Směrnice o ochraně osobních údajů

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016
„o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů
a o zrušení směrnice 95/46/ES“ (obecné nařízení o ochraně osobních údajů – GDPR)

I. PREAMBULE A ÚČEL SMĚRNICE

(1) Tato směrnice jako vnitřní předpis společnosti Evolette s.r.o. (dále správce), která je ve smyslu GDPR správcem osobních údajů, upravuje postup členů orgánů, zaměstnanců, spolupracujících osob a dalších pověřených osob při zpracování a ochraně osobních údajů fyzických osob, pro naplnění právních povinností stanovených GDPR.

(2) Tato směrnice je veřejně dostupným dokumentem, je zveřejněna na internetových stránkách správce: www.svet-obkladu.cz, www.svetcihlicek.cz a plní současně účel záznamu o zpracování osobních údajů ve smyslu čl. 30 GDPR.

II. DEFINICE POJMŮ

Dále používané pojmy jsou definovány takto [čl. 4 GDPR]:

a) „Osobní údaj“ je jakákoli informace o identifikované nebo identifikovatelné fyzické osobě, ať už jde o identifikační či kontaktní údaje (např. jméno, příjmení, datum narození, místo narození, adresa pobytu, místo podnikání, rodné číslo, IČO/DIČ, telefonní číslo, e-mail, evidenční číslo zákazníka, údaj o místu pobytu a pohybu, síťový identifikátor, popisné údaje vypovídající o fyziologii člověka, věk, pohlaví, národnost, rodinný stav, vzdělání, zaměstnání, majetkové poměry, příjmy a výdaje, počet dětí, údaje o chování, preferencích apod.)

b) „Zvláštní kategorii osobních údajů – citlivé osobní údaje“ představují některé zvlášť rizikové osobní údaje z pohledu možných zásahů do garantovaných práv a svobod fyzických osob (např. údaje o zdravotním stavu, o rasovém či etnickém původu, politických názorech, náboženském vyznání, filozofickém přesvědčení, členství v odborech, nebo genetické či biometrické údaje).

c) „Údaji o zdravotním stavu“ jsou osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb (léků, ošetření, lékařských zákroků, léčebných postupů), které vypovídají o jejím zdravotním stavu.

d) „Genetickými údaji“ jsou osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby.

e) „Biometrickými údaji“ jsou osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje.

f) „Subjektem (údajů)“ je jakákoli fyzická osoba, jejíž osobní údaje jsou zpracovávány.

g) „Zpracováním“ se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je: shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

h) „Správce“ je ve smyslu GDPR určen podle toho, že určuje účely a prostředky zpracování osobních údajů

i) „Zpracovatelem“ je každá fyzická nebo právnická osoba, který zpracovává osobní údaje pro správce (kupř. zaměstnanci, externí účetní, externí IT, externí právník, auditor apod.)

j) „Příjemcem“ je jakákoli fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli (orgány veřejné moci, které mohou získávat osobní údaje na základě zákona v rámci zvláštního šetření se za příjemce nepovažují).

k) „Souhlasem“ subjektu údajů je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

l) „Evidencí“ je jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.

m) „Profilováním“ se rozumí jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů fyzické osoby (kupř. k rozboru či odhadu pracovního výkonu, ekonomické situace, zdravotního stavu, preferencí, zájmů, spolehlivosti, chování, místa pobytu nebo pohybu).

n) „Pseudonymizací“ se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě.

o) „Porušením zabezpečení osobních údajů“ je porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

p) „Dozorovým úřadem“, orgánem veřejné moci v ČR, určeným pro kontrolu nakládání s osobními údaji, je Úřad pro ochranu osobních údajů – ÚOOÚ, se sídlem Pplk. Sochora 727/27, Holešovice, 170 00, Praha 7, telefon: +420 234 665 111, web: www.uoou.cz.

q) „Pověřenec pro ochranu osobních údajů – DPO“ je fyzická nebo právnická osoba jmenovaná správcem, aby jako interní auditor, poradce a koordinátor dohlížel nad tím, že osobní údaje jsou zpracovávány a chráněny v souladu s GDPR; je rovněž kontaktní osobou mezi správcem, subjekty a dozorovým úřadem.

III. ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Správce při zpracování osobních údajů dodržuje tyto zásady [čl. 5 GDPR]:

a) Zákonnost, korektnost a transparentnost: osobní údaje ve vztahu k subjektu údajů jsou zpracovávány korektně a zákonným a transparentním způsobem.

b) Účelové omezení: shromažďovány jsou osobní údaje pro určité, výslovně vyjádřené a legitimní účely a nejsou dále zpracovávány způsobem, který je s těmito účely neslučitelný (další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se nepovažuje za neslučitelné s původními účely).

c) Minimalizace údajů: zpracování osobních údajů je přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány.

d) Přesnost: zpracování osobních údajů je přesné a v případě potřeby aktualizované, jsou přijímána veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny.

e) Omezení uložení: zpracovávané osobní údaje jsou uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány, po delší dobu jsou ukládány, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných GDPR s cílem zaručit práva a svobody subjektu údajů.

f) Integrita a důvěrnost: osobní údaje jsou zpracovávány způsobem, který zajišťuje jejich náležité zabezpečení, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

IV. PRÁVNÍ TITULY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Správce zpracovává osobní údaje pouze na základě těchto právních titulů [čl. 6 GDPR]:

a) Subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů.

b) Zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů.

c) Zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje.

d) Zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby.

e) Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce.

f) Zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

V. ZÁZNAM O ČINNOSTECH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
pro vyplnění
Správce zpracovává osobní údaje v tomto rozsahu a tímto způsobem [článek 30 GDPR]:

a) Jméno a kontaktní údaje správce (kontaktní osoba pověřená ochranou osobních údajů (či DPO):
Evolette s.r.o., IČ: 05042763, Střítež č. ev. 1, 341 42 Kolinec,
Kontaktní osoba Eva Tláskalová, tlaskalova.eva@gmail.com.

b) Pověřenými osobami, které jsou oprávněny zpracovávat osobní údaje:

● členové statutárního orgánu (případně prokuristé) správce, ředitelé a osoby ve funkcích
vedoucích organizačních složek a oddělení
● zaměstnanci zařazení na pozice v personálním a ekonomickém oddělení
● osoby, které zabezpečují informační systémy pro zpracování osobních údajů
● jiné osoby mající oprávnění na základě uzavřené smlouvy o zpracování osobních údajů

c) Účel zpracování osobních údajů:

● agenda obchodních partnerů (dodavatelů, subdodavatelů, osob poskytujících služby či zajištění)
● agenda zákazníků (odběratelů, klientů)
● seznam zaměstnanců
● účetní, daňová a mzdová agenda, exekuční a insolvenční řízení
● evidence pro kontrolu ze strany orgánů veřejné moci
● přímý marketing

d) Kategorie subjektů a osobních údajů a právní titul zpracování:

● obchodní partneři (jejich zástupci a kontaktní osoby)
○ firmu, jméno, sídlo, bydliště, datum narození, IČO, DIČ, telefon, e-mail, ID datové schránky, sídlo provozovny, kontaktní osoby,
spolehlivost, jiné reference
○ plnění smlouvy nebo provedení opatření před uzavřením smlouvy [čl. 6, odst. (1), písm. b) GDPR]
○ ochrana oprávněných zájmů správce [čl. 6, odst. (1), písm. f) GDPR]
○ plnění právních povinností správce (účetní, daňové) [čl. 6, odst. (1), písm. c) GDPR]

● zákazníci (jejich zástupci a kontaktní osoby)
○ firmu, jméno, sídlo, bydliště, datum narození, IČO, DIČ, telefon, e-mail, ID datové schránky, sídlo provozovny, kontaktní osoby,
spolehlivost, jiné reference
○ plnění smlouvy nebo provedení opatření před uzavřením smlouvy [čl. 6, odst. (1), písm. b) GDPR]
○ ochrana oprávněných zájmů správce [čl. 6, odst. (1), písm. f) GDPR]
○ plnění právních povinností správce (účetní, daňové) [čl. 6, odst. (1), písm. c) GDPR]

