ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ
I. Základní ustanovení
Nakládaní s osobními údaji se řídí nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), účinného ode dne 25. 5. 2018 (dále jen „Nařízení“) a dále zákonem č. 110/2019 Sb., o zpracování osobních údajů.
Tato informace o zpracování o ochraně osobních údajů (dál jen „Informace“) se vztahuje na osobní údaje fyzických osob shromážděných společností SPEDIX s.r.o., IČ 28782828, sídlem Komenského 1857 511 01 Turnov, zapsaná v Obchodním rejstříku vedeném Krajským soudem v Hradci Králové, oddíl C, vložka 27055, která je správcem osobních údajů ve vztahu k osobním údajům fyzických osob, kteří s ní uzavřeli smlouvu o přepravě, zasílatelskou smlouvu, či ji udělili ke zpracování osobních údajů souhlas.
Pro další informace či při uplatnění případných práv (na přístup k osobním údajům, jejich opravu nebo výmaz, popřípadě omezení zpracování, vznesení námitky proti zpracování, na přenositelnost údajů) lze správce údajů kontaktovat na:
Telefon: +420 723 953 667
Email: ondrej.salek@spedix.cz
Adresa: SPEDIX s.r.o., IČ: 28782828, sídlem Komenského 1857, 511 01 Turnov
II. Zdroje a kategorie zpracovávaných osobních údajů
Správce údajů zpracovává osobní údaje a informace, zejména se jedná o
osobní údaje zaměstnanců správce údajů,
osobní údaje subjektů údajů, které uzavřely smluvní vztah se správcem údajů nebo se podílejí na plnění úkolů osoby ve smluvním vztahu se správcem údajů. Zejména se bude jednat o zákazníky a dodavatele správce údajů:
identifikační údaje – údaje sloužící k jednoznačné a nezaměnitelné identifikaci subjektu údajů jako zákazníka/obchodního či smluvního partnera či osoby jednající (např. jméno, příjmení, adresa bydliště, popř. trvalého pobytu; resp. účastníka, který je fyzickou osobou podnikatelem, jméno, příjmení, sídlo, identifikační číslo („IČO“), daňové identifikační číslo („DIČ“), další údaje, z nichž vyplývá, že podniká či je zapsán do příslušného rejstříku či registru); a kontaktní údaje – údaje umožňující kontakt se subjektem údajů (např. kontaktní adresa, číslo telefonu, e-mailová adresa a jiné obdobné údaje) další údaje poskytnuté (např. bankovní spojení, údaje o sjednání dodávek zboží a využívání služeb, resp. případně i jakékoliv další osobní údaje obsažené v komunikaci) osobní údaje subjektů údajů, které jsou se správcem údajů v jiném než smluvním vztahu. Zejména se bude jednat o osoby, které způsobily správci údajů škodu či jinou újmu osobní údaje subjektů údajů získané v souvislosti se správou údajů osob uvedených pod body a) až c). Bude se jednat zejména o rodinné či jiné příslušníky zaměstnanců, jejichž osobní údaje byly poskytnuty například v souvislosti s otázkou rodičovské nebo mateřské dovolené či jiné překážky v práci, nebo například o dodavatele dodavatelů správce údajů nebo o zákazníky zákazníků správce údajů
III. Příjemci osobní údajů (subdodavatelé správce)
Osobní údaje správce údajů poskytuje, resp. může poskytnout:
smluvním partnerům, kdy jde zejména o subjekty poskytující nám služby ve vztahu k subjektu údajů (např. dopravci, prodejny, subdodavatelé služeb apod.) popř. subjekty zajišťují či koordinující zasílání zpráv apod.;
státním orgánům, resp. dalším subjektům v rámci plnění zákonných povinností stanovených zvláštními předpisy, kdy jde zejména o orgány státní správy, soudy, orgány dohledu apod.;
dalším subjektům, pokud je to nezbytné pro ochranu práv a oprávněných zájmů správce údajů, např. právním zástupcům. daňovým poradcům apod.
