GDPR
INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Prohlášení o zpracování osobních údajů dle nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a poučení subjektů údajů (dále jen „GDPR“)
I.
Správce osobních údajů
Ivana Štinglová, DiS, IČ: 76243397, se sídlem Plechamr 290, 391 65 Bechyně, fyzická osoba zapsaná v ŽR, vedeného MěÚ Tábor, dne 1.4.2008 pod č.j.: OŽ/186/2009/JV/6 (dále jen jako „správce“) Vás tímto v souladu s čl. 12 GDPR informuje o zpracování Vašich osobních údajů a o Vašich právech.
II.
Základní ustanovení
- Kontaktní údaje správce jsou:
Adresa: Ivana Štingová, Plechamr 290, 391 65 Bechyně po tel. nebo emailové dohodě
Email: ivana.stinglova@centrum.cz
Tel.: 777 687 624
- Subjekty údajů se mohou obracet na správce pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle nařízení GDPR.
- Správce nejmenoval pověřence pro ochranu osobních údajů.
III.
Účel zpracování osobních údajů
- plnění zákonných povinností ze strany správce, zejména z titulu vedení účetnictví, daňových povinností a provádění dalších povinných odvodů,
- zajištění uzavření a následného plnění smluvního závazku mezi správcem a subjektem údajů,
- k ochraně svých oprávněných zájmů v rámci dohodnutého smluvního závazku mezi správcem a subjektem údajů, a to zejména pro zajištění plnění povinností smluvních stran ve smyslu např. reklamačních řízení, ochrany majetkových zájmů správce v případných soudních sporech,
- ochrana práv správce, příjemce nebo jiných dotčených osob (např. vymáhání pohledávek správce),
- archivnictví vedené na základě zákona č. 563/1991 Sb., o účetnictví,
- jednání o smluvním vztahu,
- výběrová řízení na volná pracovní místa,
- k marketingovým účelům, aby správce co nejlépe přizpůsobil nabídku svých produktů a služeb,
- pro obchodní sdělení správce, když pro tento účel je nutný jednoznačný informovaný souhlas subjektu údajů, který se uděluje samostatně,
- účely obsažené v rámci souhlasu subjektu údajů
III.
Zdroje osobních údajů
- veřejně přístupné rejstříky, seznamy a evidence (např. obchodní rejstřík, živnostenský rejstřík, katastr nemovitostí, veřejný telefonní seznam apod.) a další volně přístupné údaje (např. tisk, sociální sítě),
- přímo od subjektů údajů (jméno, příjmení, adresa, datum narození, e-maily, telefon, chat, webové stránky, sociální sítě, vizitky, bankovní spojení)
IV.
Rozsah zpracování údajů
Osobní údaje jsou zpracovány v rozsahu:
- v jakém je příslušný subjekt údajů správci poskytl, a to v souvislosti s uzavřením smluvního či jiného právního vztahu se správcem,
- nebo které správce shromáždil jinak a zpracovává je v souladu s platnými právními předpisy či k plnění zákonných povinností správce
V.
Kategorie osobních údajů, které jsou předmětem zpracování
- adresní a identifikační údaje sloužící k jednoznačné a nezaměnitelné identifikaci subjektu údajů (např. jméno, příjmení, titul, datum narození, příp. rodné číslo, adresa trvalého pobytu, IČ, DIČ) a údaje umožňující kontakt se subjektem údajů (kontaktní údaje – např. doručovací adresa, číslo telefonu, číslo faxu, e-mailová adresa a jiné informace obdobného charakteru),
- popisné údaje (např. bankovní spojení),
- další nezbytné údaje pro plnění smlouvy,
- údaje poskytnuté nad rámec příslušných zákonů zpracovávané v rámci uděleného souhlasu ze strany subjektu údajů (zpracování fotografií, použití osobních údajů za účelem personálních řízení, emaily ze strany zájemců o dražby aj.)
VI.
Kategorie subjektů údajů
- zájemce o službu (budoucí potenciální zákazník),
- zájemce o zboží (budoucí potenciální zákazník),
- osoba ve smluvním vztahu ke správci (zejména zákazník),
- zaměstnanec správce,
- dodavatel služby nebo zboží,
- zájemce o pozici dodavatele zboží nebo služeb,
- uchazeč o zaměstnání,
- další osoba, vůči které uplatňuje své právo správce (zejména škůdce, který způsobil správci škodu)
- další osoba, která tvrdí a uplatňuje svá práva vůči správci (zejména údajný poškozený z titulu náhrady škody)
VII.
