Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.
dubna 2016
"o ochraně fyzických osob v souvislosti se zpracováním osobních
údajů a o volném pohybu těchto údajů
a o zrušení směrnice 95/46/ES" (obecné nařízení o ochraně osobních
údajů - GDPR)
Celý soubor Směrnice o ochraně osobních údajů ke stažení
naleznete
zde.
I. PREAMBULE A ÚČEL SMĚRNICE
j
(1) Tato směrnice jako vnitřní předpis společnosti ELEKTRO EFEKT
spol. s r. o. (dále správce), která je ve smyslu GDPR správcem
osobních údajů, upravuje postup členů orgánů, zaměstnanců,
spolupracujících osob a dalších pověřených osob při zpracování a
ochraně osobních údajů fyzických osob, pro naplnění právních
povinností stanovených GDPR.
(2) Tato směrnice je veřejně dostupným dokumentem, je zveřejněna na
internetových stránkách správce: www.elektroefekt.cz/gdpr a plní
současně účel záznamu o zpracování osobních údajů ve smyslu čl. 30
GDPR.
II. DEFINICE POJMŮ
Dále používané pojmy jsou definovány takto [čl. 4 GDPR]:
a) „Osobní údaj“ je jakákoli informace o identifikované nebo
identifikovatelné fyzické osobě, ať už jde o identifikační či
kontaktní údaje (např. jméno, příjmení, datum narození, místo
narození, adresa pobytu, místo podnikání, rodné číslo, IČO/DIČ,
telefonní číslo, e-mail, evidenční číslo zákazníka, údaj o místu
pobytu a pohybu, síťový identifikátor, popisné údaje vypovídající o
fyziologii člověka, věk, pohlaví, národnost, rodinný stav,
vzdělání, zaměstnání, majetkové poměry, příjmy a výdaje, počet
dětí, údaje o chování, preferencích apod.)
b) „Zvláštní kategorii osobních údajů - citlivé osobní údaje“
představují některé zvlášť rizikové osobní údaje z pohledu možných
zásahů do garantovaných práv a svobod fyzických osob (např. údaje o
zdravotním stavu, o rasovém či etnickém původu, politických
názorech, náboženském vyznání, filozofickém přesvědčení, členství v
odborech, nebo genetické či biometrické údaje).
c) „Údaji o zdravotním stavu“ jsou osobní údaje týkající se
tělesného nebo duševního zdraví fyzické osoby, včetně údajů o
poskytnutí zdravotních služeb (léků, ošetření, lékařských zákroků,
léčebných postupů), které vypovídají o jejím zdravotním stavu.
d) „Genetickými údaji“ jsou osobní údaje týkající se zděděných nebo
získaných genetických znaků fyzické osoby, které poskytují
jedinečné informace o její fyziologii či zdraví a které vyplývají
zejména z analýzy biologického vzorku dotčené fyzické osoby.
e) „Biometrickými údaji“ jsou osobní údaje vyplývající z
konkrétního technického zpracování týkající se fyzických či
fyziologických znaků nebo znaků chování fyzické osoby, které
umožňuje nebo potvrzuje jedinečnou identifikaci, například
zobrazení obličeje nebo daktyloskopické údaje.
f) „Subjektem (údajů)“ je jakákoli fyzická osoba, jejíž osobní
údaje jsou zpracovávány.
g) „Zpracováním“ se rozumí jakákoliv operace nebo soubor operací s
osobními údaji nebo soubory osobních údajů, který je prováděn
pomocí či bez pomoci automatizovaných postupů, jako je:
shromáždění, zaznamenání, uspořádání, strukturování, uložení,
přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití,
zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění,
seřazení či zkombinování, omezení, výmaz nebo zničení.
h) „Správce“ je ve smyslu GDPR určen podle toho, že určuje účely a
prostředky zpracování osobních údajů
i) „Zpracovatelem“ je každá fyzická nebo právnická osoba, který
zpracovává osobní údaje pro správce (kupř. zaměstnanci, externí
účetní, externí IT, externí právník, auditor apod.)
j) „Příjemcem“ je jakákoli fyzická nebo právnická osoba, orgán
veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje
poskytnuty, ať už se jedná o třetí stranu, či nikoli (orgány
veřejné moci, které mohou získávat osobní údaje na základě zákona v
rámci zvláštního šetření se za příjemce nepovažují).
