V souladu s Nařízením Evropského
parlamentu a Rady /EU/ č. 2016/679 o ochraně fyzických osob
v souvislosti se zpracováním osobních údajů a o volném pohybu
těchto údajů /dále jen „nařízení“/ a zákonem č.
110/2019 Sb., o zpracování osobních údajů v platném znění
přijala obchodní společnost OMNISENSUIT, s.r.o., IČ:
09250255, se sídlem Cyrilská 508/7, Trnitá, 602 00 Brno, zapsána
v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl
C, vložka 117959 /dále jen „správce“/
tyto Zásady ochrany osobních údajů /dále jen „zásady“/.
„Osobním údajem“ se pro
účely tohoto dokumentu rozumí jakákoli informace týkající se určené
nebo určitelné fyzické osoby, k níž se osobní údaje vztahují. Tato se
považuje za určenou nebo určitelnou, jestliže lze fyzickou osobu
přímo či nepřímo identifikovat, zejména na základě
čísla, kódu nebo jednoho či více prvků specifických pro její
fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální
identitu. Tyto zásady se vztahují na veškeré vztahy mezi správcem a subjekty
údajů, kterými se pro účely těchto zásad rozumí zejména zákazníci,
potenciální zákazníci, dodavatelé, potenciální dodavatelé správce a zájemci o
zaměstnání u správce. Tyto zásady se vztahují na veškeré zpracování
osobních údajů správcem, není-li pro konkrétní případ mezi správcem a
subjektem údajů dohodnuto jinak.
V rámci své podnikatelské činnosti správce shromažďuje
tyto osobní údaje za tímto účelem:
a)
Zpracování
osobních údajů zákazníků
Za účelem plnění smlouvy správce zpracovává osobní údaje
svých zákazníků. Jedná se zejména o jméno, příjemní, datum narození,
identifikační číslo, daňové identifikační číslo, sídlo
nebo adresa, telefonní číslo, e-mailová adresa. V této souvislosti
může dojít ke zpracování rovněž osobních údajů
zaměstnanců zákazníků. Správce dále zpracovává údaje svých
zákazníků v rozsahu nezbytně nutném pro plnění služby a pro
plnění zákonných povinností v souvislosti s obchodní
činností, tj. zejména za účelem fakturace, vedení účetnictví,
odvodu daní, poplatků.
b)
Dodání služeb
externími dodavateli
V rámci své činnosti může správce využít rovněž
služeb externích dodavatelů – fyzických osob. Správce upozorňuje, že
může dojít také ke zpracování osobních údajů zaměstnanců dodavatelů.
V této souvislosti může správce zpracovávat osobní údaje takových
externích dodavatelů, je-li to nezbytné pro umožnění výkonu
činnosti dodavatele. Jedná se zejména o jméno, příjmení, datum
narození, adresu nebo sídlo, telefonní číslo, e-mailovou adresu,
číslo bankovního účtu, případně identifikační
číslo, daňové identifikační číslo a podpis. Informace jsou
získávány přímo od subjektu údajů a jsou zpracovávány
v nezbytném rozsahu za účelem plnění smlouvy uzavřené mezi
dodavatelem a správcem a dále za účelem plnění zákonných povinností
v souvislosti s obchodní činností, tj. zejména za účelem
fakturace, vedení účetnictví, odvodu daní, poplatků.
c)
Nabírání
nových zaměstnanců a potenciálních odběratelů a
dodavatelů
V rámci této činnosti správce zpracovává osobní údaje
zájemců o zaměstnání a potenciálních nových odběratelů a dodavatelů,
a to v rozsahu, v jakém je samy subjekty údajů poskytnou
správci, kdy správce tyto údaje zpracovává z titulu svého oprávněného
zájmu. Získávání nových zaměstnanců, odběratelů a
dodavatelů je nezbytné pro výkon jeho podnikatelské činnosti.
d)
Další
činnosti
Správce může v rámci své podnikatelské činnosti
zpracovávat rovněž další osobní údaje, které mu subjekt údajů sám
sdělí. Zpracování však může probíhat pouze je-li k němu dán
právní základ a v rozsahu nezbytném pro naplnění účelu, pro jaký
byly osobní údaje subjektem poskytnuty.
Správce dále zpracovává data zákazníků z
jejich systémů a aplikací. Pro vyloučení veškerých pochybností
správce prohlašuje, že takto zpracovávaná data mají vypovídací hodnotu pouze
pro provádění monitoringu používaných zařízení a neobsahují žádné
osobní údaje.
Správce není oprávněn bez výslovného
souhlasu subjektu údajů využít osobní údaje k jinému účelu, než
pro jaký byly tyto osobní údaje shromážděny.
Správce neprodává ani nepronajímá osobní údaje
třetím osobám, ani je jinak neposkytuje jakýmkoli třetím osobám,
není-li níže v těchto zásadách stanoveno jinak.
