Podmínky zpracování a zabezpečení osobních údajů – smlouva o zpracování
Článek I.
Úvodní prohlášení
- Mezi stranami byla uzavřena smlouva o poskytování služeb. Tyto podmínky jsou součástí smlouvy podle věty první. Stanoví-li tyto podmínky něco jiného než smlouva, má smlouva přednost.
- Těmito podmínkami smluvní strany plní povinnosti podle ust. čl. 28 obecného nařízení o ochraně osobních údajů.
- Tyto podmínky upravují práva a povinnosti při zpracování osobních údajů, které je realizováno mezi smluvními stranami v pozici správce a zpracovatele osobních údajů tak, aby byla zajištěna maximální bezpečnost zpracovávaných osobních údajů a informací o jejich zabezpečení, stejně tak jako transparentnost zpracování, a aby byly řádně plněny jednotlivé povinnosti podle právní úpravy na ochranu osobních údajů.
- Postavení smluvních stran v intencích správce – zpracovatel osobních údajů vyplývá ze smlouvy ve smyslu odst. 1, stejně jako úkoly zpracovatele v rámci zpracování.
Článek II.
Vymezení pojmů
- Není-li výslovně stanoveno jinak, mají pojmy vymezené v čl. 4 obecného nařízení o ochraně osobních údajů shodný význam, který jim je přisouzen odkazovaným ustanovením obecného nařízení.
- Dále se rozumí:
- citlivým údajem – osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a dále genetické údaje, biometrické údaje za účelem jedinečné identifikace fyzické osoby a údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby;
- veřejným subjektem – osoba zřízená zákonem, která plní zákonem stanovené úkoly ve veřejném zájmu;
- řetězením zpracovatelů – situace, kdy je do zpracování osobních údajů zapojena na základě dohody se zpracovatelem další osoba v pozici dílčího zpracovatele;
- dílčím zpracovatelem osobních údajů – zpracovatelem pověřená osoba k realizaci některého z úkonů zpracování osobních údajů, jež zpracovatel osobních údajů provádí pro správce osobních údajů, s níž má zpracovatel osobních údajů uzavřenu smlouvu o dílčím zpracování osobních údajů ve standardu odpovídajícím těmto podmínkám zejména z hlediska bezpečnosti zpracování osobních údajů, bezpečnosti informaci o jeho zabezpečení a plnění povinností podle obecného nařízení o ochraně osobních údajů a právní úpravy na ochranu osobních údajů obecně;
- bezpečnostním incidentem – porušení zabezpečení osobních údajů, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů, nebo alespoň ohrožení náhodným nebo protiprávním zničením, ztrátou, změnou nebo neoprávněným poskytnutím nebo zpřístupněným osobních údajů, dále například i ztráta nebo neoprávněné zpřístupnění hesla, příp. přístupových údajů či prostředků do prostor zpracování osobních údajů, k uloženým či zpracovávaným osobním údajům, do multimediálních prostředků a prostředků výpočetní techniky určených ke zpracování osobních údajů nebo k jejich uložení; uvedené platí obdobně i pro informace o zabezpečení zpracování osobních údajů a pro informace o parametrech zpracování;
- třetí zemí – každá země mimo členské státy Evropské unie;
- předáním osobních údajů do třetí země – předání osobních údajů do třetí země k realizaci jakékoli zpracovatelské operace, včetně využití služeb cloud computing, je-li služba byť jen částečně realizována ve třetí zemi;
- oznamovatel – člověk oznamující bezpečnostní incident;
- oznamovaný – člověk, který není oznamovatelem a dotýká se jej bezpečnostní incident ve smyslu, že je původcem nebo zavdal příčinu k bezpečnostnímu incidentu.
Článek III.
