Servis Princ

Ochrana osobních údajů

Formulář pro souhlas se zpracováním osobních údajů

1. Účel, působnost a uživatelé

Společnost L&M Servis Princ s.r.o., dále jen „společnost“, usiluje o dodržování platných právních a správních předpisů týkajících se ochrany osobních údajů v zemích, kde působí. Tato podniková směrnice stanoví základní principy, podle nichž společnost zpracovává osobní údaje spotřebitelů, zákazníků, dodavatelů, obchodních partnerů, zaměstnanců a dalších osob, a vymezuje odpovědnost útvarů a zaměstnanců společnosti při zpracování osobních údajů.

Podniková směrnice se vztahuje na společnost a dceřiné společnosti, které společnost přímo či nepřímo ovládá a plně vlastní a které vykonávají činnost v rámci Evropského hospodářského prostoru (EHP) nebo zpracovávají osobní údaje subjektů údajů v EHP.

Uživateli tohoto dokumentu jsou všichni zaměstnanci, stálí nebo dočasní, a všichni dodavatelé pracující jménem společnosti.

 

2. Referenční dokumenty

  • Obecné nařízení EU o ochraně osobních údajů 2016/679 (nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES).

3. Definice

Následující definice pojmů používaných v tomto dokumentu vycházejí z článku 4 obecného nařízení EU o ochraně osobních údajů:

Osobní údaje: Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“), kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Citlivé osobní údaje: Osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práv a svobody. Mezi tyto osobní údaje patří osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, genetické údaje, biometrické údaje za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

Správce údajů: Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

Zpracovatel údajů: Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce údajů.

Zpracování: Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení údajů.

Anonymizace: Nevratná deidentifikace osobních údajů, která zajistí, aby danou osobu nebylo možné identifikovat, pokud správce či jakákoliv jiná osoba použije k identifikaci této osoby přiměřenou dobu, náklady a technologie. Zásady zpracování osobních údajů se nevztahují na anonymizované údaje, protože ty již nejsou osobními údaji.

Pseudonymizace: Zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě. Pseudonymizace snižuje, avšak zcela neodstraňuje schopnost propojit osobní údaje se subjektem údajů. Jelikož pseudonymizované údaje jsou stále osobními údaji, mělo by zpracování pseudonymizovaných údajů být v souladu se zásadami zpracování osobních údajů.

Přeshraniční zpracování osobních údajů: Zpracování osobních údajů, které probíhá v souvislosti s činnostmi provozoven ve více než jednom členském státě správce či zpracovatele v Evropské unii, je-li tento správce či zpracovatel usazen ve více než jednom členském státě; nebo zpracování osobních údajů, které probíhá v souvislosti s činnostmi jediné provozovny správce či zpracovatele v Unii, ale kterým jsou nebo pravděpodobně budou podstatně dotčeny subjekty údajů ve více než jednom členském státě;

Dozorový úřad: Nezávislý orgán veřejné moci zřízený členským státem podle článku 51 obecného nařízení EU o ochraně osobních údajů;

Vedoucí dozorový úřad: Dozorový úřad, jehož primární odpovědností je zabývat se činností přeshraničního zpracování údajů, například když subjekt údajů podá stížnost na zpracování svých osobních údajů; úřad je mimo jiné odpovědný za přijímání oznámení o porušení zabezpečení údajů, oznamují se mu rizikové činnosti zpracování a bude mít plnou pravomoc ohledně svých povinností k zajištění souladu s ustanoveními obecného nařízení EU o ochraně osobních údajů;

Každý „místní dozorový úřad“ bude i nadále působit na svém vlastním území a bude monitorovat veškeré místní zpracování údajů, které se dotýká subjektů údajů nebo které provádí správce nebo zpracovatel z EU nebo z nečlenského státu EU, pokud se jejich zpracování zaměřuje na subjekty údajů s bydlištěm na jeho území. Mezi úkoly a pravomoci místních dozorových úřadů patří provádět šetření a ukládat správní opatření a pokuty, zvyšovat povědomí veřejnosti o rizicích, pravidlech, bezpečnosti a právech v souvislosti se zpracováním osobních údajů, jakož i získávat přístup do všech prostor správce a zpracovatele, včetně přístupu k veškerým zařízením a prostředkům pro zpracování údajů.