k) „Souhlasem“ subjektu údajů je jakýkoli svobodný, konkrétní,
informovaný a jednoznačný projev vůle, kterým subjekt údajů dává
prohlášením či jiným zjevným potvrzením své svolení ke zpracování
svých osobních údajů.
l) „Evidencí“ je jakýkoliv strukturovaný soubor osobních údajů
přístupných podle zvláštních kritérií, ať již je centralizovaný,
decentralizovaný, nebo rozdělený podle funkčního či zeměpisného
hlediska.
m) „Profilováním“ se rozumí jakákoli forma automatizovaného
zpracování osobních údajů spočívající v jejich použití k hodnocení
některých osobních aspektů fyzické osoby (kupř. k rozboru či odhadu
pracovního výkonu, ekonomické situace, zdravotního stavu,
preferencí, zájmů, spolehlivosti, chování, místa pobytu nebo
pohybu).
n) „Pseudonymizací“ se rozumí zpracování osobních údajů tak, že již
nemohou být přiřazeny konkrétnímu subjektu údajů bez použití
dodatečných informací, pokud jsou tyto dodatečné informace
uchovávány odděleně a vztahují se na ně technická a organizační
opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované
či identifikovatelné fyzické osobě.
o) „Porušením zabezpečení osobních údajů“ je porušení zabezpečení,
které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně
nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených,
uložených nebo jinak zpracovávaných osobních údajů.
p) „Dozorovým úřadem“, orgánem veřejné moci v ČR, určeným pro
kontrolu nakládání s osobními údaji, je Úřad pro ochranu osobních
údajů - ÚOOÚ, se sídlem Pplk. Sochora 727/27, Holešovice, 170 00,
Praha 7, telefon: +420 234 665 111, web: www.uoou.cz.
q) „Pověřenec pro ochranu osobních údajů - DPO“ je fyzická nebo
právnická osoba jmenovaná správcem, aby jako interní auditor,
poradce a koordinátor dohlížel nad tím, že osobní údaje jsou
zpracovávány a chráněny v souladu s GDPR; je rovněž kontaktní
osobou mezi správcem, subjekty a dozorovým úřadem.
III. ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Správce při zpracování osobních údajů dodržuje tyto zásady [čl.
5 GDPR]:
a) Zákonnost, korektnost a transparentnost: osobní údaje ve vztahu
k subjektu údajů jsou zpracovávány korektně a zákonným a
transparentním způsobem.
b) Účelové omezení: shromažďovány jsou osobní údaje pro určité,
výslovně vyjádřené a legitimní účely a nejsou dále zpracovávány
způsobem, který je s těmito účely neslučitelný (další zpracování
pro účely archivace ve veřejném zájmu, pro účely vědeckého či
historického výzkumu nebo pro statistické účely se nepovažuje za
neslučitelné s původními účely).
c) Minimalizace údajů: zpracování osobních údajů je přiměřené,
relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro
který jsou zpracovávány.
d) Přesnost: zpracování osobních údajů je přesné a v případě
potřeby aktualizované, jsou přijímána veškerá rozumná opatření, aby
osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro
které se zpracovávají, byly bezodkladně vymazány nebo opraveny.
e) Omezení uložení: zpracovávané osobní údaje jsou uloženy ve formě
umožňující identifikaci subjektů údajů po dobu ne delší, než je
nezbytné pro účely, pro které jsou zpracovávány, po delší dobu jsou
ukládány, pokud se zpracovávají výhradně pro účely archivace ve
veřejném zájmu, pro účely vědeckého či historického výzkumu nebo
pro statistické účely, a to za předpokladu provedení příslušných
technických a organizačních opatření požadovaných GDPR s cílem
zaručit práva a svobody subjektu údajů.
f) Integrita a důvěrnost: osobní údaje jsou zpracovávány způsobem,
který zajišťuje jejich náležité zabezpečení, včetně jejich ochrany
pomocí vhodných technických nebo organizačních opatření před
neoprávněným či protiprávním zpracováním a před náhodnou ztrátou,
zničením nebo poškozením.