Základní parametry a podmínky zpracování osobních údajů
Práva a povinnosti stran
- Zpracovatel bude dále pro správce osobních údajů zajišťovat a smluvní strany jsou v souvislosti se zpracováním osobních údajů oprávněn a povinni k následujícímu:
- poskytnout si veškerou nezbytnou součinnost k tomu, aby byly řádně plněny povinnosti plynoucí z právní úpravy na ochranu osobních údajů a aby bylo zajištěno odpovídající zabezpečení zpracovávaných osobních údajů a informací o jejich zabezpečení, stejně tak jako respektována práva a svobody subjektu údajů a v maximální možné míře usnadněno uplatňování práv ze strany subjektů údajů;
- zpracovatel osobních údajů bude zpracovávat osobní údaje pouze na základě doložených pokynů správce;
- pokud by mělo dojít v souvislosti se zpracováním osobních údajů ze strany zpracovatele osobních údajů k předání osobních údajů do třetích zemí, informuje o takovém záměru před jeho realizací zpracovatel osobních údajů správce v dostatečném časovém předstihu písemně nebo zprávou el. pošty s tím, aby se k záměru vyjádřil. Nevyjádří-li se správce do tří pracovních dnů ode dne doručení oznámení, platí, že s předáním osobních údajů do třetí země souhlasí. Nejde-li o členský stát EU, EHP, nebo o zemi označenou za bezpečnou zemi rozhodnutím Komise EU, ani o zemi, která ratifikovala Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů nebo jiný případ, kdy by bylo předání mimo EU považováno podle rozhodnutí Komise EU za bezpečné, zajistí zpracovatel potřebnou úroveň ochrany (např. standardní smluvní doložky podle rozhodnutí Komise);
- zpracovatel osobních údajů přijme nezbytná technicko-organizační opatření k zajištění bezpečnosti zpracovávaných osobních údajů a informací o jejich zabezpečení, jakož i všechna další nezbytná opatření požadovaná čl. 32 obecného nařízení o ochraně osobních údajů v odpovídajícím standardu k zajištění bezpečnosti osobních údajů a informací o zabezpečení zpracování;
- zpracovatel osobních údajů zapojí do procesu zpracování osobních údajů dílčího zpracovatele pouze při splnění zde uvedených podmínek;
- zpracovatel osobních údajů poskytne správci osobních údajů nezbytnou součinnost při realizaci jeho povinností podle čl. 32 až 36 obecného nařízení;
- zpracovatel osobních údajů na pokyn správce osobních údajů zpracovávané osobní údaje nebo informace o zpracování osobních údajů zlikviduje, příp. opraví, upraví nebo aktualizuje;
- Uplatní-li subjekt údajů u zpracovatele osobních údajů jakékoli své právo, k němuž zpracovatel vůči subjektu údajů neplní za správce povinnosti správce osobních údajů, oznámí zpracovatel tuto skutečnost obratem správci osobních údajů a poskytne mu veškerou nezbytnou součinnost k tomu, aby správce osobních údajů mohl na uplatnění práva ze strany subjektu údajů řádně v právními předpisy stanovené lhůtě reagovat;
- zpracovatel bude vést záznamy o realizovaných zpracovatelských operacích a o souvisejících skutečnostech tak, aby správce osobních údajů byl schopen řádně prokázat plnění právními předpisy stanovených povinností tak, jak v rámci zásady odpovědnosti předvídá čl. 5 odst. 2 obecného nařízení o ochraně osobních údajů;
- zpracovatel bude při zpracování osobních údajů postupovat vždy tak, aby byly bezezbytku naplněny základní zásady a povinnosti v oblasti zpracování osobních údajů, jak plynou z čl. 5 odst. 1 obecného nařízení a z dalších článků jmenovaného právního předpisu, které odkazované ustanovení provádí a doplňují. Zpracovatel k tomuto účelu zavede zejména vhodné vnitřní procesy a opatření k zajištění odpovídající bezpečnosti zpracovávaných osobních údajů a informací o jejich zabezpečení, zajistí, aby se osoby oprávněné zpracovávat osobní údaje a osoby, které přichází do styku s informacemi o parametrech zpracování osobních údajů, či s informacemi o zabezpečení zpracování osobních údajů zavázaly k mlčenlivosti o těchto skutečnostech a informacích;
- při ukončení činnosti pro správce předá zpracovatel správci osobních údajů nebo určenému jinému zpracovateli osobních údajů zabezpečeným způsobem veškeré zpracovávané osobní údaje a veškeré související dokumenty a informace tak, aby bylo možné plynule a nerušně pokračovat v dalším zpracování osobních údajů, tj. zejména je-li zpracování osobních údajů prováděno prostřednictvím prostředků moderní techniky, budou údaje a související informace předány v otevřeném formátu tak, aby s nimi bylo možné dále pracovat a bylo je možné dále bez dalšího zpracovávat. Zpracovatel správci předá veškerou dokumentaci a informace nezbytné k řádnému prokázání legálnosti zpracování a plnění souvisejících povinností tak, aby byl správce později schopen prokázat legálnost zpracování a plnění souvisejících povinností zpětně po dobu odpovídající nejdelší promlčecí nebo prekluzivní lhůtě civilního nebo veřejnoprávního deliktu, který mohl být při zpracování realizovaném zpracovatelem spáchán a za něj by mohl správce (byť jen částečně) odpovídat;
- shledá-li zpracovatel osobních údajů jakékoli nedostatky v podmínkách zpracování osobních údajů, které má zajišťovat správce osobních údajů, či ve zpracování osobních údajů jako takovém, či bude-li mít alespoň podezření na takové nedostatky, oznámí tuto skutečnost správci osobních údajů.