● osoby poskytující zajištění závazků (jejich zástupci a kontaktní osoby)
○ firmu, jméno, sídlo, bydliště, datum narození, IČO, DIČ, telefon, e-mail, ID datové schránky, sídlo provozovny, kontaktní osoby,
spolehlivost, jiné reference
○ plnění smlouvy nebo provedení opatření před uzavřením smlouvy [čl. 6, odst. (1), písm. b) GDPR]
○ ochrana oprávněných zájmů správce [čl. 6, odst. (1), písm. f) GDPR]
○ plnění právních povinností správce (účetní, daňové) [čl. 6, odst. (1), písm. c) GDPR]

● zaměstnanci (jejich případní zástupci)
○ jméno, příjmení, datum narození, rodné číslo, státní příslušnost, čísla osobních dokladů, bydliště, telefon, e-mail, ID datové
schránky, vzdělání, rodinný stav, počet a věk dětí, mzdové údaje, údaje o exekucích, údaje o insolvenci, údaje o pracovních
výsledcích, osobních vlastnostech a schopnostech, údaje o porušení pracovních povinností
○ plnění smlouvy nebo provedení opatření před uzavřením smlouvy [čl. 6, odst. (1), písm. b) GDPR]
○ plnění právních povinností správce (účetní, daňové, exekuce) [čl. 6, odst. (1), písm. c) GDPR]
○ ochrana oprávněných zájmů správce [čl. 6, odst. (1), písm. f) GDPR]

● jiné osoby – přímý marketing
○ firmu, jméno, sídlo, bydliště, IČO, DIČ, telefon, e-mail, ID datové schránky, sídlo provozovny, kontaktní osoby, spolehlivost,
jiné reference
○ subjekt udělil souhlas se zpracováním osobních údajů [čl. 6, odst. (1), písm. a) GDPR]

e) Zdroje osobních údajů:

● údaje sdělené subjekty nebo jejich zástupci
● údaje sdělené třetí stranou; takové informace je třeba si dostupným způsobem ověřit
● veřejné rejstříky a evidence (obchodní a živnostenské rejstříky, insolvenční rejstřík, evidence exekucí)
● veřejně dostupné informace (internet, prezentace a reference); takové informace je třeba si dostupným
způsobem ověřit
● údaje získané při vlastní činnosti správce; takové informace je třeba si dostupným způsobem ověřit

f) Kategorie příjemců osobních údajů:

● údaje obchodních partnerů (jejich zástupců a kontaktních osob)
○ jiní obchodní partneři, pokud se podílejí na realizaci smlouvy či obchodu se subjektem údajů
○ zákazníci, pokud se podílejí na plnění subjektu údajů
○ osoby poskytující zajištění závazků subjektu údajů
○ banky, pojišťovny, finanční instituce, pokud se podílejí na realizaci smlouvy či obchodu se subjektem údajů
○ externí dodavatelé správce (IT, poradci, školitelé, kontroloři) pokud je to nezbytné pro činnost správce
○ externí právníci, daňoví poradci, auditoři, pokud se účastní uplatňování práv a plnění povinností správce
○ osoby propojené se správcem (koncern), pokud je to potřebné pro obchodní činnost správce
○ právní nástupci správce v případě přeměny správce
○ orgány veřejné moci, pokud tak správci stanoví právní povinnost

● údaje zákazníků (jejich zástupců a kontaktních osob)
○ obchodní partneři správce, pokud se podílejí na plnění zákazníkovi
○ osoby poskytující zajištění závazků zákazníka
○ banky, pojišťovny, finanční instituce, pokud se podílejí na plnění zákazníkovi
○ externí dodavatelé správce (IT, poradci, školitelé, kontroloři) pokud je to nezbytné pro činnost správce
○ externí právníci, daňoví poradci, auditoři, pokud se účastní uplatňování práv a plnění povinností správce
○ osoby propojené se správcem (koncern), pokud je to potřebné pro plnění zákazníkovi
○ právní nástupci správce v případě přeměny správce
○ orgány veřejné moci, pokud tak správci stanoví právní povinnost