IV. PRÁVNÍ TITULY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Správce zpracovává osobní údaje pouze na základě těchto právních
titulů [čl. 6 GDPR]:
a) Subjekt údajů udělil souhlas se zpracováním svých osobních údajů
pro jeden či více konkrétních účelů.
b) Zpracování je nezbytné pro splnění smlouvy, jejíž smluvní
stranou je subjekt údajů, nebo pro provedení opatření přijatých
před uzavřením smlouvy na žádost tohoto subjektu údajů.
c) Zpracování je nezbytné pro splnění právní povinnosti, která se
na správce vztahuje.
d) Zpracování je nezbytné pro ochranu životně důležitých zájmů
subjektu údajů nebo jiné fyzické osoby.
e) Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném
zájmu nebo při výkonu veřejné moci, kterým je pověřen správce.
f) Zpracování je nezbytné pro účely oprávněných zájmů příslušného
správce či třetí strany, kromě případů, kdy před těmito zájmy mají
přednost zájmy nebo základní práva a svobody subjektu údajů
vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů
dítě.
V. ZÁZNAM O ČINNOSTECH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
pro vyplnění
Správce zpracovává osobní údaje v tomto rozsahu a tímto způsobem
[článek 30 GDPR]:
a) Jméno a kontaktní údaje správce (kontaktní osoba pověřená
ochranou osobních údajů (či DPO):
Dana Králová, info@elektroefekt.cz, 376 322 653
b) Pověřenými osobami, které jsou oprávněny zpracovávat osobní
údaje:
● členové statutárního orgánu (případně prokuristé) správce,
ředitelé a osoby ve funkcích
vedoucích organizačních složek a oddělení
● zaměstnanci zařazení na pozice v personálním a ekonomickém
oddělení
● osoby, které zabezpečují informační systémy pro zpracování
osobních údajů
● jiné osoby mající oprávnění na základě uzavřené smlouvy o
zpracování osobních údajů
c) Účel zpracování osobních údajů:
● agenda obchodních partnerů (dodavatelů, subdodavatelů, osob
poskytujících služby či zajištění)
● agenda zákazníků (odběratelů, klientů)
● seznam zaměstnanců
● účetní, daňová a mzdová agenda, exekuční a insolvenční řízení
● evidence pro kontrolu ze strany orgánů veřejné moci
● přímý marketing
d) Kategorie subjektů a osobních údajů a právní titul
zpracování:
● obchodní partneři (jejich zástupci a kontaktní osoby)
○ firmu, jméno, sídlo, bydliště, datum narození, IČO, DIČ, telefon,
e-mail, ID datové schránky, sídlo provozovny, kontaktní osoby,
spolehlivost, jiné reference
○ plnění smlouvy nebo provedení opatření před uzavřením smlouvy
[čl. 6, odst. (1), písm. b) GDPR]
○ ochrana oprávněných zájmů správce [čl. 6, odst. (1), písm. f)
GDPR]
○ plnění právních povinností správce (účetní, daňové) [čl. 6, odst.
(1), písm. c) GDPR]
● zákazníci (jejich zástupci a kontaktní osoby)
○ firmu, jméno, sídlo, bydliště, datum narození, IČO, DIČ, telefon,
e-mail, ID datové schránky, sídlo provozovny, kontaktní osoby,
spolehlivost, jiné reference
○ plnění smlouvy nebo provedení opatření před uzavřením smlouvy
[čl. 6, odst. (1), písm. b) GDPR]
○ ochrana oprávněných zájmů správce [čl. 6, odst. (1), písm. f)
GDPR]
○ plnění právních povinností správce (účetní, daňové) [čl. 6, odst.
(1), písm. c) GDPR]
● osoby poskytující zajištění závazků (jejich zástupci a kontaktní
osoby)
○ firmu, jméno, sídlo, bydliště, datum narození, IČO, DIČ, telefon,
e-mail, ID datové schránky, sídlo provozovny, kontaktní osoby,
spolehlivost, jiné reference
○ plnění smlouvy nebo provedení opatření před uzavřením smlouvy
[čl. 6, odst. (1), písm. b) GDPR]
○ ochrana oprávněných zájmů správce [čl. 6, odst. (1), písm. f)
GDPR]
○ plnění právních povinností správce (účetní, daňové) [čl. 6, odst.
(1), písm. c) GDPR]
● zaměstnanci (jejich případní zástupci)
○ jméno, příjmení, datum narození, rodné číslo, státní příslušnost,
čísla osobních dokladů, bydliště, telefon, e-mail, ID datové
schránky, vzdělání, rodinný stav, počet a věk dětí, mzdové údaje,
údaje o exekucích, údaje o insolvenci, údaje o pracovních
výsledcích, osobních vlastnostech a schopnostech, údaje o porušení
pracovních povinností
○ plnění smlouvy nebo provedení opatření před uzavřením smlouvy
[čl. 6, odst. (1), písm. b) GDPR]
○ plnění právních povinností správce (účetní, daňové, exekuce) [čl.