Kategorie příjemců osobních údajů
- státní a jiné orgány v rámci plnění zákonných povinností stanovených příslušnými právními předpisy a jejich kontroly a v rámci plnění úkolů veřejného zájmu, zejména kontrolní orgány jako Finanční úřad, Okresní správa sociálního zabezpečení aj.,
- veřejné ústavy, např. soudy v případě uplatnění oprávněného zájmu správce v rámci soudního řízení vedeného správcem proti subjektu údajů,
- dodavatel zboží a služeb,
- poštovní přepravce,
- zpracovatel,
VIII.
Způsob zpracování a ochrany osobních údajů
Zpracování osobních údajů provádí správce, případně zpracovatel na základě pokynů správce. Zpracování je prováděno v sídle správce jednotlivými pověřenými zaměstnanci správce, příp. zpracovatelem v místě jeho sídla. Ke zpracování údajů dochází prostřednictvím výpočetní techniky na základě elektronické evidence, popř. i manuálním způsobem u osobních údajů v listinné podobě za dodržení všech bezpečnostních zásad pro správu a zpracování osobních údajů. Za tímto účelem přijal správce technickoorganizační opatření k zajištění ochrany osobních údajů, zejména opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Veškeré subjekty, kterým mohou být osobní údaje zpřístupněny, respektují právo subjektů údajů na ochranu soukromí a jsou povinny postupovat dle platných právních předpisů týkajících se ochrany osobních údajů.
IX.
Doba zpracování údajů
Osobní údaje budou zpracovávány po dobu jednání o uzavření smlouvy mezi správcem a subjektem údajů, jakož i po dobu trvání smluvního vztahu, či po dobu stanovenou v souhlasu uděleném subjektem údajů, a to dle následujících pravidel:
- V případě uzavření smlouvy budou osobní údaje zpracovávány a uchovávány po dobu následujících 36 měsíců pro případ vzniku sporu týkajícího se vztahu mezi správcem a subjektem údajů, a to za účelem ochrany oprávněných zájmů správce.
- Za účelem plnění zákonné povinnosti archivace účetních dokladů na základě zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů, budou osobní údaje (kromě e-mailové adresy a telefonního čísla) dále zpracovávány a uchovávány správcem po dobu 5 let počínaje rokem následujícím po roce, v němž došlo k uzavření smlouvy mezi správcem a subjektem údajů.
- Po uplynutí výše uvedených lhůt správce zpracované osobní údaje subjektu údajů zlikviduje.
X.
Poučení o právech subjektu údajů
- Správce zpracovává údaje v zákonem stanovených případech, a to z důvodu plnění smlouvy, z důvodu splnění právní povinnosti, z důvodu ochrany oprávněných zájmů správce či třetí osoby, z důvodu splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, z důvodu ochrany životně důležitých zájmů subjektu údajů, kdy zpracování osobních údajů nevyžaduje souhlas subjektu údajů. Není-li zde jiný zákonný důvod, musí mít se zpracováním údajů souhlas dotčeného subjektu údajů.
- Každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může:
- Požádat správce o vysvětlení.
- Požadovat, aby správce odstranil takto vzniklý stav.
- Nevyhoví-li správce žádosti subjektu údajů, má subjekt právo obrátit se přímo na dozorový úřad, tedy Úřad pro ochranu osobních údajů.
- Postup nevylučuje, aby se subjekt údajů obrátil se svým podnětem na dozorový úřad přímo.
- Subjekt údajů má dle článku 15 GDPR právo získat od správce potvrzení, zda jeho osobní údaje jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k jeho osobním údajům a k následujícím informacím: a) účely zpracování; b) kategorie dotčených osobních údajů; c) příjemci nebo kategorie příjemců, kterým jeho osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích; d) plánovaná doba, po kterou budou jeho osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby; e) existence práva požadovat od správce opravu nebo výmaz jeho osobních údajů nebo omezení jejich zpracování, a nebo vznést námitku proti tomuto zpracování; f) právo podat stížnost u dozorového úřadu; g) veškeré dostupné informace o zdroji jeho osobních údajů, pokud nebyly získány přímo od subjektu údajů; h) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 GDPR, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro mne.