V rámci své podnikatelské činnosti
správce spolupracuje se třetími osobami – externími poskytovateli služeb
za účelem využití nezbytného softwarového vybavení, zajištění
plnění právních povinností – zejména vedení účetnictví, za
účelem zajištění bezpečnosti a plynulosti poskytované služby a
marketingu. Seznam externích poskytovatelů služeb uvádí správce
v příloze těchto zásad.
Všichni výše uvedení zpracovatelé poskytují dostatečné
záruky zavedení vhodných technických a organizačních opatření tak,
aby zpracování osobních údajů splňovalo požadavky platné právní
úpravy a aby byla zajištěna ochrana práv subjektů údajů.
Zpracovatel může do zpracování zapojit i dalšího zpracovatele, ovšem pouze
za předpokladu, že tento splňuje stejná opatření
k ochraně osobních údajů, k jakým se zavázal ve
smlouvě se správcem.
Část zpracovatelů správce pochází
z České republiky a řídí se při zpracování osobních
údajů českou právní úpravou. Při zpracování osobních údajů
zpracovateli může však dojít rovněž k předání osobních
údajů do zahraničí, a to i mimo prostor Evropské unie. Všechna tato
předání jsou nezbytná pro splnění smlouvy mezi subjektem údajů a
správcem. Všichni zahraniční zpracovatelé jsou členy státu Evropské
unie nebo jsou zapsány v tzv. štítu EU-USA na ochranu soukromí, což lze
ověřit na https://www.privacyshield.gov/list. Evropská komise vydala rozhodnutí o odpovídající ochraně ve
vztahu k tomuto štítu, a to v režimu čl. 45 odst. 9
nařízení. S ohledem na tuto skutečnost není pro takové
předání osobních údajů do třetí země zapotřebí
zvláštní povolení.
Může dojít k případům, kdy správce vystupuje jako
zpracovatel pro jiný subjekt. V takových případech se zavazuje
dodržovat veškeré povinnosti vyplývající pro něho z platných právních
předpisů, zejména je povinen: [ŠV2]
-
zpracovávat
osobní údaje pouze pro účely, v rozsahu a způsobem vyplývajícím
z uzavřené smlouvy;
-
zavázat osoby
mající přístup k údajům mlčenlivostí;
-
přijmout
vhodná technická a organizační opatření nutná k zabezpečení
osobních údajů;
-
po
ukončení zpracování osobní údaje vymazat nebo vrátit správci;
-
být nápomocen
pro plnění správcových povinností v souvislosti s ochranou
osobních údajů;
-
neprodleně
informovat správce o tom, že některý jeho pokyn porušuje platnou právní
úpravu;
-
být správci
nápomocen při zajišťování souladu s povinnostmi při
zpracování osobních údajů danými platnou právní úpravou;
-
na vyžádání
poskytnout správci nezbytné informace pro doložení splnění povinností
daných platnou právní úpravou;
-
v případě
porušení zabezpečení neprodlení upozornit na tuto skutečnost správce.
Subjekty
údajů mají v souvislosti se zpracováním osobních údajů správcem tato
práva:
-
Právo přístupu: subjekt údajů
může kdykoli požádat správce o
informaci o zpracování osobních údajů týkajících se jeho osoby. Správce má
v takovém případě povinnost bezodkladně tuto informaci
subjektu údajů poskytnout;
-
Právo podat stížnost: subjekt údajů
může podat stížnost k dozorovému orgánu pro domnělé porušení
platných právních předpisů, přičemž dozorovým orgánem se
rozumí Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00
Praha 7 /www.uoou.cz/;
-
Právo na opravu: subjekt údajů
může žádat opravu nepřesných údajů týkajících se jeho osoby;
-
Právo na výmaz: subjekt údajů má
právo, aby správce bez odkladu vymazal osobní údaje, které se ho týkají, pokud
tyto osobní údaje již nejsou potřebné pro účely, pro které byly
shromážděny a zpracovávány, byla-li vznesena námitka proti zpracování a
neexistují-li žádné převažující důvody ke zpracování; pokud by byly
osobní údaje zpracovávány protiprávně nebo pokud musí být vymazány ke
splnění právní povinnosti správce stanovené platnými právními předpisy;
-
Právo na omezení zpracování: v případě,
že subjekt údajů popře přesnost zpracovávaných údajů, je
správce povinen omezit zpracování dotčených osobních údajů, a to na
dobu nezbytnou k tomu, aby správce mohl přesnost osobních údajů
ověřit;
-
Právo na informaci: Subjekt údajů má právo
být informován o veškerých opravách nebo výmazech osobních údajů nebo
omezení zpracování, které správce provádí a které se jej týkají;
-
Právo vznést námitku: subjekt údajů má
právo vznést kdykoli námitku proti zpracování osobních údajů, které se jej
týkají a které jsou zpracovávány z důvodu nezbytnosti pro
splnění úkolu prováděného ve veřejném zájmu nebo
z důvodu nezbytnosti zpracování za účelem oprávněného zájmu
správce;
-
Právo na přenositelnost: subjekt údajů má
právo osobní údaje, které se jej týkají a jež tento správci poskytl, získat ve
strukturovaném běžně používaném a strojově čitelném formátu
a tyto předat jinému správci, aniž by tomu stávající správce bránil.
