Ochrana osobních údajů

Podmínky ochrany osobních údajů

1. Údaje o Společnosti

Společnost RENOMIA, a. s., IČO: 483 91 301, se sídlem Holandská 874/8, Štýřice, 639 00 Brno, zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně pod sp. zn. B 3930 (dále jen „Společnost“) potřebuje v souvislosti s činností, kterou vykonává, sbírat osobní údaje o některých fyzických osobách. Těmito osobami mohou být jak její zaměstnanci, tak její zákazníci, dodavatelé a obchodní partneři dodavatelů a jiné osoby, se kterými je Společnost v určitém vztahu či s nimi komunikuje.

Tyto podmínky ochrany osobních údajů (dále jen „Podmínky“) popisují, jak je ve Společnosti prováděno zpracování osobních údajů. Tyto Podmínky zajišťují, aby zpracování osobních údajů bylo v souladu s obecně závaznými právními předpisy, zejména s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení“), aby práva subjektů údajů byla náležitě chráněna.

Tyto Podmínky dopadají na veškeré osobní údaje zpracovávané Společností, bez ohledu na účel či právní titul (zákonný důvod) jejich zpracování.

Dotazy ohledně zpracování osobních údajů lze adresovat Společnosti nebo jejímu pověřenci pro ochranu osobních údajů:

Korespondenční adresa: Holandská 874/8, Štýřice, 639 00 Brno

Pověřenec pro ochranu osobních údajů: aktuální kontaktní informace Pověřence jsou dostupné na webové stránce: https://www.renomia.cz/kontakt

2. Jakými zásadami se řídíme při zpracování osobních údajů?

Společnost zpracovává přesné a aktuální osobní údaje na základě titulu stanoveného Nařízením, korektně a transparentním způsobem, pouze pro určité, výslovně vyjádřené a oprávněné účely, v minimálním nezbytném rozsahu, ukládá je ve formě umožňující identifikaci subjektů údajů pouze po nezbytnou dobu ve vztahu k účelu a zajišťuje jejich integritu a důvěrnost pomocí vhodných technických nebo organizačních opatření a náležitého zabezpečení před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

Společnost zajišťuje, aby nepřesné údaje s přihlédnutím k jejich účelu, pro který se zpracovávají, byly bezodkladně vymazány nebo opraveny.

Veškeré činnosti spojené s osobními údaji a jejich ochranou Společnost řádně dokumentuje, zejména vede záznamy o činnostech zpracování a další doklady o zpracování osobních údajů pro naplnění zásady odpovědnosti dle Nařízení. Společnost spolupracuje s dozorovým úřadem, jímž je zejména Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7, e-mail: posta@uoou.cz, tel.: +420 234 665 111.

3. Pro jaký účel osobní údaje zpracováváme?

Před zahájením jakéhokoli zpracování osobních údajů Společnost stanovuje účel, pro který zpracovává osobní údaje. Takovým účelem je typicky uzavření smlouvy (včetně jednání směřujících k uzavření smlouvy) či plnění smlouvy se zákazníkem, vedení zaměstnanecké agendy, kontaktování potenciálních zákazníků za účelem nabídky produktů, atp.

Za jakým účelem jsou osobní údaje subjektu údajů zpracovávány, se subjekt údajů dozví z informace, kterou mu individuálně předá (zašle) Společnost. Zpracování osobních údajů je po celou dobu prováděno výhradně v rozsahu a za účelem dosažení předem stanoveného účelu.

Jakmile je účel zpracování naplněn, Společnost osobní údaje v souladu se zásadou minimalizace údajů (zpracování přiměřené, relevantní, omezené na nezbytný rozsah ve vztahu k účelu zpracování) a omezení uložení vymazává, pokud je není třeba uchovávat pro jiný účel.

4. Jaké osobní údaje zpracováváme?

Společnost zpracovává osobní údaje pouze v rozsahu nezbytném pro naplnění daného účelu. O tom, jaké konkrétní osobní údaje o daném subjektu údajů Společnosti pro daný účel zpracovává, se subjekt údajů dozví z informace, kterou mu individuálně předá (zašle) Společnost.

5. Na základě jakého titulu zpracováváme osobní údaje?

Společnost zpracovává osobní údaje vždy na základě jednoho z titulů vyjmenovaných v článku 6 Nařízení (právní základ pro zpracování). Nejčastěji uplatňovanými tituly pro zpracování prováděná Společností jsou:

  1. uzavření nebo plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;

  2. plnění právní povinnosti, která se na Společnost jako správce vztahuje;
  3. oprávněný zájem Společnosti či třetí strany, který převažuje nad zájmy a základními právy a svobodami subjektu údajů na ochranu osobních údajů; nebo
  4. souhlas subjektu údajů se zpracováním jeho osobních údajů.