● údaje osob poskytujících zajištění (jejich zástupců a kontaktních osob)
○ obchodní partneři správce, pokud se podílejí na realizaci zajišťované smlouvy či obchodu
○ osoby jejichž závazky jsou zajišťovány
○ banky, pojišťovny, finanční instituce, pokud se podílejí na realizaci zajišťované smlouvy či obchodu
○ externí dodavatelé správce (IT, poradci, školitelé, kontroloři) pokud je to nezbytné pro činnost správce
○ externí právníci, daňoví poradci, auditoři, pokud se účastní uplatňování práv a plnění povinností správce
○ osoby propojené se správcem (koncern), pokud je to potřebné pro plnění zákazníkovi
○ právní nástupci správce v případě přeměny správce
○ orgány veřejné moci, pokud tak správci stanoví právní povinnost

● údaje zaměstnanců (jejich případných zástupců)
○ externí dodavatelé správce (IT, poradci, školitelé, kontroloři) pokud je to nezbytné pro činnost správce
○ externí právníci, daňoví poradci, auditoři, pokud se účastní uplatňování práv a plnění povinností správce
○ osoby propojené se správcem (koncern), pokud je to potřebné pro obchodní činnost správce
○ právní nástupci správce v případě přeměny správce
○ orgány veřejné moci, pokud tak správci stanoví právní povinnost

Mezinárodním organizacím správce osobní údaje nezpřístupňuje. Příjemcům ve třetích zemích
(výhradně země EU) správce osobní údaje zpřístupňuje výjimečně, pokud se jedná o:
● obchodní partnery správce a je to nezbytné pro splnění smlouvy nebo oprávněnou ochranu zájmů správce
● cizí orgány veřejné moci a správci tak ukládá právní povinnost

g) Plánované lhůty pro výmaz osobních údajů:

● údaje obchodních partnerů (jejich zástupců a kontaktních osob)
○ v případě dlouhodobé obchodní spolupráce po dobu jejího trvání a tři roky po jejím ukončení
○ v případě jednání o smlouvě po dobu tří let po posledním kontaktu
○ v případě uzavření smlouvy po dobu tří let po jejím naplnění a uplynutí garančních závazků
avšak
► vždy správce uchovává osobní údaje až do skončení případného sporu, vypořádání všech závazků nebo uplynutí promlčecích lhůt
► vždy správce uchovává osobní údaje nejméně po archivační dobu, kterou mu ukládá zákon nebo obdobně závazný předpis

● údaje zákazníků (jejich zástupci a kontaktní osoby)
○ v případě jednání o plnění po dobu tří let po posledním kontaktu
○ v případě uzavření smlouvy po dobu tří let po jejím naplnění a uplynutí garančních závazků
avšak
► vždy správce uchovává osobní údaje až do skončení případného sporu, vypořádání všech závazků nebo uplynutí promlčecích lhůt
► vždy správce uchovává osobní údaje nejméně po archivační dobu, kterou mu ukládá zákon nebo obdobně závazný předpis

● údaje osob poskytujících zajištění závazků (jejich zástupci a kontaktní osoby)
○ v případě poskytnutí zajištění závazku po dobu tří let po jeho naplnění a uplynutí závazků ze zajištění
avšak
► vždy uchováváme osobní údaje až do skončení případného sporu, vypořádání všech závazků nebo uplynutí promlčecích lhůt
► vždy uchováváme osobní údaje nejméně po archivační dobu, kterou nám ukládá zákon nebo obdobně závazný předpis

● údaje zaměstnanců (jejich případní zástupci)
○ po dobu trvání pracovního poměru a tři roky po jeho ukončení
avšak
► vždy správce uchovává osobní údaje až do skončení případného sporu, vypořádání všech závazků nebo uplynutí promlčecích lhůt
► vždy správce uchovává osobní údaje nejméně po archivační dobu, kterou mu ukládá zákon nebo obdobně závazný předpis

● údaje jiných osob – přímý marketing
○ po dobu platnosti uděleného souhlasu

h) Aktualizace osobních údajů:

● při každém kontaktu se subjektem, kdy je správci změna oznámena subjektem nebo jeho zástupcem
● kdykoli je změna oznámena správci jinou osobou nebo zjištěna vlastní činností správce
● pomocí veřejně dostupných zdrojů (veřejné rejstříky) vždy, když správce změnu zjistí

i) Druhy listinných a elektronických evidencí, zabezpečení a sdílení:

● listinná evidence uchovávaná v uzamykatelné skříni umístěné v uzamykané místnosti, přičemž
budova je uzamykána
● elektronická evidence na sdíleném serveru chráněná standardním firewall, přístupná za použití unikátního,
měněného přístupového hesla pro každou pověřenou osobu
● přístup do elektronické evidence je umožněn účetnímu a obchodnímu systému zabezpečeným
(zaheslovaným) způsobem
● přenos dat podléhá standardnímu šifrování (e-mail) nebo je uskutečňován do datové schránky, přístup do
e-mailových a datových schránek je chráněn heslem
● zaměstnanci i ostatní osoby mají zákaz nahrávání dat s osobními údaji na přenosná média nepatřící správci
a zákaz vynášení paměťových médií mimo sféru správce
● osobní údaje jsou dostupné jen pro osoby, které je nezbytně potřebují pro výkon své činnosti
● zálohování dat probíhá do externí lokality chráněné přístupovým heslem
● správce je schopen obnovit dostupnost osobních údajů v případě technických incidentů
● všechny pověřené osoby jsou poučeny o pravidlech ochrany osobních údajů a mají se správcem uzavřeny
dohody o zachování mlčenlivosti
● všichni zpracovatelé osobních údajů mají se správcem uzavřeny smlouvy podle čl. 28 GDPR
● vymazávaná data jsou likvidována, nejen deaktivována
● software, hardware a IT systém je standardní, opatřený standardní antivirovou ochranou,
● bezpečnost a aktuálnost je kontrolována interními či externími IT zpravidla jedenkrát ročně
● je určena osoba pověřená kontrolou a koordinací ochrany osobních údajů (případně DPO)

VI. GARANTOVANÁ PRÁVA SUBJEKTŮ OSOBNÍCH ÚDAJŮ
pro vyplnění
(1) Správce garantuje subjektům osobních údajů tato práva:

a) Právo na informace a přístup k osobním údajům [čl. 12, 13 a 14 GDPR]:

Správce poskytuje subjektům ve stanovených lhůtách stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků zejména tyto informace:
● totožnost a kontaktní údaje správce, jeho zástupce (případně DPO),
● kategorie zpracovávaných osobních údajů
● zdroje zpracovávaných osobních údajů včetně případného údaje o původu z veřejně dostupných zdrojů
● účely zpracování, pro které jsou osobní údaje určeny
● právní základ (titul) pro zpracování
● oprávněné zájmy správce nebo třetí strany jsou-li právním titulem pro zpracování
● příjemce zpracovávaných osobních údajů
● případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci
● dobu po kterou budou osobní údaje zpracovávány či uloženy nebo způsob jejího určení
● existenci práva požadovat: přístup k osobním údajům, jejich opravu nebo výmaz, omezení jejich zpracování, vznést námitku proti
zpracování, přenositelnost údajů
● existenci práva odvolat kdykoli souhlas se zpracováním je-li právním titulem pro zpracování, aniž je tím dotčena zákonnost zpracování
založená na souhlasu uděleném před jeho odvoláním
● existenci práva podat stížnost u dozorového úřadu
● zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy,
a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů
● že dochází k automatizovanému rozhodování či profilování, použité postupy a význam předpokládaných důsledků takového zpracování
pro subjekt údajů
● záměr správce použít osobní údaje pro jiný účel, než pro který byly shromážděny

b) Právo na přístup k osobním údajům [čl. 15 GDPR]:

