Informace pro fyzické osoby (subjekty údajů)
o zpracování osobních údajů
- Správce osobních údajů
Parenteral a.s., IČ 25971263, Přívozní 2/1054, Praha, 170 00, Česká republika,
e-mail: GDPR@parenteral.cz , www.parenteral.eu
- Kontaktní místo pro ohlašování incidentů zabezpečení osobních údajů:
Parenteral a.s., IČ 25971263, Přívozní 2/1054, Praha, 170 00, Česká republika,
e-mail: GDPR@parenteral.cz , www.parenteral.eu
- Právní titul a Účel zpracování osobních údajů
Právní titul:
- splnění právní povinnosti
- splnění smlouvy
- ochrana životně důležitých zájmů subjektů údajů
- plnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci
- oprávněné zájmy správce, kromě případů, kdy mají přednost zájmy subjektu údajů vyžadující ochranu osobních údajů
- souhlas subjektu údajů
Účel zpracování: Objednávky z internetového obchodu www.metaXtren, kontaktního systému FoxyDesk a emailových dotazů do emailových schránek společnosti Parenteral a.s.
Upozornění: Správci doručená osobní data zájemců o služby, k nimž není připojený souhlas se zpracováním, nemůže správce přijmout a jsou skartována nebo vymazána ihned po doručení bez nahlédnutí do nich.
- Doba zpracování a uložení osobních údajů
- na dobu: 24 měsíců
- Kategorie zpracovávaných osobních údajů
Jméno/a, příjmení, titul/y, trvalé bydliště, případně přechodné bydliště, e-mail, telefon.
Zásady zpracování a uložení osobních údajů
Správce zpracovává a ukládá osobní údaje fyzických osob (subjektů údajů) podle následujících zásad:
- Odpovědnost
- Správce a zaměstnanci zajišťují soulad procesů zpracování osobních údajů a komunikaci se subjekty údajů podle zásad ochrany údajů uvedené v Nařízení, dodržují vnitřní předpisy, postupy a závazná pravidla ochrany údajů
- Zákonnost, korektnost, transparentnost
- Správce a zaměstnanci jsou povinni od subjektů údajů přijímat a zpracovávat osobní údaje pouze zákonným, korektním a transparentním způsobem.
- Správce zpracovává a ukládá osobní údaje pouze z následujících povolených právních titulů:
- splnění právní povinnosti
- splnění smlouvy
- ochrana životně důležitých zájmů subjektů údajů
- plnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci
- oprávněné zájmy správce, kromě případů, kdy mají přednost zájmy subjektu údajů vyžadující ochranu osobních údajů
- souhlas subjektu údajů (tento správce vyžaduje, pokud neexistují výše uvedené právní důvody shromažďování a zpracování osobních údajů
- Informace jsou subjektům údajů poskytovány podle formy jejich žádosti: na žádost v elektronické formě (e-mail) bude odpovězeno v elektronické formě (pokud SÚ nepožádá jinak) apod.
- Pokud SÚ žádá o příliš velké množství informací, má odpovědný zaměstnanec právo požádat o upřesnění žádosti.
- V případě opakovaných žádostí má správce právo žádat přiměřený administrativní poplatek.
- Ochrana soukromí subjektů údajů
- Ochrana soukromí subjektů údajů (tj. dodržování všech zásad ochrany údajů podle Nařízení) je pro správce a zaměstnance nejdůležitější zásadou zpracování osobních údajů
- Účelové omezení
- Správce zpracovává a ukládá osobní údaje pouze ke stanovenému účelu, o kterém je subjekt údajů informován a souhlasil s ním.
- Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a další příslušné informace.
- Minimalizace údajů
- Správce a zaměstnanci jsou povinni od subjektů údajů požadovat a zpracovávat pouze osobní údaje, které jsou pro daný účel zpracování nezbytné, tzn. minimalizovat jejich množství
- Přesnost
- Správce a zaměstnanci zpracovávají osobní údaje přesně a snaží se je udržovat v aktuální formě podle informací subjektů údajů
- Omezení uložení (doba)
- Správce zpracovává a ukládá pouze nezbytné množství osobních údajů v nezbytném rozsahu, po nezbytnou dobu. Po skončení doby zpracování a uložení osobních údajů, na kterou subjekty údajů poskytli správci souhlas, jsou tyto z elektronických úložišť automaticky vymazány, nebo listiny skartovány.