Hlavní provozovna v případě správce s provozovnami ve více než jednom členském státě místo, kde se nachází jeho ústřední správa v Unii, ledaže jsou rozhodnutí o účelech a prostředcích zpracování osobních údajů přijímána v jiné provozovně správce v Unii a tato jiná provozovna má pravomoc vymáhat provádění těchto rozhodnutí, přičemž v takovém případě je za hlavní provozovnu považována provozovna, která tato rozhodnutí přijala;

Hlavní provozovna v případě zpracovatele s provozovnami ve více než jednom členském státě místo, kde se nachází jeho ústřední správa v Unii, nebo pokud zpracovatel nemá v Unii žádnou ústřední správu, pak ta provozovna zpracovatele v Unii, kde probíhají hlavní činnosti zpracování v souvislosti s činnostmi provozovny zpracovatele, v rozsahu, v jakém se na zpracovatele vztahují specifické povinnosti podle tohoto nařízení;

Skupina podniků: Jakákoli holdingová společnost spolu se svou dceřinou společností.

 

4. Základní zásady zpracování osobních údajů

Zásady ochrany údajů vymezují základní odpovědnosti organizací nakládajících s osobními údaji. Čl. 5 odst. 2 obecného nařízení o ochraně osobních údajů stanoví, že „správce odpovídá za dodržení těchto zásad a musí být schopen toto dodržení souladu doložit“.

4.1. Zákonnost, korektnost a transparentnost

Osobní údaje musí být ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem.

4.2. Účelové omezení

Osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný.

4.3. Minimalizace údajů

Osobní údaje musí být přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelů, pro které jsou zpracovávány. Společnost musí osobní údaje anonymizovat nebo pseudonymizovat, pokud je to možné, s cílem snížit rizika pro dotčené subjekty údajů.

4.4. Přesnost

Osobní údaje musí být přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny.

4.5. Omezení doby uložení

Osobní údaje musí být uchovávány pouze po dobu, která je nezbytná pro účely, pro které jsou zpracovávány.

 

4.6. Integrita a důvěrnost

S ohledem na stav techniky a další dostupná bezpečnostní opatření, náklady na realizaci a pravděpodobnost a závažnost rizik týkajících se osobních údajů musí společnost použít vhodná technická nebo organizační opatření ke zpracování osobních údajů způsobem, který zajistí jejich přiměřené zabezpečení, včetně ochrany před náhodným nebo protiprávním zničením, ztrátou, pozměněním, neoprávněným přístupem nebo zveřejněním.

4.7. Odpovědnost

Správci musí odpovídat za dodržení těchto zásad a musí být schopni toto dodržení souladu doložit.

 

5. Začlenění ochrany údajů do podnikatelských činností

Aby organizace mohla prokázat dodržení souladu se zásadami ochrany údajů, měla by začlenit ochranu údajů do svých podnikatelských činností.

5.1. Oznámení subjektům údajů

(Viz část Pokyny pro spravedlivé zpracování.)

5.2. Volba a souhlas souhlasu subjektu údajů

(Viz část Pokyny pro spravedlivé zpracování.)

5.3. Shromažďování

Společnost se musí snažit shromažďovat co nejmenší množství osobních údajů. Pokud jsou osobní údaje shromažďovány od třetí strany, společnost musí zajistit, aby byly osobní údaje shromažďovány zákonně.

5.4. Použití, uchovávání a likvidace

Účely, metody, omezení uložení a doba uchovávání osobních údajů musí být v souladu s informacemi obsaženými v oznámení o ochraně osobních údajů. Společnost musí zachovat přesnost, integritu, důvěrnost a relevantnost osobních údajů vzhledem k účelu zpracování. Aby se zabránilo odcizení, neoprávněnému použití nebo zneužití osobních údajů a předešlo narušení osobních údajů, musí být použity přiměřené mechanismy zabezpečení určené k ochraně osobních údajů. Za dodržení souladu s požadavky uvedenými v této části odpovídá pověřenec pro ochranu osobních údajů.

5.5. Zabezpečení

Osobní údaje jsou evidovány elektornickou formou v podnikovém systému DMS, případně v hmotné formě ve firemním archivu. Přístup do systému či archivu mají pouze osoby k tomu oprávněné při znalosti přístupových hesel.

5.6. Zpřístupnění třetím stranám

Kdykoli společnost používá dodavatele nebo obchodního partnera (třetí stranu), který zpracovává osobní údaje jménem společnosti, musí společnost zajistit, aby tento zpracovatel zajistil bezpečnostní opatření k ochraně osobních údajů, která odpovídajím rizikům.