Jsou-li osobní údaje zpracovávány na základě
souhlasu subjektu údajů, je subjekt údajů oprávněn souhlas
kdykoli odvolat.
Na žádost poskytne správce subjektu údajů informace
o přijatých opatřeních nezbytných pro naplnění práv
subjektů údajů.
Svá práva může subjekt údajů uplatnit
písemně zasláním požadavku na adresu sídla společnosti správce, tj. OMNISENSUIT,
s.r.o., Cyrilská 508/7, Brno, 602
00, nebo prostřednictvím e-mailové adresy info@omnisensuit.com
Správce si je vědom důvěrnosti
zpracovávaných osobních údajů. Správce je povinen zachovávat
mlčenlivost o veškerých zpracovávaných osobních údajích. Správce není
oprávněn zpřístupnit osobní údaje jakékoli třetí osobě,
nestanoví-li tyto zásady jinak.
Správce je oprávněn osobní údaje
zpracovávat pouze prostřednictvím zaměstnanců, které zaváže
k mlčenlivosti minimálně ve stejném rozsahu, v jakém tuto
povinnost stanoví tyto zásady a platná právní úprava.
Správce během zpracování vždy dbá na to,
aby nedošlo k újmě na právech fyzických osob v souvislosti se
zpracováním osobních údajů.
Správce přijal vhodná technická a
organizační opatření k zajištění odpovídající úrovně
zabezpečení osobních údajů, a to s přihlédnutím ke stavu
techniky, nákladům na provedení, povaze, rozsahu, kontextu a
účelům zpracování. Správce
zabezpečil rovněž ochranu osobních, provozních a lokalizačních
údajů a důvěrnosti komunikace, a to zejména ochranou před
neoprávněným přístupem, změnou, zničením, ztrátou anebo
odcizením nebo jiným neoprávněným zpracováním nebo využitím těchto
údajů.
Pokud je pravděpodobné, že určitý
případ porušení zabezpečení osobních údajů bude mít za následek
vysoké riziko pro práva svobody fyzických osob, oznámí toto porušení správce
bez zbytečného odkladu, nejpozději však do 72 hodin, subjektu
údajů. Současně takové porušení správce oznámí i dozorovému
orgánu.
Při zpracování osobních údajů správcem
nedochází k automatizovanému rozhodování včetně profilování.
Doba zpracování závisí na kategorii osobních
údajů, jakož i na účelu, pro který je daný osobní údaj zpracováván.
Vždy ovšem platí, že osobní údaje jsou zpracovány pouze po dobu nezbytně
nutnou.
- osobní údaje
související s plněním smlouvy budou uchovávány po dobu, kdy bude smlouva
účinná. Část osobních údajů může být uchovávána až po další
3 roky po pozbytí účinnosti smlouvy tak, aby správce byl
v případě případného soudního sporu schopen unést
důkazní břemeno. V případě, že se dokument týká
daně z přidané hodnoty nebo s ní jakkoli souvisí, může
být zpracováván po dobu 10 let, a to s ohledem na plnění zákonných
povinností správce;
- osobní údaje
zpracovávané na základě souhlasu se zpracováním osobních údajů budou
správcem zpracovávány až odvolání souhlasu subjektem údajů, nebo do
chvíle, kdy souhlas pozbyde účinnosti, případně do chvíle, než
pomine účel zpracování;
- osobní údaje
potenciálních zaměstnanců, zákazníků a dodavatelů budou
uchovány po nejdéle dobu 3 měsíců ode dne, kdy dojde
k ukončení jednání o navázání případné spolupráce. Po tuto dobu
je správce oprávněn subjekty oslovit s případnou novou nabídkou;
- osobní údaje
uložené třetími osobami na serveru budou uloženy po dobu trvání smlouvy
mezi správcem a vlastníkem dat;
- osobní údaje,
které jsou správcem zpracovávány za účelem plnění právních
povinností, tj. zejména za účelem vedení účetnictví, odvodu daní a
poplatků apod. budou vymazány ve lhůtách stanovenými platnými
právními předpisy a vnitřními předpisy správce.
Správce nemá povinnost jmenovat pověřence pro ochranu
osobních údajů a nepřikročil k tomuto kroku na základě
vlastního rozhodnutí.
Správce si vyhrazuje právo tyto zásady pro
ochrany osobních údajů změnit. Změna bude provedena
zveřejněním na webových stránkách společnosti správce a je
účinná do 30 dnů ode dne zveřejnění. Vedle toho se správce
zavazuje zaslat všem registrovaným zákazníkům, dodavatelům i
zaměstnancům nové aktualizované zásady ochrany osobních údajů, a
to bezodkladně po té, co tyto budou správcem přijaty.