- Integrita a důvěrnost
- Správce a zaměstnanci dodržují zásady otevřenosti, čestnosti a transparentnosti ve věcech komunikace a jednání se subjekty údajů a zpracování jejich osobních údajů a zacházejí s nimi jako s důvěrnými informacemi
- Bezpečnost zpracování a uložení osobních údajů
- Správce a zaměstnanci zpracovávají a ukládají osobní údaje s maximálním ohledem a důrazem na jejich bezpečnost a minimalizaci rizik pomocí organizačních, systémových a technických opatření. Pro případná zbytková rizika správce přijal a nastavil procesy k jejich včasné identifikaci a zamezení. Elektronické zpracování a uložení osobních údajů probíhá pouze na technických prostředcích chráněných šiframi. Listinné osobní údaje správce ukládá v uzamykatelných skříních. Osobní údaje jsou zpracovávány pouze pověřenými a poučenými zaměstnanci.
- Práva Subjektů údajů
Fyzická osoba jako subjekt údajů má tato práva:
- Právo být informován o zpracování svých osobních údajů (dále OÚ)
- Subjekt údajů má právo na informaci od správce, které osobní údaje o něm správce má uložené a zpracovává
- Správce je povinen poskytnout informace (odpovědět) subjektu údajů bez zbytečného odkladu, nejpozději však do jednoho měsíce
- Pro poskytnutí jakékoli informace má správce právo požadovat od subjektu údajů potvrzení totožnosti průkazným způsobem
- Při nedůvodných nebo nepřiměřených žádostech má správce právo požadovat přiměřený poplatek (případně žádost odmítnout). První odpověď však musí poskytnout zdarma.
- Správce však není povinen poskytnout informace v případech, kdy subjekt údajů již uvedené informace má, nebo kdy zaznamenání či zpřístupnění osobních údajů je výslovně stanoveno právními předpisy, nebo kdy poskytnutí těchto informací subjektu údajů není možné nebo by vyžadovalo neúměrné úsilí. Poskytnutí informací by mohlo vyžadovat neúměrné úsilí zejména tehdy, je-li zpracování prováděno pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely. V tomto ohledu by se mělo přihlédnout k počtu subjektů údajů, ke stáří osobních údajů a k přijatým vhodným zárukám.
- Subjekt údajů má právo na informaci, jestliže jsou jeho osobní údaje zpracovávány společnými správci a na informace o podstatných prvcích ujednání mezi jednotlivými správci, zejména týkajících se výkonu jeho práv a zabezpečení údajů. Bez ohledu na podmínky ujednání mezi správci může subjekt údajů vykonávat svá práva u každého ze správců i vůči každému z nich jednotlivě.
- Právo na přístup ke svým OÚ
- Subjekt údajů má právo vědět, které osobní údaje o něm správce má uložené a zpracovává a má právo do nich nahlédnout a získat jejich kopii.
- Při opakovaných nebo nepřiměřených žádostech o kopii má správce právo požadovat přiměřený poplatek. První kopii však musí poskytnout zdarma.