Článek IV.
Opatření k zabezpečení zpracovávaných osobních údajů
- Míra bezpečnostních opatření k zabezpečení zpracovávaných osobních údajů a jejich nosičů či multimediálního prostředí, v němž jsou osobní údaje uloženy nebo zpracovávány, musí odpovídat povaze zpracovávaných osobních údajů a míře možného zásahu do práv subjektu údajů, jehož se týkají.
- Bezpečnostní opatření jsou taková opatření, která slouží k zajištění důvěrnosti, čímž se míní zamezení zpřístupnění osobních údajů a jejich nosičů mimo okruh osob, jimž s ohledem na přidělená práva náleží realizovat s osobními údaji zpracovatelské operace, či s nimi jinak disponovat. Bezpečnostními opatřeními jsou dále i opatření sloužící vedle zamezení neoprávněného přístupu a zpracování osobních údajů i k zamezení neoprávněné změny, zničení, ztráty či výmazu (např. pořizování záloh).
- Při určování okruhu oprávněných osoba a při přidělování kompetencí ve vztahu ke zpracovávaným osobním údajů se vychází z principu nezbytnosti a minimalizace, tj. oprávnění a jeho míra odvisí od osobou vykonávané pracovní pozice a kompetencí přidělených takové pracovní pozici, přičemž se oprávnění určí tak, aby měla dotyčná osoba možnost disponovat pouze s takovými osobními údaji, které jsou nezbytné k řádnému výkonu její funkce. Stejné platí i pro vymezení rozsahu zpracovatelských operací, ke kterým bude zmocněna a ohledně vymezení okruhu případů, kdy bude moci svá oprávnění vykonávat. Vždy je třeba dát konečného účelu zpracování osobních údajů.
- Součástí řádného zabezpečení je i pravidelné prověřování efektivity a dostatečnosti přijatých bezpečnostních opatření, školení zaměstnanců a osob zapojených do zpracování osobních údajů a přicházejících do styku s informacemi o zpracování a o jeho zabezpečení a ověřování jejich znalostí, správného chápání fungování bezpečnostních pravidel a dodržování stanovených opatření a postupů.
- Správci osobních údajů náleží právo buďto přímo nebo prostřednictvím třetí k tomu určené osoby provádět pravidelně audity a inspekce řádnosti plnění povinností zpracovatele osobních údajů, včetně oprávnění prověřovat dostatečnost přijatých opatření k zajištění bezpečnosti a dodržování opatření a postupů ze strany zaměstnanců zpracovatele.
- Vytkne-li správce osobních údajů na základě kontroly/auditu/inspekce či na základě jiných zjištění zpracovateli nedostatky týkající se plnění jeho povinností, zjedná zpracovatel obratem nápravu. Zpracovatel o zjednání nápravy správce vyrozumí.
- Uvedené v tomto článku platí pro zajištění bezpečnost informací o zabezpečení zpracování osobních údajů obdobně.
Článek V.