O konkrétním titulu, na jehož základě jsou osobní údaje daného subjektu údajů zpracovávány, se subjekt údajů dozví z informace, kterou mu individuálně předá (zašle) Společnost.

5.1 Oprávněný zájem Společnosti

Oprávněný zájem Společnosti určuje Společnost. Společnost před tím, než začne osobní údaje podle stanoveného oprávněného zájmu zpracovávat, poměří tento zájem s oprávněnými zájmy a základními právy a svobodami subjektů údajů, jejichž osobní údaje zpracovává (provede tzv. balanční test).

Pokud Společnost shledá podle výsledku balančního testu, že může osobní údaje subjektu údajů zpracovávat na základě titulu oprávněného zájmu, informuje vždy subjekt údajů o této skutečnost (tj. že zpracovává údaje na základě oprávněného zájmu) v rámci informace subjektu údajů a sdělí mu, na základě jakého konkrétního oprávněného zájmu tak činí.

Je-li titulem pro zpracování osobních údajů subjektu údajů oprávněný zájem Společnosti, je subjekt údajů oprávněn podat námitku a žádat výmaz (podrobněji v rámci informace, kterou subjektu údajů individuálně předá (zašle) Společnost). O těchto právech je subjekt údajů informován v rámci informace, kterou subjektu údajů individuálně předá (zašle) Společnost, a to nejpozději v okamžiku první komunikace Společnosti se subjektem údajů.

Společnost zpracovává osobní údaje na základě oprávněných zájmů, jako je například předcházení podvodům, ochrana majetku, vymáhání právních nároků, předávání v rámci skupiny pro administrativní účely, přímý marketing (pokud Společnost zpracovává osobní údaje pro účely splnění smlouvy, jejíž smluvní stranou je subjekt údajů, je oprávněna informovat subjekt údajů o zboží nebo službách a zasílat obchodní sdělení na e-mailovou adresu uvedenou subjektem údajů), aj.

5.2 Souhlas se zpracováním osobních údajů

Souhlas subjektu údajů se zpracováním jeho osobních údajů může být udělen pro jeden nebo více konkrétních účelů – tento titul využívá Společnost pouze v těch případech, kdy není oprávněna zpracovávat osobní údaje na základě jiného právního titulu.

Souhlas subjektu údajů se zpracováním jeho osobních údajů využívá Společnost zejména při nakládaní s tzv. zvláštní kategorií osobních údajů (údaje o zdravotním stavu), při předávání osobních údajů mezi společnostmi ze skupiny RENOMIA GROUP, atp.

Souhlas se zpracováním osobních údajů může subjekt kdykoli odvolat. Pokud subjekt údajů svůj souhlas se zpracováním odvolá, neznamená to, že by zpracování osobních údajů před takovým odvoláním bylo nezákonné - odvolání souhlasu nemá zpětný účinek a zpracování osobních údajů vycházející z tohoto souhlasu před jeho odvoláním jím není dotčeno. O této skutečnost je subjekt údajů informován před tím, než vyjádří souhlas se zpracováním osobních údajů.

6. Jakým způsobem zpracováváme osobní údaje?

Osobní údaje jsou zpracovávány nejčastěji v elektronické podobě neautomatizovaným způsobem (zejména osobní údaje zákazníků a dodavatelů) a rovněž v tištěné podobě neautomatizovaným způsobem (zejména pracovněprávní dokumentaci).

Společnost přijímá technická a organizační opatření k ochraně osobních údajů popsaná v těchto Podmínkách a vnitřních předpisech Společnosti a osobní údaje vždy dostatečně zabezpečuje a chrání před jejich zpřístupněním neoprávněným osobám – podrobněji k zabezpečení viz čl. 10 těchto Podmínek.

7. Po jakou dobu zpracováváme osobní údaje?

Osobní údaje budou zpracovávány pouze po dobu potřebnou k naplnění účelu zpracování osobních údajů, která je určena individuálně a o jejíž délce je subjekt osobních údajů informován také individuálně. Nad rámec takto stanovené doby je Společnost oprávněna zpracovávat osobní údaje subjektu údajů po dobu stanovenou zvláštními právními předpisy nebo po dobu potřebnou k vymáhání práv Společnosti vůči subjektu údajů. Konkrétní dobu, po kterou budou osobní údaje daného subjektu údajů zpracovávány, se subjekt údajů dozví z informace, kterou mu individuálně předá (zašle) Společnost.