Společnost musí smluvně požadovat od dodavatele nebo obchodního partnera, aby zajistil stejnou úroveň ochrany údajů. Dodavatel nebo obchodní partner musí zpracovávat osobní údaje pouze za účelem plnění svých smluvních závazků vůči společnosti nebo na základě pokynů společnosti, a nikoliv pro jiné účely. Pokud společnost zpracovává osobní údaje společně s nezávislou třetí stranou, musí výslovně uvést tuto třetí stranu a její odpovídající povinnosti v příslušné smlouvě nebo jiném právně závazném dokumentu, např. ve smlouvě o zpracování údajů dodavatelem.

5.7. Práva subjektů údajů na přístup k údajům, které jsou o nich shromažďovány

Při výkonu funkce správce osobních údajů je pověřenec pro ochranu osobních údajů povinen poskytnout subjektům údajů přiměřený mechanismus přístupu k jejich osobním údajům, a musí jim umožnit aktualizovat, opravit, vymazat nebo předat jejich osobní údaje, je-li to vhodné nebo je-li to vyžadováno právními předpisy. Mechanismus poskytnutí přístupu k údajům bude podrobněji popsán v postupu žádosti subjektů údajů o poskytnutí přístupu.

5.8. Přenositelnost údajů

Subjekty údajů mají právo obdržet na vyžádání kopii údajů, které nám poskytly, ve strukturovaném formátu, a předat tyto údaje jinému správci, a to bezplatně. Pověřenec pro ochranu osobních údajů zodpovídá za zajištění toho, aby tyto žádosti byly vyřízeny do jednoho měsíce, aby nebyly nepřiměřené a nedotkly se práv na osobní údaje jiných osob.

5.9. Právo být zapomenut

Na požádání mají subjekty údajů právo dosáhnout u společnosti výmazu svých osobních údajů. Pokud společnost vykonává funkci správce, pověřenec pro ochranu osobních údajů musí přijmout nezbytná opatření (včetně technických opatření) k informování třetích stran, které tyto údaje používají nebo zpracovávají, že mají žádosti vyhovět.

 

6. Pokyny pro spravedlivé zpracování

Osobní údaje smí být zpracovávány pouze tehdy, pokud je to nezbytně nutné pro poskytnutí požadované služby, nebo subjekt poskytl souhlas. Zároveň mohou být osobní údaje zpracovávány pouze v rámci firemních procesů a to pouze zaměstnanci v roli uvedeného procesu.

Vlastník procesu musí rozhodnout, zda provádět posouzení vlivů na ochranu údajů pro každou činnost zpracování údajů, a to zodpovězením následujících otázek:

  • Jedná se zpracování sensitivních osobních údajů obyvatelů EU?
  • Jsou osobní data použita k predikci osobních preferencí, lokace, pohybu jednotlivce, finanční situace, zdravotního stavu nebo pracovní výkonnosti občanů EU?
  • Jedná se o zpracování, které pomáhá rozhodnutí, které může významným způsobem ovlivnit jednotlivce, jako je zamítnutí půjčky nebo zamítnutí služby?
  • Zahrnuje zpracování systematický monitoring veřejných míst?
  • Jsou se zpracováním spojena nějaká další rizika ovlivňující práva a svobody jednotlivce?
6.1. Účely zpracování osobních údajů
Zpracování bez souhlasu
  • Zajištění uzavření a následného naplnění smluvního závazku mezi správcem a subjektu údajů;

  • Plnění zákonných povinností vyplývajících z výše uvedeného smluvního závazku[1];

  • Provádění podnikatelské činnosti a management obchodních příležitostí;

  • Ochrana našich oprávněných zájmů[2].

  • Informace zpracovávané bez souhlasu:

  • jméno, příjmení, adresa, telefon, e-mail, informace o vozidle.

  • Tyto informace jsou nezbytné pro plnění zákonných povinností, zajištění a plnění smluvního závazku a management podnikatelské činnosti. Budou tedy využity pouze pro provedení sjednané zakázky, případný kontakt zákazníka ve věci zakázky a evidenci historie provedených prací a použitého materiálu.

  • V zájmu zajištění co největší ochrany soukromí subjektu údajů, má každý subjekt údajů právo vznést námitku, aby jeho/její osobní údaje byly zpracovávány výhradně pro nejnutnější zákonné důvody nebo aby byly osobní údaje blokovány. Více o právech subjektu údajů souvisejících se zpracováním osobních údajů naleznete v článku 1.7 této Informace.