6, odst. (1), písm. c) GDPR]
○ ochrana oprávněných zájmů správce [čl. 6, odst. (1), písm. f)
GDPR]
● jiné osoby - přímý marketing
○ firmu, jméno, sídlo, bydliště, IČO, DIČ, telefon, e-mail, ID
datové schránky, sídlo provozovny, kontaktní osoby,
spolehlivost,
jiné reference
○ subjekt udělil souhlas se zpracováním osobních údajů [čl. 6,
odst. (1), písm. a) GDPR]
e) Zdroje osobních údajů:
● údaje sdělené subjekty nebo jejich zástupci
● údaje sdělené třetí stranou; takové informace je třeba si
dostupným způsobem ověřit
● veřejné rejstříky a evidence (obchodní a živnostenské rejstříky,
insolvenční rejstřík, evidence exekucí)
● veřejně dostupné informace (internet, prezentace a reference);
takové informace je třeba si dostupným
způsobem ověřit
● údaje získané při vlastní činnosti správce; takové informace je
třeba si dostupným způsobem ověřit
f) Kategorie příjemců osobních údajů:
● údaje obchodních partnerů (jejich zástupců a kontaktních
osob)
○ jiní obchodní partneři, pokud se podílejí na realizaci smlouvy či
obchodu se subjektem údajů
○ zákazníci, pokud se podílejí na plnění subjektu údajů
○ osoby poskytující zajištění závazků subjektu údajů
○ banky, pojišťovny, finanční instituce, pokud se podílejí na
realizaci smlouvy či obchodu se subjektem údajů
○ externí dodavatelé správce (IT, poradci, školitelé, kontroloři)
pokud je to nezbytné pro činnost správce
○ externí právníci, daňoví poradci, auditoři, pokud se účastní
uplatňování práv a plnění povinností správce
○ osoby propojené se správcem (koncern), pokud je to potřebné pro
obchodní činnost správce
○ právní nástupci správce v případě přeměny správce
○ orgány veřejné moci, pokud tak správci stanoví právní
povinnost
● údaje zákazníků (jejich zástupců a kontaktních osob)
○ obchodní partneři správce, pokud se podílejí na plnění
zákazníkovi
○ osoby poskytující zajištění závazků zákazníka
○ banky, pojišťovny, finanční instituce, pokud se podílejí na
plnění zákazníkovi
○ externí dodavatelé správce (IT, poradci, školitelé, kontroloři)
pokud je to nezbytné pro činnost správce
○ externí právníci, daňoví poradci, auditoři, pokud se účastní
uplatňování práv a plnění povinností správce
○ osoby propojené se správcem (koncern), pokud je to potřebné pro
plnění zákazníkovi
○ právní nástupci správce v případě přeměny správce
○ orgány veřejné moci, pokud tak správci stanoví právní
povinnost
● údaje osob poskytujících zajištění (jejich zástupců a kontaktních
osob)
○ obchodní partneři správce, pokud se podílejí na realizaci
zajišťované smlouvy či obchodu
○ osoby jejichž závazky jsou zajišťovány
○ banky, pojišťovny, finanční instituce, pokud se podílejí na
realizaci zajišťované smlouvy či obchodu
○ externí dodavatelé správce (IT, poradci, školitelé, kontroloři)
pokud je to nezbytné pro činnost správce
○ externí právníci, daňoví poradci, auditoři, pokud se účastní
uplatňování práv a plnění povinností správce
○ osoby propojené se správcem (koncern), pokud je to potřebné pro
plnění zákazníkovi
○ právní nástupci správce v případě přeměny správce
○ orgány veřejné moci, pokud tak správci stanoví právní
povinnost
● údaje zaměstnanců (jejich případných zástupců)
○ externí dodavatelé správce (IT, poradci, školitelé, kontroloři)
pokud je to nezbytné pro činnost správce
○ externí právníci, daňoví poradci, auditoři, pokud se účastní
uplatňování práv a plnění povinností správce
○ osoby propojené se správcem (koncern), pokud je to potřebné pro
obchodní činnost správce
○ právní nástupci správce v případě přeměny správce
○ orgány veřejné moci, pokud tak správci stanoví právní
povinnost
Mezinárodním organizacím správce osobní údaje nezpřístupňuje.