IV. Zákonný důvod a účel zpracování osobní údajů
1. Zákonným důvodem zpracování osobních údajů je
pro účely splnění smlouvy, zejména pro dodání zboží/poskytnutí služby, a to i prostřednictvím třetí strany – smluvního partnera (např. dopravce, prodejny, subdodavatelé služeb apod.);
pro účely splnění právních povinností, zejména povinností stanovených v oblasti vedení účetnictví, daňové správy, archivování, vyřizování reklamací, vrácení ceny při odstoupení od smlouvy apod.;
pro účely ochrany oprávněných zájmů správce údajů či třetí strany, zejména pro doložení uzavření smlouvy, řádného splnění smlouvy a povinností z ní plynoucích, jako je např. splnění dodání zboží/ poskytnutí služby, vyřízení případné reklamace, obdržení/vrácení ceny; jakož i obecně pro zjišťování spokojenosti subjektu údajů a komunikace se subjektem údajů apod.
Poskytnutí osobních údajů pro výše uvedené účely je zcela dobrovolné. Bez poskytnutí údajů nezbytných pro uzavření smlouvy, dodání zboží/poskytnutí služby, pro plnění s tím souvisejících povinností a pro ochranu zájmů, však nemůžeme správce údajů smlouvu na dodání zboží/poskytnutí služby uzavřít.
2. Účel zpracování osobních údajů
Osobní údaje, které správce údajů zpracovává se souhlasem subjektu údajů a účel jejich zapracování je vždy uveden v souhlasu se zpracováním osobních údajů, který subjekt údajů může, avšak nemusí, udělit. Poskytnutí souhlasu je zcela dobrovolné a není podmínkou pro uzavření smlouvy na dodání zboží/poskytnutí služby.
Poskytne-li subjekt údajů souhlas se zpracováním osobních údajů, je oprávněn kdykoliv jej odvolat.
Odvoláním souhlasu však není dotčena zákonnost zpracování osobních údajů vycházející ze souhlasu, který byl dán před jeho odvoláním. Odvolání souhlasu danému k jednomu účelu, též neznamená, že je nebude správce údajů moci dále zpracovávat k dalšímu účelu (byl-li takový souhlas dán), nebo z jiného právního důvodu (tj. na jiném základě), než je souhlas. To znamená, že i po odvolání souhlasu bude správce údajů oprávněn zpracovávat osobní údaje v odpovídajícím rozsahu, pokud bude zpracování nezbytné pro účely splnění smlouvy (např. pro dodání objednaného zboží/poskytnutí služby) a/nebo splnění právních povinností (např. účetních a daňových) a/nebo pro ochranu oprávněných zájmů správce údajů či třetí strany (např. pro uplatnění svých práv a oprávněných zájmů před soudy a jinými orgány moci veřejné, mimo jiné pak i pro doložení toho, že souhlas ke zpracování určitých osobních údajů pro určité účely nám byl dán).
Ke zpracování dochází automatizovaně prostřednictvím výpočetní techniky i manuálním způsobem za dodržení kontrolních, technickými a bezpečnostních mechanismů zajišťujících maximální možnou ochranu zpracovávaných údajů před neoprávněným přístupem nebo přenosem, před jejich ztrátou nebo zničením, jakož i před jiným možným zneužitím.
Veškeré subjekty, kterým mohou být zpřístupněny osobní údaje subjektu údajů, respektují právo na ochranu soukromí subjektu údajů a jsou buď na základě zákona či na základě smluv uzavřených se správcem údajů povinny postupovat dle platných právních předpisů týkajících se ochrany osobních údajů.