Další opatření k zabezpečení zpracovávaných osobních údajů
- Bezpečnostní opatření zpracovatel provede na základě řádného zhodnocení rizik, jejich pravděpodobnosti a možných negativních důsledků z nich plynoucích pro práva a svobody subjektů údajů. Primárním cílem musí být eliminovat rizika, tam kde to není možné pak rizika minimalizovat, a kde není ani to možné, eliminovat nebo alespoň minimalizovat možné negativní důsledky pro práva a svobody subjektů údajů.
- Zpracovatel krom jiného zavede a bude garantovat mj. tato pravidla a principy určené k zajištění bezpečnosti zpracovaných osobních údajů a k jištění bezpečnosti jejich nosičů a multimediálních zařízení:
- povinnost počínat si tak, aby nedošlo ke ztrátě, zničení či neoprávněné změně anebo zpřístupnění zpracovávaných osobních údajů, anebo informací o jejich zabezpečení. V případě, že bezprostředně hrozí nebezpečí ztráty, neoprávněného zničení, změny či zpřístupnění osobních údajů nebo informací o jejich zabezpečení, povinnost v nezbytném rozsahu přiměřeným způsobem zakročit. O provedeném zákroku, jeho důvodech, průběhu a důsledcích bez zbytečného odkladu informovat;
- nikdo nesmí nakládat s osobními údaji a provádět zpracovatelské operace mimo rozsah svého zmocnění, mimo účel zpracování nebo bez toho, aby byl k předmětné zpracovatelské operaci naplněn právními předpisy uznaný důvod (právní titul) a byly řádně splněny i všechny ostatní právní povinnosti vyplývající z právních předpisů na ochranu osobních údajů;
- každý je povinen obratem zprávou elektronické pošty nebo písemně zpravit odpovědnou osobu o každé závadě v podmínkách či jednotlivých parametrech zpracování osobních údajů;
- zejména při zpracování osobních údajů prostřednictvím moderních technologií se zajistí pořizování záloh zpracovávaných osobních údajů a souvisejících informací a údajů o zpracování v takových časových intervalech, aby byla zajištěna kontinuita zpracování a aktuálnost a přesnost zpracovávaných osobních údajů i v případě změny nebo zničení zpracovávaných osobních údajů; bude-li třeba zpracovávané osobní údaje obnovit ze zálohy, odpovědná osoba zajistí podle informací a záznamů o zpracování osobních údajů, aby bylo předmětné zpracování osobních údajů uvedeno do souladu s dříve realizovanými právy subjektů údajů, jakož i s dalšími zákonnými povinnostmi;
- zajistí se i další vhodná a potřebná bezpečnostní opatření, například pravidelná vynucená změna přístupových hesel;
- v maximální možné míře využívat technických a jiných možností zabezpečení, kterými jsou opatřeny pracovní a jiné prostředky, kterých se využívá ke zpracování osobních údajů, zejména se zajistí povinnost zaměstnanců:
- uzamykání místností, skříní a jiných prostor, v nichž jsou uloženy nosiče osobních údajů, není-li v prostorech přítomen nikdo oprávněný přistoupit k předmětným osobním údajům a jejich nosičům;
- při skončení práce s technickým či multimediálním zařízením anebo aplikacemi odhlášení z tohoto zařízení, prostředí či aplikace;
- důsledné utajování hesel a přihlašovacích kódů pro přístup do zařízení, multimediálního prostředí či do jednotlivých aplikací;
- volit bezpečná hesla, tj. hesla sestávající se nejméně z 8 alfanumerických i nealfanumerických znaků, kdy každé heslo musí obsahovat velká i malá písmena;
- v případě mobilních telefonů a jiných obdobných zařízení vždy zvolit zabezpečení pro spuštění a přihlášení do zařízení, stejně jako pro jeho odemčení, alespoň prostřednictvím zadáním čtyřmístného PIN; je-li to možné, zvolí se vždy i vyšší způsob zabezpečení;
- na multimediální zařízení a výpočetní techniku, která byla zaměstnanci svěřena k plnění pracovních úkolů, bez svolení a asistence odpovědné osoby neinstalovat jakýkoli software, či neprovádět jakékoli změny, zejména pak vyřazovat antivirové a či jiné obdobné programy určené k zajištění bezpečnosti zpracovávaných osobních údajů;
- je-li zaměstnanci svěřen mobilní telefon nebo služební PC, či jiné obdobné multimediální zařízení či zařízení výpočetní techniky, zejména má-li zaměstnanec možnost disponovat s ním i mimo prostory zaměstnavatele, aby dotyčný přijal a důsledně provedl taková opatření, aby zcela vyloučil přístup a dispozice s těmito prostředky ze strany jakékoli třetí osoby, stejně tak jako opatření k tomu, aby předešel zničení či poškození takových zařízení.