Příjemcům ve třetích zemích
(výhradně země EU) správce osobní údaje zpřístupňuje výjimečně,
pokud se jedná o:
● obchodní partnery správce a je to nezbytné pro splnění smlouvy
nebo oprávněnou ochranu zájmů správce
● cizí orgány veřejné moci a správci tak ukládá právní
povinnost
g) Plánované lhůty pro výmaz osobních údajů:
● údaje obchodních partnerů (jejich zástupců a kontaktních
osob)
○ v případě dlouhodobé obchodní spolupráce po dobu jejího trvání a
tři roky po jejím ukončení
○ v případě jednání o smlouvě po dobu tří let po posledním
kontaktu
○ v případě uzavření smlouvy po dobu tří let po jejím naplnění a
uplynutí garančních závazků
avšak
► vždy správce uchovává osobní údaje až do skončení případného
sporu, vypořádání všech závazků nebo uplynutí promlčecích lhůt
► vždy správce uchovává osobní údaje nejméně po archivační dobu,
kterou mu ukládá zákon nebo obdobně závazný předpis
● údaje zákazníků (jejich zástupci a kontaktní osoby)
○ v případě jednání o plnění po dobu tří let po posledním
kontaktu
○ v případě uzavření smlouvy po dobu tří let po jejím naplnění a
uplynutí garančních závazků
avšak
► vždy správce uchovává osobní údaje až do skončení případného
sporu, vypořádání všech závazků nebo uplynutí promlčecích lhůt
► vždy správce uchovává osobní údaje nejméně po archivační dobu,
kterou mu ukládá zákon nebo obdobně závazný předpis
● údaje osob poskytujících zajištění závazků (jejich zástupci a
kontaktní osoby)
○ v případě poskytnutí zajištění závazku po dobu tří let po jeho
naplnění a uplynutí závazků ze zajištění
avšak
► vždy uchováváme osobní údaje až do skončení případného sporu,
vypořádání všech závazků nebo uplynutí promlčecích lhůt
► vždy uchováváme osobní údaje nejméně po archivační dobu, kterou
nám ukládá zákon nebo obdobně závazný předpis
● údaje zaměstnanců (jejich případní zástupci)
○ po dobu trvání pracovního poměru a tři roky po jeho ukončení
avšak
► vždy správce uchovává osobní údaje až do skončení případného
sporu, vypořádání všech závazků nebo uplynutí promlčecích lhůt
► vždy správce uchovává osobní údaje nejméně po archivační dobu,
kterou mu ukládá zákon nebo obdobně závazný předpis
● údaje jiných osob - přímý marketing
○ po dobu platnosti uděleného souhlasu
h) Aktualizace osobních údajů:
● při každém kontaktu se subjektem, kdy je správci změna oznámena
subjektem nebo jeho zástupcem
● kdykoli je změna oznámena správci jinou osobou nebo zjištěna
vlastní činností správce
● pomocí veřejně dostupných zdrojů (veřejné rejstříky) vždy, když
správce změnu zjistí
i) Druhy listinných a elektronických evidencí, zabezpečení a
sdílení:
● listinná evidence uchovávaná v uzamykatelné skříni umístěné v
uzamykané místnosti, přičemž
budova je uzamykána a chráněna elektronickým zabezpečovacím
systémem
● elektronická evidence na sdíleném serveru chráněná standardním
firewall, přístupná za použití unikátního,
měněného přístupového hesla pro každou pověřenou osobu
● přístup do elektronické evidence je umožněn účetnímu a obchodnímu
systému zabezpečeným
(zaheslovaným) způsobem
● přenos dat podléhá standardnímu šifrování (e-mail) nebo je
uskutečňován do datové schránky, přístup do
e-mailových a datových schránek je chráněn heslem
● zaměstnanci i ostatní osoby mají zákaz nahrávání dat s osobními
údaji na přenosná média nepatřící správci
a zákaz vynášení paměťových médií mimo sféru správce
● osobní údaje jsou dostupné jen pro osoby, které je nezbytně
potřebují pro výkon své činnosti
● zálohování dat probíhá do externí lokality chráněné přístupovým
heslem
● správce je schopen obnovit dostupnost osobních údajů v případě
technických incidentů
● všechny pověřené osoby jsou poučeny o pravidlech ochrany osobních