Jakmile je účel zpracování osobních údajů naplněn a Společnost již nemá žádný další účel, pro který by je byla oprávněna zpracovávat, provádí Společnost výmaz osobních údajů. V případě osobních údajů zpracovávaných na základě souhlasu subjektu údajů Společnost provede výmaz osobních údajů také v případě, kdy subjekt údajů svůj souhlas se zpracováním osobních údajů odvolá. Pokud jsou osobní údaje zpracovávány z titulu oprávněného zájmu a subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování, Společnost rovněž osobní údaje vymaže poté, co o tom subjekt údajů informuje.

8. Jaká práva má subjekt údajů?

Subjekt údajů může v souvislosti se zpracováním osobních údajů vůči Správci uplatnit práva uvedená níže, a to:

  • elektronicky (na e-mailové adrese kterou subjekt údajů používá pro komunikaci se Správcem kupř. emailová adresa příslušného zaměstnance Správce);
  • telefonicky (na čísle, které subjekt údajů používá pro komunikaci se Správcem kupř. telefonní číslo příslušného zaměstnance Správce);
  • u pověřence pro ochranu osobních údajů, kontakt uveden výše v Podmínkách; nebo
  • písemně na korespondenční adresu Správce uvedenou výše v Podmínkách.

Právo na přístup, opravu, omezení a výmaz osobních údajů

Subjekt údajů má právo získat od Správce informace, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány. Pokud Správce osobní údaje subjektu údajů zpracovává, je povinen poskytnout bezplatně kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může Správce účtovat přiměřený poplatek odpovídající administrativním nákladům na pořízení těchto kopií.

Subjekt údajů má dále právo na opravu nepřesných osobních údajů, které se ho týkají a na doplnění neúplných osobních údajů s přihlédnutím k účelům zpracování, a to i prostřednictvím poskytnutí dodatečného prohlášení.

Subjekt údajů má rovněž právo na omezení zpracování jeho osobních údajů, v kterémkoli z těchto případů:

  • subjekt údajů popírá přesnost osobních údajů; v tomto případě bude zpracování omezeno na dobu potřebnou k tomu, aby Správce mohl přesnost osobních údajů ověřit;
  • zpracování osobních údajů je protiprávní, subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
  • Správce již osobní údaje nepotřebuje pro stanovený účel zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
  • subjekt údajů uplatnil právo vznést námitku proti zpracování osobních údajů; v tomto případě bude zpracování omezeno, dokud nebude ověřeno, zda oprávněné důvody Správce převažují nad oprávněnými důvody subjektu údajů.

Na žádost subjektu údajů Správce bez zbytečného odkladu vymaže jeho osobní údaje, pokud je dán některý z níže uvedených důvodů:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
  • subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování;
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování osobních údajů pro účely přímého marketingu;
  • osobní údaje jsou zpracovávány protiprávně;
  • osobní údaje musí být vymazány ke splnění právní povinnosti stanovené právem Evropské unie nebo členského státu, které se na Správce vztahuje;
  • osobní údaje dítěte byly shromážděny v souvislosti s nabídkou služeb informační společnosti učiněnou přímo dítěti.

Právo na přenositelnost osobních údajů

Subjekt údajů má právo získat osobní údaje, které se ho týkají, které poskytl Správci a které jsou zpracovávány automatizovaně, pokud je současně splněna některá z níže uvedených podmínek:

  • osobní údaje jsou zpracovávány pro konkrétní účel/-y na základě souhlasu subjektu údajů;
  • jedná se o zvláštní kategorii osobních údajů zpracovávaných pro jeden nebo více stanovených účelů na základě výslovného souhlasu uděleného subjektem údajů; nebo
  • zpracování osobních údajů je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů.

Správce poskytne subjektu údajů osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu. Subjekt údajů je oprávněn předat získané osobní údaje jinému správci osobních údajů. Subjekt údajů si ve své žádosti zvolí, zda má Správce osobní údaje poskytnout subjektu údajů nebo zda využije právo na to, aby jeho osobní údaje byly předány Správcem přímo jinému správci/zpracovateli, je-li to technicky proveditelné.