Správce garantuje subjektům právo získat potvrzení, zda osobní údaje týkající se subjektu jsou či nejsou zpracovávány, a pokud ano, garantuje subjektu právo získat přístup k těmto osobním údajům a k následujícím informacím:
● účely zpracování
● kategorie dotčených osobních údajů
● příjemce nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny
● plánovanou dobu, po kterou budou osobní údaje uloženy nebo kritéria použitá ke stanovení této doby
● existenci práva požadovat od správce opravu nebo výmaz osobních údajů, nebo omezení jejich zpracování, nebo vznést námitku proti
tomuto zpracování
● existenci práva podat stížnost u dozorového úřadu
● veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu
● že dochází k automatizovanému rozhodování či profilování, použité postupy a význam předpokládaných důsledků takového zpracování
pro subjekt údajů
● pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci informaci o vhodných zárukách, které se na předání
vztahují

Správce poskytne subjektu kopii zpracovávaných údajů, které se subjektu týkají.

c) Právo na opravu [čl. 16 GDPR]:

Správce bez zbytečného odkladu po žádosti subjektu provede opravu nebo doplnění nesprávných nebo neúplných osobních údajů, které o něm zpracovává.

d) Právo na výmaz (být zapomenut) [čl. 17 GDPR]:

Správce bez zbytečného odkladu po žádosti subjektu provede výmaz jeho osobních údajů, pokud:
● osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány
● subjekt odvolá souhlas, na jehož základě byly údaje zpracovány a neexistuje žádný další právní důvod pro zpracování
● subjekt vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování, nebo subjekt údajů vznese
námitky proti zpracování údajů pro účely přímého marketingu
● osobní údaje byly zpracovány protiprávně
● osobní údaje musí být vymazány ke splnění právní povinnosti
● osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti

Správce však výmaz osobních údajů neprovede, pokud je zpracování nezbytné:
● pro výkon práva na svobodu projevu a informace
● pro splnění právní povinnosti, jež vyžaduje zpracování nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné
moci, kterým je správce pověřen
● z důvodů veřejného zájmu v oblasti veřejného zdraví
● pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely, pokud je pravděpodobné,
že by právo na výmaz znemožnilo nebo vážně ohrozilo cíle zpracování
● pro určení, výkon nebo obhajobu právních nároků

e) Právo na omezení zpracování [čl. 18 GDPR]:

Správce na žádost subjektu omezí zpracování jeho osobních údajů pokud:
● subjekt popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit
● zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů, ale žádá místo toho o omezení jejich použití
● správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu
právních nároků
● subjekt z důvodů týkajících se jeho konkrétní situace vznesl námitku proti zpracování údajů zpracovávaných pro splnění úkolu
ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce nebo pro účely oprávněných zájmů správce či třetí strany,
a to na dobu, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu

f) Oznamovací povinnost ohledně opravy, výmazu nebo omezení zpracování [čl. 19 GDPR]:

Správce oznamuje příjemcům, jimž byly zpřístupněny osobní údaje, veškeré opravy, výmazy nebo omezení zpracování údajů s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt požaduje.

g) Právo na přenositelnost [čl. 20 GDPR]:

Správce na žádost subjektu předá subjektu jeho osobní údaje, které zpracovává, ve strukturovaném, běžně používaném a strojově čitelném formátu a předá je jinému, subjektem určenému správci, pokud:
● je zpracování údajů založeno na souhlasu subjektu (s výjimkou případů, kdy podle práva nemůže být souhlas subjektem zrušen) nebo
na plnění smlouvy uzavřené mezi správcem a subjektem či pro provedení opatření přijatých před uzavřením takové smlouvy a
zpracování se provádí automatizovaně.

Správce přenos osobních údajů neumožní, pokud by tím byla nepříznivě dotčena práva a svobody jiných osob.

h) Právo vznést námitku [čl. 21 GDPR]:

Pokud subjekt z důvodů týkajících se jeho konkrétní situace vznese vůči správci námitku proti zpracování svých osobních údajů zpracovávaných správcem ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce nebo pro účely oprávněných zájmů příslušného správce či třetí strany (včetně profilování založeného na těchto důvodech), správce osobní údaje subjektu dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků správce.