údajů a mají se správcem uzavřeny
dohody o zachování mlčenlivosti
● všichni zpracovatelé osobních údajů mají se správcem uzavřeny
smlouvy podle čl. 28 GDPR
● vymazávaná data jsou likvidována, nejen deaktivována
● software, hardware a IT systém je standardní, opatřený standardní
antivirovou ochranou,
● bezpečnost a aktuálnost je kontrolována interními či externími IT
zpravidla jedenkrát ročně
● je určena osoba pověřená kontrolou a koordinací ochrany osobních
údajů (případně DPO)
VI. GARANTOVANÁ PRÁVA SUBJEKTŮ OSOBNÍCH ÚDAJŮ
pro vyplnění
(1) Správce garantuje subjektům osobních údajů tato práva:
a) Právo na informace a přístup k osobním údajům [čl. 12, 13 a 14
GDPR]:
Správce poskytuje subjektům ve stanovených lhůtách stručným,
transparentním, srozumitelným a snadno přístupným způsobem za
použití jasných a jednoduchých jazykových prostředků zejména tyto
informace:
● totožnost a kontaktní údaje správce, jeho zástupce (případně
DPO),
● kategorie zpracovávaných osobních údajů
● zdroje zpracovávaných osobních údajů včetně případného údaje o
původu z veřejně dostupných zdrojů
● účely zpracování, pro které jsou osobní údaje určeny
● právní základ (titul) pro zpracování
● oprávněné zájmy správce nebo třetí strany jsou-li právním titulem
pro zpracování
● příjemce zpracovávaných osobních údajů
● případný úmysl správce předat osobní údaje do třetí země nebo
mezinárodní organizaci
● dobu po kterou budou osobní údaje zpracovávány či uloženy nebo
způsob jejího určení
● existenci práva požadovat: přístup k osobním údajům, jejich
opravu nebo výmaz, omezení jejich zpracování, vznést námitku
proti
zpracování, přenositelnost údajů
● existenci práva odvolat kdykoli souhlas se zpracováním je-li
právním titulem pro zpracování, aniž je tím dotčena zákonnost
zpracování
založená na souhlasu uděleném před jeho odvoláním
● existenci práva podat stížnost u dozorového úřadu
● zda poskytování osobních údajů je zákonným či smluvním
požadavkem, nebo požadavkem, který je nutné uvést do smlouvy,
a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně
možných důsledků neposkytnutí těchto údajů
● že dochází k automatizovanému rozhodování či profilování, použité
postupy a význam předpokládaných důsledků takového zpracování
pro subjekt údajů
● záměr správce použít osobní údaje pro jiný účel, než pro který
byly shromážděny
b) Právo na přístup k osobním údajům [čl. 15 GDPR]:
Správce garantuje subjektům právo získat potvrzení, zda osobní
údaje týkající se subjektu jsou či nejsou zpracovávány, a pokud
ano, garantuje subjektu právo získat přístup k těmto osobním údajům
a k následujícím informacím:
● účely zpracování
● kategorie dotčených osobních údajů
● příjemce nebo kategorie příjemců, kterým osobní údaje byly nebo
budou zpřístupněny
● plánovanou dobu, po kterou budou osobní údaje uloženy nebo
kritéria použitá ke stanovení této doby
● existenci práva požadovat od správce opravu nebo výmaz osobních
údajů, nebo omezení jejich zpracování, nebo vznést námitku
proti
tomuto zpracování
● existenci práva podat stížnost u dozorového úřadu
● veškeré dostupné informace o zdroji osobních údajů, pokud nejsou
získány od subjektu
● že dochází k automatizovanému rozhodování či profilování, použité
postupy a význam předpokládaných důsledků takového zpracování
pro subjekt údajů
● pokud se osobní údaje předávají do třetí země nebo mezinárodní
organizaci informaci o vhodných zárukách, které se na předání
vztahují
Správce poskytne subjektu kopii zpracovávaných údajů, které se
subjektu týkají.
c) Právo na opravu [čl. 16 GDPR]:
Správce bez zbytečného odkladu po žádosti subjektu provede opravu
nebo doplnění nesprávných nebo neúplných osobních údajů, které o
něm zpracovává.