    Zpracování na základě souhlasu
  • Zasílání obchodních a marketingových materiálů a další marketingové aktivity.

  • Pořádání akcí jako jsou konference, školení, semináře, workshopy a to ve fyzické i elektronické podobě.

  • Shromažďování a publikace záznamů z akcí a to ve fyzické i elektronické podobě.

  • Profilování a analýza osobních preferencí a zájmů za účelem předkládání relevantního obsahu.

    Pokud správci neudělíte souhlas se zpracováním osobních údajů k účelům uvedených výše nebo některým z nich (Zpracování na základě souhlasu), neznamená to, že Vám správce v důsledku toho odmítl poskytnout výrobky nebo služby.

6.2. Oznámení subjektům údajů

V okamžiku shromažďování nebo před shromažďováním osobních údajů pro činnosti zpracování jakéhokoliv druhu, mimo jiné včetně prodeje produktů, služeb, nebo marketingových činností, je podnik povinen náležitě informovat subjekty údajů o: typech shromažďovaných osobních údajů, účelech zpracování, metodách zpracování, právech subjektů údajů týkajících se jejich osobních údajů, době uchovávání údajů, případném mezinárodním předávání údajů, budou-li údaje sdíleny s třetími stranami, a o bezpečnostních opatřeních společnosti na ochranu osobních údajů. Tyto informace jsou poskytovány prostřednictvím oznámení o ochraně osobních údajů.

6.3. Získání souhlasu

Kdykoli je zpracování osobních údajů založeno na souhlasu subjektu údajů nebo na jiných zákonných důvodech, zodpovídá pověřenec pro ochranu osobních údajů za uchování záznamu o tomto souhlasu. Pověřenec pro ochranu osobních údajů je povinen poskytnout subjektům údajů možnost udělit souhlas a musí je informovat o tom, že jejich souhlas (kdykoli je souhlas používán jako zákonný důvod pro zpracování) může být kdykoliv odvolán, a pověřenec musí zajistit, aby uvedený souhlas mohl být kdykoliv odvolán.

Při žádostech o opravu, úpravu nebo zničení záznamů osobních údajů musí pověřenec pro ochranu osobních údajů zajistit, aby tyto žádosti byly vyřízeny v přiměřeném časovém rámci. Pověřenec pro ochranu osobních údajů musí také žádosti zaznamenávat a vést jejich evidenci.

Osobní údaje musí být zpracovávány pouze pro účely, pro které byly původně shromážděny. V případě, že společnost chce zpracovávat shromážděné osobní údaje pro jiný účel, musí jasným a stručným způsobem písemně požádat o souhlas svých subjektů údajů. V každé takové žádosti by měl být uveden původní účel, pro který byly údaje shromážděny, a také nový nebo doplňující účel (účely). Žádost musí obsahovat také důvod změny účelu (účelů). Za dodržování pravidel uvedených v tomto odstavci odpovídá pověřenec pro ochranu osobních údajů.

Pověřenec pro ochranu osobních údajů musí zajistit, aby metody shromažďování údajů byly v daném okamžiku a v budoucnosti v souladu s příslušnými právními předpisy, osvědčenými postupy a standardy odvětví.

Pověřenec pro ochranu osobních údajů odpovídá za vytvoření a vedení registru oznámení o ochraně osobních údajů.

 

7. Organizace a odpovědnost

Odpovědnost za zajištění náležitého zpracování osobních údajů nese každý, kdo pracuje pro společnost nebo u společnosti a má přístup k osobním údajům zpracovávaným společností.

Klíčové oblasti odpovědnosti za zpracování osobních údajů jsou v organizaci přiřazeny následujícím rolím: Přijímací technik, Obchodník, Administrativa, IT

Generální ředitel rozhoduje o obecných strategiích společnosti týkajících se ochrany osobních údajů a schvaluje tyto strategie.

Pověřenec pro ochranu osobních údajů (DPO), zodpovídá za řízení programu ochrany osobních údajů a za rozvoj a prosazování podnikových směrnic pro komplexní ochranu osobních údajů;

Pověřenec pro ochranu osobních údajů monitoruje a analyzuje právní předpisy týkající se osobních údajů a změny předpisů, vypracovává požadavky zajišťování souladu s předpisy a pomáhá útvarům společnosti při dosahování jejich cílů v oblasti osobních údajů.

