke svým osobním údajům, zejména o informaci o zpracování svých osobních údajů obsahující vždy alespoň sdělení o účelu zpracování osobních údajů, rozsahu a obsahu osobních údajů (např. seznamem), případně kategoriích osobních údajů, které jsou předmětem zpracování, včetně veškerých dostupných informací o jejich zdroji, povaze automatizovaného zpracování v souvislosti s jeho využitím pro rozhodování, jestliže jsou na základě tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů subjektu údajů a příjemci, případně kategoriích příjemců osobních údajů.
- Právo na opravu osobních údajů
Subjekt údajů je oprávněn vznést námitku proti nesprávnému zpracování osobních údajů a je oprávněn požádat o opravu nebo doplnění těchto osobních údajů. Správce je v takovém případě povinen bez zbytečného odkladu informovat příjemce o žádosti subjektu údajů.
- Právo na omezení zpracování
- Právo na omezení zpracování má Subjekt údajů tehdy, jestliže:
- popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby bylo možné přesnost osobních údajů ověřit,
- zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití,
- jestliže Správce nepotřebuje osobní údaje subjektu údajů pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků,
- jestliže subjekt údajů vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody Správce pro zpracování převažují nad zájmy, právy a svobodami subjektu údajů.
- Omezení zpracování znamená, že osobní údaje subjektu údajů, u nichž bylo zpracování omezeno, jsou označeny a po dobu trvání omezení mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu. Subjekt údajů, který dosáhl omezení zpracování, bude Správcem předem upozorněn na to, že bude omezení zpracování zrušeno.
- Právo na výmaz osobních údajů
Právo na výmaz osobních údajů se vztahuje jen na osobní údaje, pro jejichž zpracování byl dán souhlas subjektu údajů a neexistuje jiný právní základ zpracování osobních údajů.
- Právo na přenositelnost osobních údajů
Subjekt údajů může požádat, aby Správce osobní údaje subjektu údajů poskytl za účelem jejich předání jinému správci osobních údajů. Toto právo však náleží pouze ohledně těch údajů, které zpracovává Správce automatizovaně na základě souhlasu subjektu údajů nebo smlouvy se subjektem údajů.
- Právo vznést námitku
- Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoliv námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.
- Subjekt údajů má dále z důvodů týkajících se jeho konkrétní situace právo kdykoliv vznést námitku proti zpracování osobních údajů, které se ho týkají, pokud ke zpracování dochází z důvodu splnění úkolu prováděného ve veřejném zájmu nebo z důvodu oprávněných zájmů Správce či třetí strany.
- Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
- Právo podat stížnost u dozorového úřadu
V případě, že se subjekt údajů domnívá, že zpracováním osobních údajů dochází k porušení právních předpisů o ochraně osobních údajů, má právo podat stížnost u dozorového úřadu. V České republice je dozorovým úřadem Úřad na ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz
- Dotazy
V případě dotazů, směřujících k ochraně osobních údajů, můžete kontaktovat našeho zaměstnance odpovědného za ochranu osobních údajů, a to na adrese: gdpr@syner.cz
Odvolání souhlasu se zpracováním údajů (PDF soubor ke stažení)