d) Právo na výmaz (být zapomenut) [čl. 17 GDPR]:
Správce bez zbytečného odkladu po žádosti subjektu provede výmaz
jeho osobních údajů, pokud:
● osobní údaje již nejsou potřebné pro účely, pro které byly
shromážděny nebo jinak zpracovány
● subjekt odvolá souhlas, na jehož základě byly údaje zpracovány a
neexistuje žádný další právní důvod pro zpracování
● subjekt vznese námitky proti zpracování a neexistují žádné
převažující oprávněné důvody pro zpracování, nebo subjekt údajů
vznese
námitky proti zpracování údajů pro účely přímého marketingu
● osobní údaje byly zpracovány protiprávně
● osobní údaje musí být vymazány ke splnění právní povinnosti
● osobní údaje byly shromážděny v souvislosti s nabídkou služeb
informační společnosti
Správce však výmaz osobních údajů neprovede, pokud je zpracování
nezbytné:
● pro výkon práva na svobodu projevu a informace
● pro splnění právní povinnosti, jež vyžaduje zpracování nebo pro
splnění úkolu provedeného ve veřejném zájmu nebo při výkonu
veřejné
moci, kterým je správce pověřen
● z důvodů veřejného zájmu v oblasti veřejného zdraví
● pro účely archivace ve veřejném zájmu, pro účely vědeckého či
historického výzkumu či pro statistické účely, pokud je
pravděpodobné,
že by právo na výmaz znemožnilo nebo vážně ohrozilo cíle
zpracování
● pro určení, výkon nebo obhajobu právních nároků
e) Právo na omezení zpracování [čl. 18 GDPR]:
Správce na žádost subjektu omezí zpracování jeho osobních údajů
pokud:
● subjekt popírá přesnost osobních údajů, a to na dobu potřebnou k
tomu, aby správce mohl přesnost osobních údajů ověřit
● zpracování je protiprávní a subjekt údajů odmítá výmaz osobních
údajů, ale žádá místo toho o omezení jejich použití
● správce již osobní údaje nepotřebuje pro účely zpracování, ale
subjekt údajů je požaduje pro určení, výkon nebo obhajobu
právních nároků
● subjekt z důvodů týkajících se jeho konkrétní situace vznesl
námitku proti zpracování údajů zpracovávaných pro splnění úkolu
ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen
správce nebo pro účely oprávněných zájmů správce či třetí
strany,
a to na dobu, dokud nebude ověřeno, zda oprávněné důvody správce
převažují nad oprávněnými důvody subjektu
f) Oznamovací povinnost ohledně opravy, výmazu nebo omezení
zpracování [čl. 19 GDPR]:
Správce oznamuje příjemcům, jimž byly zpřístupněny osobní údaje,
veškeré opravy, výmazy nebo omezení zpracování údajů s výjimkou
případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené
úsilí. Správce informuje subjekt údajů o těchto příjemcích, pokud
to subjekt požaduje.
g) Právo na přenositelnost [čl. 20 GDPR]:
Správce na žádost subjektu předá subjektu jeho osobní údaje, které
zpracovává, ve strukturovaném, běžně používaném a strojově čitelném
formátu a předá je jinému, subjektem určenému správci, pokud:
● je zpracování údajů založeno na souhlasu subjektu (s výjimkou
případů, kdy podle práva nemůže být souhlas subjektem zrušen)
nebo
na plnění smlouvy uzavřené mezi správcem a subjektem či pro
provedení opatření přijatých před uzavřením takové smlouvy a
zpracování se provádí automatizovaně.
Správce přenos osobních údajů neumožní, pokud by tím byla
nepříznivě dotčena práva a svobody jiných osob.
h) Právo vznést námitku [čl. 21 GDPR]:
Pokud subjekt z důvodů týkajících se jeho konkrétní situace vznese
vůči správci námitku proti zpracování svých osobních údajů
zpracovávaných správcem ve veřejném zájmu nebo při výkonu veřejné
moci, kterým je pověřen správce nebo pro účely oprávněných zájmů
příslušného správce či třetí strany (včetně profilování založeného
na těchto důvodech), správce osobní údaje subjektu dále
nezpracovává, pokud neprokáže závažné oprávněné důvody pro
zpracování, které převažují nad zájmy nebo právy a svobodami
subjektu údajů, nebo pro určení, výkon nebo obhajobu právních
nároků správce.
Pokud subjekt vznese námitku proti zpracování svých osobních údajů
pro účely přímého marketingu (včetně profilování těchto údajů),
nebude správce tyto osobní údaje pro účely přímého marketingu dále
zpracovávat.
i) Právo na přezkum automatizovaného zpracování a profilování [čl.