Pokud subjekt vznese námitku proti zpracování svých osobních údajů pro účely přímého marketingu (včetně profilování těchto údajů), nebude správce tyto osobní údaje pro účely přímého marketingu dále zpracovávat.

i) Právo na přezkum automatizovaného zpracování a profilování [čl. 22 GDPR]:

Správce umožní subjektu na jeho žádost, aby nebyl předmětem výhradně automatizovaného zpracování svých osobních údajů (včetně profilování) a umožní mu, aby zpracování (i profilování) jeho osobních údajů bylo přezkoumáno člověkem, pokud:
● automatizované zpracování (či profilování) není nezbytné k uzavření či plnění smlouvy mezi správcem a subjektem
● automatizované zpracování (či profilování) není povoleno závazným právním předpisem
● automatizované zpracování (či profilování) není založeno na výslovném souhlasu subjektu

j) Právo odvolat souhlas se zpracováním osobních údajů [čl. 7, odst. (2) GDPR]:

Pokud jsou osobní údaje zpracovávány na základě souhlasu subjektu [čl. 6 odst. (1) písm. a) nebo čl. 9 odst. (2) písm. a) GDPR] má subjekt právo svůj kdykoli odvolat, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním.

k) Právo podat stížnost u dozorového orgánu [čl. 77 GDPR]:

Správce, bez ohledu na jiná práva a jiné prostředky ochrany, informuje subjekty osobních údajů o právu podat proti porušení práv při zpracování jeho osobních údajů stížnost u dozorového úřadu, kterým je v České republice Úřad pro ochranu osobních údajů – ÚOOÚ, se sídlem Pplk. Sochora 727/27, Holešovice, 170 00, Praha 7, telefon: +420 234 665 111, web: www.uoou.cz.

(2) Subjekt údajů může svá práva vůči správci uplatnit podáním k těmto kontaktům:

● statutární orgán správce: Eva Tláskalová
● kontaktní osoba (případně DPO): Eva Tláskalová

VII. OHLAŠOVÁNÍ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ
pro vyplnění
(1) Jakékoli porušení zabezpečení osobních údajů, je-li pravděpodobné, že toto porušení může mít za následek riziko pro práva a svobody fyzických osob, správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí Úřadu pro ochranu osobních údajů [čl. 33 GDPR]. V ohlášení správce uvede nejméně tyto údaje:

a) Popis povahy daného případu porušení zabezpečení osobních údajů včetně (pokud je to možné) kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů.

b) Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace.

c) Popis pravděpodobných důsledků porušení zabezpečení osobních údajů.

d) Popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

(2) Pro ohlášení porušení zabezpečení osobních údajů dozorovému úřadu správce může využít formulář v příloze této směrnice.

(3) Správce dokumentuje a uchovává veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.

(4) Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů [čl. 34 GDPR]. V oznámení subjektu správce uvede:

a) Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace.

b) Popis pravděpodobných důsledků porušení zabezpečení osobních údajů.

c) Popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

(5) Oznámení porušení zabezpečení osobních údajů subjektu údajů správce neučiní, pokud:

a) Zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup (například šifrování).

b) Přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví.

c) Oznámení by vyžadovalo nepřiměřené úsilí; v takovém případě budou subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

VIII. KONTROLA DODRŽOVÁNÍ SMĚRNICE
pro vyplnění
Správce zajišťuje prostřednictvím svého statutárního orgánu nebo jiné pověřené osoby (případně DPO) průběžnou kontrolu dodržování této směrnice. Její porušení ze strany svých zaměstnanců vyhodnocuje správce jako porušení právních povinností vztahujících se k vykonávané práci s následky uvedenými ve zvláštním zákoně.

IX. PLATNOST A ÚČINNOST SMĚRNICE
pro vyplnění
(1) Tato směrnice nabývá platnosti a účinnosti dnem 25. 5. 2018.

(2) Správce je oprávněn a povinen obsah směrnice přizpůsobovat zněním rozhodných právních předpisů, vývoji poznatků v oblasti ochrany osobních údajů a faktickým změnám v činnosti a vybavení správce.

(3) Účinné znění směrnice je vždy to, které zveřejněno na internetových stránkách správce v okamžiku rozhodném pro vznik příslušných práv a povinností.

VERZE 25. 5. 2018