Uvedené v tomto odstavci platí pro zajištění bezpečnost informací o zabezpečení zpracování osobních údajů obdobně.
Článek VI.
Komunikace
- Komunikace (telefonem, elektronickou poštou, běžnou poštou) související se zpracováním osobních údajů, ať již je činěna v rámci jedné ze stran nebo mezi nimi či vůči třetím osobám (smluvním partnerům, klientům, státním úřadům atd.), se realizuje vždy maximálně bezpečně a diskrétně, tj. tak, aby se s obsahem zprávy, včetně předávaných osobních údajů, neměl možnost seznámit nikdo jiný než její oprávněný adresát.
- K předávání osobních údajů slouží: datová schránka, zpráva el. pošty, úložní el. služby, nebo doručování prostřednictvím poskytovatele poštovních služeb, příp. jiný obdobný způsob doručování, kdy dochází k fyzickému předání nosiče osobních údajů adresátovi (služby messengera atp.).
- Je-li to s ohledem na povahu adresáta a poskytované služby možné, použije se ke komunikaci výlučně systém datových schránek. V těchto případech není možné sdělit osobní údaje telefonicky, elektronickou poštou nebo jinak.
- Není-li možné k předání údajů využít systému datových schránek, lze využít el. poštu nebo poskytovatele poštovních služeb, příp. jinou obdobnou službu, kdy dochází k fyzickému předání nosiče údajů (služba messengera atp.). V těchto případech je třeba vždy určit konkrétního adresáta a využít služby potvrzení doručení, resp. doručení do vlastních rukou.
- Předání osobních údajů prostřednictvím zprávy el. pošty je možné jedině při řádném zabezpečení předávaných osobních údajů. Zabezpečením se míní nejméně komprimace předávaného souboru do formátu *.zip nebo podobného formátu a kódování předmětného souboru prostřednictvím bezpečného hesla. Bezpečným heslem se míní heslo nejméně o 8 znacích, které obsahuje alfanumerické (velká i malá písmena a číslice) i nealfanumerické znaky. Heslo musí být s adresátem dohodnuto předem. Heslo musí být bezpečně předáno – bezpečným předáním není předání hesla v otevřené zprávě el. pošty; stejné platí o pro změnu hesla.
- Odpovědní zástupci stran si zvolí bezpečné heslo a toto si diskrétně sdělí.
- K předávání osobních údajů lze užít telefonního spojení pouze výjimečně; telefonním spojením se míní i SMS, MMS či mobilní aplikace plnící obdobnou funkci. Prostřednictvím telefonního spojení lze poskytovat osobní údaje pouze tehdy, je-li bezpečně ověřena totožnost volajícího, je-li jisté, že hovoru nemůže být účastna jiná osoba než řádně identifikovaný volající, a v případě, kdy dochází k předávání údajů mezi správcem a zpracovatelem, příp. mezi správcem a správcem, nebo zpracovatelem a dílčím zpracovatelem, je-li jisté, že údaje jsou řádně zanášeny do příslušné evidence. Je-li k předání údajů užita SMS, MMS nebo aplikace plnící obdobnou funkci, musí být zpráva po zanesení údajů do evidence neprodleně smazána.
Článek VII.
Bezpečnostní incident
- Dozví-li se zpracovatel osobních údajů o bezpečnostním incidentu, je povinen jej bezodkladně oznámit správci osobních údajů. Stejné platí i o důvodném podezření na bezpečnostní incident.