22 GDPR]:
Správce umožní subjektu na jeho žádost, aby nebyl předmětem
výhradně automatizovaného zpracování svých osobních údajů (včetně
profilování) a umožní mu, aby zpracování (i profilování) jeho
osobních údajů bylo přezkoumáno člověkem, pokud:
● automatizované zpracování (či profilování) není nezbytné k
uzavření či plnění smlouvy mezi správcem a subjektem
● automatizované zpracování (či profilování) není povoleno závazným
právním předpisem
● automatizované zpracování (či profilování) není založeno na
výslovném souhlasu subjektu
j) Právo odvolat souhlas se zpracováním osobních údajů [čl. 7,
odst. (2) GDPR]:
Pokud jsou osobní údaje zpracovávány na základě souhlasu subjektu
[čl. 6 odst. (1) písm. a) nebo čl. 9 odst. (2) písm. a) GDPR] má
subjekt právo svůj kdykoli odvolat, aniž je tím dotčena zákonnost
zpracování založená na souhlasu uděleném před jeho odvoláním.
k) Právo podat stížnost u dozorového orgánu [čl. 77 GDPR]:
Správce, bez ohledu na jiná práva a jiné prostředky ochrany,
informuje subjekty osobních údajů o právu podat proti porušení práv
při zpracování jeho osobních údajů stížnost u dozorového úřadu,
kterým je v České republice Úřad pro ochranu osobních údajů - ÚOOÚ,
se sídlem Pplk. Sochora 727/27, Holešovice, 170 00, Praha 7,
telefon: +420 234 665 111, web: www.uoou.cz.
(2) Subjekt údajů může svá práva vůči správci uplatnit podáním k
těmto kontaktům:
● statutární orgán správce: Dana Králová, info@elektroefekt.cz, 376
322 653
● kontaktní osoba (případně DPO): Dana Králová,
info@elektroefekt.cz, 376 322 653
VII. OHLAŠOVÁNÍ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ
pro vyplnění
(1) Jakékoli porušení zabezpečení osobních údajů, je-li
pravděpodobné, že toto porušení může mít za následek riziko pro
práva a svobody fyzických osob, správce bez zbytečného odkladu a
pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí
Úřadu pro ochranu osobních údajů [čl. 33 GDPR]. V ohlášení správce
uvede nejméně tyto údaje:
a) Popis povahy daného případu porušení zabezpečení osobních údajů
včetně (pokud je to možné) kategorií a přibližného počtu dotčených
subjektů údajů a kategorií a přibližného množství dotčených záznamů
osobních údajů.
b) Jméno a kontaktní údaje pověřence pro ochranu osobních údajů
nebo jiného kontaktního místa, které může poskytnout bližší
informace.
c) Popis pravděpodobných důsledků porušení zabezpečení osobních
údajů.
d) Popis opatření, která správce přijal nebo navrhl k přijetí s
cílem vyřešit dané porušení zabezpečení osobních údajů, včetně
případných opatření ke zmírnění možných nepříznivých dopadů.
(2) Pro ohlášení porušení zabezpečení osobních údajů dozorovému
úřadu správce může využít formulář v příloze této směrnice.
(3) Správce dokumentuje a uchovává veškeré případy porušení
zabezpečení osobních údajů, přičemž uvede skutečnosti, které se
týkají daného porušení, jeho účinky a přijatá nápravná opatření.
Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s
tímto článkem.
(4) Pokud je pravděpodobné, že určitý případ porušení zabezpečení
osobních údajů bude mít za následek vysoké riziko pro práva a
svobody fyzických osob, oznámí správce toto porušení bez zbytečného
odkladu subjektu údajů [čl. 34 GDPR]. V oznámení subjektu správce
uvede:
a) Jméno a kontaktní údaje pověřence pro ochranu osobních údajů
nebo jiného kontaktního místa, které může poskytnout bližší
informace.
b) Popis pravděpodobných důsledků porušení zabezpečení osobních
údajů.
c) Popis opatření, která správce přijal nebo navrhl k přijetí s
cílem vyřešit dané porušení zabezpečení osobních údajů, včetně
případných opatření ke zmírnění možných nepříznivých dopadů.
(5) Oznámení porušení zabezpečení osobních údajů subjektu údajů
správce neučiní, pokud:
a) Zavedl náležitá technická a organizační ochranná opatření a tato
opatření byla použita u osobních údajů dotčených porušením
zabezpečení osobních údajů, zejména taková, která činí tyto údaje
nesrozumitelnými pro kohokoli, kdo