IT:

  • zajišťuje, aby všechny systémy, služby a zařízení používané pro uchovávání údajů splňovaly přijatelné standardy zabezpečení;
  • provádí pravidelné kontroly a prohlídky, jejichž cílem je zajistit náležitou funkci bezpečnostního hardwaru a softwaru.

Generální ředitel:

  • schvaluje veškerá prohlášení o ochraně osobních údajů připojená ke sdělením, jako jsou například e-maily a dopisy;
  • zabývá se dotazy ohledně ochrany údajů od novinářů nebo médií, např. novin;
  • v případě potřeby spolupracuje s pověřencem pro ochranu osobních údajů na zajištění toho, aby marketingové iniciativy dodržovaly zásady ochrany údajů.
  • zvyšuje povědomí zaměstnanců o ochraně osobních údajů uživatelů;
  • pořádá informační a odborná školení o ochraně osobních údajů pro zaměstnance pracující s osobními údaji;
  • zajišťuje komplexní ochranu osobních údajů zaměstnanců. Musí zajistit, aby osobní údaje zaměstnanců byly zpracovávány na základě legitimních účelů zaměstnavatele a nutnosti.

Generální ředitel zodpovídá za přenesení povinností týkajících se ochrany osobních údajů na dodavatele a za zlepšování povědomí dodavatelů o ochraně osobních údajů a také za to, že dodavatel přenese požadavky ochrany osobních údajů na případné třetí strany, které využívá. Oddělení nákupu musí zajistit, aby si společnost vyhradila právo provádět u dodavatelů kontroly.

 

8. Reakce na incidenty týkající se porušení zabezpečení osobních údajů

Když se společnost dozví o domnělém nebo skutečném porušení zabezpečení osobních údajů, musí pověřenec pro ochranu osobních údajů provést interní šetření a včas přijmout vhodná nápravná opatření v souladu s popisem procesů role Pověřenec pro ochranu osobních údajů. V případě jakéhokoli rizika týkajícího se práv a svobod subjektů údajů musí společnost bez zbytečného odkladu a pokud možno do 72 hodin informovat příslušné úřady pro ochranu osobních údajů.

 

9. Audit a odpovědnost

Za audit toho, jak dobře provádějí útvary společnosti tuto podnikovou směrnici, zodpovídá oddělení IIS.

Každý zaměstnanec, který tuto podnikovou směrnici poruší, bude podroben disciplinárnímu opatření a může nést také občanskoprávní nebo trestní odpovědnost, pokud jeho jednání poruší právní či správní předpisy.

 

10. Kolizní právo

Tato podniková směrnice má zajistit soulad s právními a správními předpisy v místě usazení a v zemích, v nichž společnost L&M Servis Princ s.ro. působí. V případě jakéhokoliv rozporu mezi touto podnikovou směrnicí a platnými právními a správními předpisy mají přednost platné právní a správní předpisy.

 

11. Správa záznamů vedených na základě tohoto dokumentu

Název záznamuMísto uloženíOsoba odpovědná za uloženíOmezení pro ochranu záznamuDoba uchovávání
Souhlas se zpracováním osobních údajůKartotékaJaroslava PrincováZamčené dveře10 let
Souhlas se zpracováním osobních údajůSQL databáze wedos.czTomáš PrincUživatelské heslo10 let

12. Platnost a správa dokumentu

Tento dokument je platný od 23. 5. 2018.

Vlastníkem tohoto dokumentu je pověřenec pro ochranu osobních údajů, který musí dokument nejméně jednou ročně zkontrolovat a v případě potřeby jej aktualizovat.

 


[1] Zpracování je nezbytné pro splnění smlouvy, pro splnění právní povinnosti správce, pro ochranu oprávněných zájmů správce nebo zpracování probíhá na základě souhlasu, který byl správci udělen.

Zákonnost zpracování dále vychází například ze zákona č. 563/1991 Sb., o účetnictví, podle kterého jsou zpracovávány a uchovávány fakturační údaje, ze zákona č. 89/2012 Sb., občanský zákoník, podle kterého hájí správce své oprávněné zájmy nebo ze zákona č. 235/2004 Sb., o dani z přidané hodnoty.

[2] Oprávněné zájmy Správce jsou zejména řádné plnění veškerých smluvních závazků Správce, řádné plnění veškerých zákonných povinností Správce, přímý marketing, ochrana Správcova podnikání a majetku a v neposlední řadě také ochrana životního prostředí a zajištění udržitelného rozvoje.