- Právo na opravu
- Subjekt údajů má právo žádat správce o opravu svých chybných nebo zastaralých údajů a o jejich aktualizaci
- Právo na výmaz (Nařízení str.12, odst.65-66; s.14, odst.73; čl.4, odst.2, čl.17, 19)
- Subjekt údajů má právo žádat správce o vymazání, nebo skartování všech nebo části svých osobních údajů ze všech databází správce a jeho zpracovatelů
- Správce je povinen vymazat údaje bez zbytečného odkladu
- Povinnost vymazat OÚ je v těchto případech:
- Subjekt údajů odvolal souhlas (a správce nedisponuje jiným právním důvodem k uchování a zpracování)
- Subjekt údajů vznesl oprávněnou námitku proti zpracování
- Údaje byly zpracovány protiprávně
- Údaje jsou nadále nepotřebné (pominul účel zpracování)
- Výmaz ze zákona
- V souvislosti s nabídkou služeb informační společnosti (děti)
- Výjimky z práva Subjekt údajů na výmaz:
- povinnost uchování OÚ ze zákona, archivace, veřejný zájem, obhajoba právních nároků, svoboda projevu a informace
- Pokud správce zveřejnil OÚ se souhlasem subjekt údajů a subjekt údajů žádá o výmaz, správce je povinen
- Učinit přiměřené kroky a přijmout technická opatření a informovat další správce a zpracovatele o žádosti subjektu údajů jeho OÚ vymazat
- To se týká všech odkazů, kopií a replikací daných OÚ
- Právo na omezení zpracování OÚ v rozsahu a čase (Nařízení s.13, odst.67; s.14, odst.73; čl.4, odst.2,3; čl.5, odst.1; čl.18,19,23)
- Subjekt údajů má právo žádat správce o omezení uložení nebo zpracování svých OÚ na určitou dobu nebo v určitém rozsahu obsahu (tzn. jejich množství, kategorií, položek atp.)
- Správce omezí zpracování v případech, kdy:
- o to subjekt údajů požádá
- subjekt údajů vznesl námitku proti zpracování
- subjekt údajů podá informaci o nepřesnosti OÚ (omezí se na dobu nezbytnou k ověření a nápravě)
- zpracování je protiprávní, ale subjekt údajů odmítá výmaz, ale žádá pouze o omezení zpracování
- pominuly účely zpracování, ale subjekt údajů osobní údaje požaduje pro určení, výkon nebo obhajobu právních nároků
- Postup správce přeruší procesy zpracovávání podle těchto podmínek:
- může mít dané OÚ pouze uložené
- musí přesunout OÚ do jiného chráněného systému/databáze
- znepřístupní OÚ uživatelům/dalším správcům/zpracovatelům
- jiné zpracování OÚ (pokud existuje) bude správce provádět pouze se souhlasem subjektu údajů, nebo z důvodu výkonu nebo obhajoby právních nároků správce, nebo ochrany práv jiné fyzické nebo právnické osoby, z důvodu důležitého veřejného zájmu
- Subjekt údajů, který dosáhl omezení zpracování, bude správcem předem upozorněn na to, že omezení zpracování bude zrušeno.
- Právo na přenos OÚ k jinému správci (Nařízení s.13, odst.38; s.21, odst.113; s.130, odst.166; čl.4, odst.2; čl.20)
- Subjekt údajů má právo žádat správce o přenesení svých OÚ k jinému správci v elektronické strojově čitelné formě, pokud je to technicky proveditelné
- Práva o svobody jiných osob nesmí být při přenosu nepříznivě dotčena
- Právo na přenos OÚ se týká se situace, kdy:
- zpracování je založeno na souhlasu subjektu údajů
- je nezbytné k plnění smlouvy a
- pokud se zpracování provádí automatizovaně
- Správce je povinen poskytnout OÚ ve strukturovaném, běžně používaném a strojově čitelném formátu
- Právo na vznesení námitky (s.13, odst.69-70; s.14, odst.73; čl.4, odst.24; čl.21)
- Subjekt údajů má právo vznést ke zpracování a uložení svých OÚ jakoukoli námitku
- Jedná se zvláště o případy/situace, kdy subjekt údajů neměl možnost ovlivnit zpracování OÚ (např. správce koná ve veřejném zájmu nebo při výkonu veřejné moci nebo zpracování OÚ je oprávněným zájmem správce atd.)