V. Podmínky zabezpečení osobních údajů
1. Správce prohlašuje, že přijal veškerá vhodná technická a organizační opatření k zabezpečení osobních údajů.
2. Správce přijal technická opatření k zabezpečení datových uložišť a uložišť údajů v listinné podobě bude uložen v uzavřeném prostoru – spisovně, ve skříni či jiném obdobném úložném systému, a bude přístupný pouze správci údajů a osobám, které správce údajů určí. Klíče a další přístupové údaje, zejména kódy, budou přístupné pouze osobám oprávněným k samotnému přístupu k osobnímu údaji. Správce údajů přijme odpovídající mechanické a softwarové zabezpečení osobních údajů a informací, zejména osazení dveří zámky, instalaci ochranných a antivirových softwarů, a omezení přístupu na počítače a obdobná zařízení, přístupu k vnitřní síti i internetu a k jednotlivým souborům hesly.
3. Správce prohlašuje, že k osobním údajům mají přístup pouze jim pověřené osoby.
VI. Doba zpracování osobních údajů
Osobní údaje správce údajů uchovává, není-li v těchto Informacích uvedeno jinak, po dobu nezbytně nutnou k zajištění práv a plnění povinností plynoucích jak ze závazkových vztahů (smluv), tak i z příslušných právních předpisů. Za účelem ochrany oprávněných zájmů správce údajů osobní údaje subjektu údajů uchováváme minimálně po dobu trvání běhu promlčecích lhůt. V případě zahájení soudního, rozhodčího, exekučního nebo jiného obdobného řízení zpracovává správce údajů dále osobní údaje po dobu tohoto řízení. Pokud je podán mimořádný opravný prostředek, uchovává správce údajů tyto osobní údaje také během řízení o tomto mimořádném opravném prostředku. Doba uchovávání osobních údajů subjektu údajů však zpravidla, a to i s ohledem na lhůty stanovené příslušnými právními předpisy pro archivaci, nepřesáhne dobu 15-ti let.
Po uplynutí doby uchovávání osobních údajů správce osobní údaje vymaže, skartuje.
VII. Práva subjektu údajů
Subjekt údajů má:
Právo na přístup k osobním údajům a k následujícím informacím:
účelu zpracování,
kategorii dotčených osobních údajů,
příjemci nebo kategorii příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
plánované době, po kterou budou osobní údaje uloženy,
veškeré dostupné informace o zdroji osobních údajů,
pokud nejsou osobní údaje získány od přímo od subjektu údajů, skutečnosti, zda dochází k automatizovanému rozhodování, včetně profilování a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů,
za podmínek stanovených v dle čl. 15 Nařízení.
Právo na opravu osobních údajů (tj. právo, aby správce údajů bez zbytečného odkladu opravil nepřesné osobní údaje, které se týkají subjektu údajů), resp. doplnění osobních údajů (tj. právo na to, aby správce údajů s přihlédnutím k účelům zpracování doplnil neúplné osobní údajů subjektu údajů, a to i poskytnutím dodatečného prohlášení) za podmínek stanovených v dle čl. 16 Nařízení.
Právo na výmaz osobních údajů (tzv. právo být zapomenut) za podmínek stanovených v čl. 17 Nařízení.
Právo na omezení zpracování osobních údajů za podmínek stanovených v dle čl. 18 Nařízení.
Právo na přenositelnost údajů za podmínek stanovených v dle čl. 20 Nařízení.
Právo vznést námitku za podmínek stanovených v dle čl. 21 Nařízení.
Právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování, za podmínek stanovených v dle čl. 22 Nařízení.
Právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.
VII. Reakce na porušení zabezpečení osobních údajů
Každý zaměstnanec, partner nebo subdodavatel správce údajů je povinen ohlásit každý případ porušení zabezpečení osobních údajů správci údajů.
Jakékoli porušení zabezpečení osobních údajů správce údajů bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody subjektu údajů.
Ohlášení podle předchozího odstavce musí obsahovat alespoň:
a) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
b) jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;
c) popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
d) popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.
Tyto podmínky nabývají účinnosti dnem 25.5.2018