- Předpokladem oznámení ve smyslu tohoto článku je vždy:
- poctivost na straně oznamovatele;
- přesvědčení oznamovatele o pravdivosti oznámení;
- přesvědčení oznamovatele o legálnosti jednání/oznámení;
- ověření oznamovaných informací.
Jiná oznámení (neověřená, nepoctivá – vedená úmyslem někoho poškodit) mohou zakládat povinnosti nahradit újmu (hmotnou nebo nehmotnou) na straně správce, oznamované osoby, či jiných dotčených osob (rodinných příslušníků oznamovaného atp.).
- Bezpečnostní incident se diskrétně oznamuje správcem určené osobě.
- Zpracovatel osobních údajů zajistí, aby oznamovatel vždy oznamoval tak, dotýká-li se oznámení některého se spoluzaměstnanců nebo členů zpracovatele nebo jiné osoby, kdy taková osoba má mít postavení porušitele právních povinností, aby se o oznámení nedozvěděl oznamovaný.
- Oznámení se podává písemně nebo prostřednictvím zprávy el. pošty.
- V oznámení se uvede (bude-li to z povahy věci možné):
- jméno a příjmení, pracovní zařazení a kontaktní údaje oznamovatele;
- vše, co o oznamovaném bezpečnostním incidentu oznamovatel a třetí osoby ví (popis bezpečnostního incidentu);
- jména a příjmení všech osob, které se bezpečnostního incidentu účastnili, včetně jejich pracovního zařazení nebo instituce, ve které působí a identifikace oznamovaného;
- jména a příjmení osob, včetně jejich kontaktních údajů, které mají informace o bezpečnostním incidentu;
- informaci o tom, jak a případně od koho se o bezpečnostním incidentu oznamovatel dozvěděl;
- informaci o tom, jak pravdivost zjištěných informací oznamovatel a zpracovatel ověřili;
- zpracování osobních údajů, zpracovatelské operace a osobní údaje, kterých se bezpečnostní incident týká, včetně rozsah dotčených subjektů údajů;
- možná rizika, která z bezpečnostního incidentu plynou vůči právům a svobodám subjektů údajů, správci, zpracovateli nebo třetím osobám.
K oznámení se připojí všechny důkazní prostředky, jimiž zpracovatel disponuje, které jej prokazují; čl. VII. platí i zde.
- Oznámení se podává v českém jazyce.
Článek VIII.
Podmínky zapojení dílčího zpracovatele
- Zpracovatel osobních údajů je oprávněn do procesu zpracování osobních údajů zapojit dílčího zpracovatele osobních údajů.
- Dílčím zpracovatelem osobních údajů může být taková osoba, která bude poskytovat dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky podle právní úpravy na ochranu osobních údajů a byla zajištěna bezpečnost a ochrana osobních údajů, práv a svobod subjektů údajů. Zpracovatel osobních údajů odpovídá za řádné prověření spolehlivosti dílčího zpracovatele osobních údajů, kterého má zájem zapojit do zpracování osobních údajů.
- Záměr zapojit do zpracování osobních údajů dílčího zpracovatele osobních údajů oznámí zpracovatel osobních údajů písemně správci osobních údajů. Správci osobních údajů svědčí právo na námitku vůči zapojení dílčího zpracovatele osobních údajů, resp. správci osobních údajů se vyhrazuje právo schválit osobu dílčího zpracovatele. Nevyrozumí-li správce osobních údajů o svém rozhodnutí stran připuštění zapojení dílčího zpracovatele do zpracování osobních údajů do 5 pracovní dní ode dne doručení vyrozumění o zájmu na zapojení dílčího zpracovatele osobních údajů, platí, že zpracovatel osobních údajů daného dílčího zpracovatele osobních údajů do procesu zpracování osobních údajů zapojit může.
- Zpracovatel osobních údajů zaváže dílčího zpracovatele k plnění povinností podle právní úpravy na ochranu osobních údajů a k zajištění bezpečnosti zpracovávaných osobních údajů a informací o jejich zabezpečení nejméně v rozsahu dle těchto podmínek. Stejné platí i o dalším obsahu těchto podmínek.