- Po obdržení námitky správce přeruší zpracování, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy subjektu údajů, nebo určí/specifikuje účel a jeho výkon, nebo své oprávněné právní nároky
- V případě námitky proti profilování OÚ nebo používání OÚ pro přímý marketing, správce ukončí dané zpracování, nebo ukončí přímý marketing a vymaže OÚ ze svých databází
- Právo nebýt předmětem automatizovaného rozhodnutí (Nařízení s.3, odst.15; s.14. odst.71; čl.2, odst.1; čl.21,22; čl.35, odst.3)
- Subjekt údajů má právo nebýt předmětem výhradně automatizovaných (strojových) rozhodnutí a profilování (třídění podle určitých kritérií), které by o něm nebo jeho svobodách a právech automaticky rozhodovaly bez ohledu na jeho individuální situaci a bez posouzení odpovědným zaměstnancem správce nebo zpracovatele
- Týká se rozhodnutí správce o subjektu údajů, které:
- má pro subjekt údajů právní nebo obdobné jiné účinky,
- je založeno výhradně na profilování, které je založeno na automatizovaném rozhodování o individuálních SÚ
- V případě, že je použito automatizované rozhodování, včetně profilování, má subjekt údajů právo na informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro něj. Správce Havlík & Stejskal s.r.o. však takové zpracování nepoužívá.
- Automatizované rozhodování a profilování je možné, pouze pokud je a) nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů; b) je povoleno právem Unie nebo členského státu, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů; nebo c) je založeno na výslovném souhlasu subjektu údajů.
- Právo kdykoli svůj souhlas odvolat
- Subjekt údajů má právo kdykoli svůj souhlas se zpracováním svých OÚ odvolat. Správce vymaže jeho OÚ ze všech svých databází.
- Právo na stížnost
- Subjekt údajů má právo podat stížnost na zpracování nebo uložení svých OÚ správci nebo dozorovému úřadu.
Další popis práv subjektů údajů viz níže seznam odkazů na jednotlivé články Nařízení.
Agendu stížností řeší v textu Nařízení tyto části: str.22, odst.122; str.24, odst.131, 132; str.25, odst.141, str.26, odst.142; čl.57, odst.2; čl.77; čl.80, odst.2.
S agendou stížností mohou podle meritu věci souviset i další části Nařízení.
Agendu práv subjektů údajů řeší v textu Nařízení tyto části: str.3, odst.11; str.7, odst.39, 40; str.8, odst.41, 42 str.9, odst.47 a 49; str.12, odst.63; sgtr.12, odst.65; str.13, odst.66-70; str.14, odst.73 a 74; str.15, odst.79; str.28, odst.154; str.30, odst.166, čl.1, odst.2; čl.7, odst.1; čl.12 a 13; čl.14 až 21; čl.34; čl.77 až 82.
S agendou práv subjektů údajů mohou podle podstaty věci souviset i další části Nařízení.
- Prohlášení správce
Cílem správce je zajistit bezpečnou úroveň ochrany osobních údajů, zajistit práva subjektů údajů (tj. soukromých fyzických osob) a předcházet bezpečnostním incidentům. Správce pro své zaměstnance stanovil organizační a bezpečnostní zásady chování a povinnosti při zpracování osobních údajů, které umožňují jejich zákonné a bezpečné zpracování, a přijal pokročilá organizační, systémová a technická opatření. Zásadou správce je rovnocenný přístup k subjektům údajů a uplatňování jejich práv.
- Zdroje podrobných informací
- Obecné nařízení o ochraně osobních údajů EP 2016/679
- Pokyny k souhlasu podle Nařízení 2016/679
- Pokyny k transparentnosti podle Nařízení 2016/679
- Sdělení ÚOOÚ k přístupu založenému na riziku_2017
- Směrnice EU k soukromí a elektronickým komunikacím
- Trestně právní směrnice k GDPR
- Vodítka k automatizovanému individuálnímu rozhodování a profilování
- Vodítka k ohlašování případů porušení zabezpečení osobních údajů podle Nařízení 2016/679
- Vodítka k posouzení vlivu
- Vodítka k pověřencům
- Vodítka k přenositelnosti
- Vodítka k uplatnění a stanovení správních pokut pro účely Nařízení 2016/679
- Vodítka k určení vedoucího dozorového úřadu
- Vodítka WP29 k výkladu GDPR DPIA
Další informace týkající se zpracování, uložení, výkonu práv ochrany osobních údajů a svobod je možné získat od správce osobních údajů na emailové adrese: GDPR@parenteral.cz .