Subjekt údajů má právo na poskytnutí kopie jeho osobních údajů zpracovávaných správcem. Za další kopie může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže podá subjekt údajů žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud nepožádá o jiný způsob. - Subjekt údajů má dle článku 16 GDPR právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.
- Subjekt údajů má dle článku 17 GDPR právo na to, aby správce bez zbytečného odkladu vymazal jeho osobní údaje, pokud je dán jeden z těchto důvodů: a) jeho osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány; b) subjekt údajů odvolal souhlas se zpracováním jeho osobních údajů, a neexistuje žádný další právní důvod pro zpracování; c) subjekt údajů vznesl námitky proti zpracování podle čl. 21 odst. 1 GDPR a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznesl námitky proti zpracování podle čl. 21 odst. 2 GDPR; d) osobní údaje byly zpracovány protiprávně; e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Evropské unie nebo jejího členského státu, které se na správce vztahuje.
V předcházejícím odstavci uvedené se neuplatní, pokud je zpracování osobních údajů nezbytné: a) pro výkon práva na svobodu projevu a informace; b) pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Evropské unie nebo jejího členského státu, které se na Správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, pokud by jím byl Správce pověřen; c) z důvodů veřejného zájmu v oblasti veřejného zdraví; d) pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely v souladu s čl. 89 odst. 1 GDPR; e) pro určení, výkon nebo obhajobu právních nároků. - Subjekt údajů má dle článku 18 GDPR právo na to, aby správce omezil zpracování v kterémkoli z těchto případů: a) pokud by subjekt údajů popíral přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit; b) zpracování je protiprávní a subjekt údajů by odmítl výmaz jeho osobních údajů a žádal by místo toho o omezení jejich použití; c) správce již osobní údaje subjektu údajů nepotřebuje pro účely zpracování, avšak ten je požadoval pro určení, výkon nebo obhajobu právních nároků; d) vznesl-li subjekt údajů námitku proti zpracování podle čl. 21 odst. 1 GDPR, dokud nebude ověřeno, zda oprávněné důvody Správce převažují nad jeho oprávněnými důvody.
Pokud bylo zpracování omezeno podle předcházejícího odstavce, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Evropské unie nebo některého jejího členského státu. - Správce oznamuje dle článku 19 GDPR jednotlivým příjemcům, jimž byly zpřístupněny osobní údaje subjektu údajů, veškeré opravy nebo výmazy jeho osobních údajů nebo omezení zpracování, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto příjemcích, jen pokud to subjekt údajů požaduje.
- Subjekt údajů má dle článku 20 GDPR právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že: a) zpracování je založeno na souhlasu podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b); a b) zpracování se provádí automatizovaně. Subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné. Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
- Subjekt údajů má dle článku 21 GDPR právo z důvodů týkajících se jeho konkrétní situace kdykoli vznést námitku proti zpracování jeho osobních údajů, na základě čl. 6 odst. 1 písm. e) nebo f) GDPR, včetně profilování založeného na těchto ustanoveních. Správce jeho osobní údaje dále nebude zpracovávat, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad jeho zájmy nebo právy a svobodami, nebo pro určení, výkon nebo obhajobu právních nároků.
Subjekt má právo kdykoli vznést námitku proti zpracování osobních údajů, které se ho týkají, pokud se osobní údaje zpracovávají pro účely přímého marketingu, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.
Subjekt může uplatnit své právo vznést námitku automatizovanými prostředky pomocí technických specifikací. - Subjekt údajů má dle článku 22 GDPR právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něj právní účinky nebo se jej obdobným způsobem významně dotýká. To neplatí, pokud je rozhodnutí: a) nezbytné k uzavření nebo plnění smlouvy mezi mnou a Správcem; b) povoleno právem Evropské unie nebo jejího členského státu, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu mých práv a svobod a oprávněných zájmů; c) založeno na jeho výslovném souhlasu.
- Dle článku 34 GDPR, pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody dotčených fyzických osob, má správce povinnost toto porušení bez zbytečného odkladu oznámit subjektu údajů. Oznámení se však nevyžaduje, je-li splněna kterákoli z těchto podmínek: a) správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita, zejména taková, která činí tyto osobní údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování; b) správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody se již pravděpodobně neprojeví; c) vyžadovalo by to nepřiměřené úsilí.
V Bechyni dne 24.5.2018
Ivana Štinglová, DiS
jako správce osobních údajů