Právo vznést námitku

V případě zpracování osobních údajů na základě právního titulu oprávněného zájmu Správce (např. přímý marketing) má subjekt údajů právo vznést námitku proti zpracování svých osobních údajů z důvodů, které v námitce popíše. V případě přijetí námitky Správce osobní údaje přestane zpracovávat (ponechá si je pouze uložené) a provede posouzení, zda má závažné oprávněné důvody pro jejich zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Pokud Správce dojde k závěru, že takové důvody má, informuje o tom subjekt údajů, sdělí mu zároveň možnosti další obrany a ve zpracování osobních údajů pokračuje. Pokud Správce naopak dojde k závěru, že dostatečné důvody pro zpracování osobních údajů nemá, subjekt údajů o tom informuje, zpracování ukončí a provede výmaz osobních údajů.

Vyřizování žádostí subjektů údajů při uplatnění jejich práv u Správce

Správce umožňuje subjektům údajů podání žádostí v různých formách, jež se primárně budou odvíjet od vztahu mezi Správcem a subjektem údajů (písemným formulářem, elektronicky). Jestliže subjekt údajů podává žádost v elektronické formě, budou informace poskytnuty v běžně používané elektronické formě, ledaže by subjekt údajů ve své žádosti uvedl, že požaduje jiný způsob poskytnutí informací. O opatřeních přijatých na základě žádosti subjektu údajů informuje Správce subjekt údajů do jednoho měsíce od přijetí žádosti, nejpozději však do tří měsíců od přijetí žádosti, byla-li lhůta v případě odůvodněné potřeby prodloužena.

Právo podat stížnost

V případě podezření na nezákonný postup Správce při zpracování osobních údajů má subjekt údajů právo podat podnět/stížnost u Úřadu pro ochranu osobních údajů:

  • elektronicky na e-mailové adrese posta@uoou.cz;
  • prostřednictvím datové schránky ID: qkbaa2n;
  • telefonicky na čísle +420 234 665 111; nebo
  • písemně na adrese Pplk. Sochora 27, 170 00 Praha 7,

případně u jiného příslušného dozorového úřadu v souvislosti se zpracováním osobních údajů.

9. Za jakých podmínek předáváme osobní údaje?

Osobní údaje může Společnost jako správce zpracovávat přímo svými zaměstnanci, anebo prostřednictvím třetích osob (dále jen „Zpracovatel“ nebo „Zpracovatelé“). Společnost uzavřela s každým Zpracovatelem smlouvu o zpracování osobních údajů, a stejně tak uzavřela smlouvu o zpracování osobních údajů s osobami, vůči nimž Společnost vystupuje v pozici zpracovatele.

O tom, komu a v jakém rozsahu jsou informace předávány, se subjekt údajů dozví z informace, kterou mu individuálně předá (zašle) Společnost.

Zpracovatelé poskytli Společnosti dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky Nařízení a aby byla zajištěna ochrana práv subjektů.

Společnost nepředává osobní údaje třetím osobám úplatně.

Osobní údaje mohou být v rámci činnosti Společnosti předávány do třetích zemí mimo Evropskou unii a Evropský hospodářský prostor. Zajištění některých produktů Společnosti včetně služeb s nimi spojených a jejich propagace v některých případech vyžadují, aby Společnost předávala osobní údaje ke zpracování mimo Evropskou unii. Společnost však vždy dbá na to, aby k předávání docházelo v souladu s legislativními požadavky a aby byla v každém jednotlivém případě zabezpečena adekvátní ochrana osobních údajů. Společnost pro zabezpečení ochrany osobních údajů při jejich předávání do třetích zemí využívá záruk stanovených platnou legislativou (tj. k předání dochází zejména na základě rozhodnutí Komise EU o odpovídající ochraně, standardních doložek o ochraně osobních údajů, právně závazných a vymahatelných nástrojů mezi orgány veřejné moci nebo veřejnými subjekty). Neexistují-li takové záruky, pak může Společnost v ojedinělých případech předávat osobní údaje, je-li předání nezbytné pro uzavření nebo splnění smlouvy, která byla uzavřena v zájmu subjektu údajů mezi Společností a třetí stranou, nebo je-li předání nezbytné pro splnění smlouvy mezi subjektem údajů a Společností nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů, či na základě výslovného souhlasu řádně informovaného subjektu údajů.

10. Jak zabezpečujeme osobní údaje?

S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracovávání i k pravděpodobným a různě vážným rizikům pro práva a svobody fyzických osob Společnost zavedla vhodná technická a organizační opatření, aby zajistila úroveň zabezpečení osobních údajů odpovídající danému riziku zejména náhodnému nebo protiprávnímu zničení, ztrátě, pozměňování, neoprávněnému zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů nebo neoprávněnému přístupu k nim.

O konkrétních opatřeních, zavedených Společností, se subjekt údajů dozví z informace, kterou mu individuálně předá (zašle) Společnost.