- Zpracovatel osobních údajů odpovídá správci osobních údajů za činnost dílčího zpracovatele osobních údajů tak, jako by zpracovatel osobních údajů pro správce osobních údajů plnil předmětnou povinnost, resp. realizoval danou činnost sám.
Článek IX.
Společná ujednání
- Zpracovatel k výzvě správce osobních údajů zpřístupní bez zbytečného odkladu správci osobních údajů nebo jím určené osobě zpracovávané osobní údaje nebo jejich určenou část, stejně tak jako informace o zpracování osobních údajů, včetně informací o jejich zabezpečení.
- Zpracovatel k výzvě správce osobních údajů předá bez zbytečného odkladu správci nebo jím určené jiné osobě kopii zpracovávaných osobních údajů způsobem a ve formátu, aby bylo předané osobní údaje dále zpracovávat. Stejné platí pro informace o zpracování osobních údajů a o jejich zabezpečení.
- Zpracovatel k výzvě správce osobních údajů předloží správci bez zbytečného odkladu dokumentaci prokazující, že se zpracování osobních údajů realizované zpracovatelem ve prospěch správce zakládá na odpovídajícím a platném právním titulu.
Podmínky zabezpečení, diskrétnosti a oznamování bezpečnostních incidentů
Článek I.
Prohlášení
- Poskytovatel se zavázal příjemci poskytnout dohodnutou službu či dodat dohodnuté zboží.
- Předmětem poskytované služby není žádná zpracovatelská operace ze strany poskytovatele ve vztahu ke příjemcem zpracovávaným osobním údajům. Byť není vyloučeno, že poskytovatel přijde při své činnosti pro příjemce do kontaktu s osobními údaji, informacemi o parametrech zpracování osobních údajů, včetně informací o zabezpečení, není oprávněn s nimi jakkoli disponovat.
- Tyto podmínky jsou součástí smlouvy podle odst. 1. Stanoví-li smlouva něco jiného než tyto podmínky, má smlouva přednost.
Článek II.
Vymezení pojmů
- Není-li výslovně stanoveno jinak, mají pojmy vymezené v čl. 4 obecného nařízení o ochraně osobních údajů shodný význam, který jim je přisouzen odkazovaným ustanovením obecného nařízení.
- Dále se pro účely této smlouvy rozumí:
- bezpečnostním incidentem – porušení zabezpečení osobních údajů, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů, nebo alespoň ohrožení náhodným nebo protiprávním zničením, ztrátou, změnou nebo neoprávněným poskytnutím nebo zpřístupněným osobních údajů, dále například i ztráta nebo neoprávněné zpřístupnění hesla, příp. přístupových údajů či prostředků do prostor zpracování osobních údajů, k uloženým či zpracovávaným osobním údajům, do multimediálních prostředků a prostředků výpočetní techniky určených ke zpracování osobních údajů nebo k jejich uložení; uvedené platí obdobně i pro informace o zabezpečení zpracování osobních údajů;
- oznamovatel – člověk oznamující bezpečnostní incident;
- oznamovaný – člověk, který není oznamovatelem a dotýká se jej bezpečnostní incident ve smyslu, že je původcem nebo zavdal příčinu k bezpečnostnímu incidentu.
Článek III.
Bezpečnostní opatření
- Poskytovatel není oprávněn při své činnosti pro příjemce jakkoli aktivně přistupovat k osobním údajům zpracovávaným příjemcem, stejně tak jako k informacím o zpracování osobních údajů realizovaných příjemcem a ani k informacím o zabezpečení zpracování osobních údajů.
- Přijde-li poskytovatel při činnosti pro příjemce v kontakt s osobními údaji, s informacemi o jejich zabezpečení, či s informacemi o parametrech zpracování osobních údajů, bude o nich zachovávat mlčenlivost. Povinnost mlčenlivosti v potřebné míře zajistí i u svých zaměstnanců a u dalších pro něj činných osob.
- Při činnosti pro příjemce bude poskytovatel zachovávat maximální šetrnost při nakládání s nosiči informací a údajů ve smyslu odst. 1. Příjemce nebude do nosičů jakkoli zasahovat, zejména jde-li o zásahy, který by mohly vést k neoprávněnému zpřístupnění, změně, zničení, znepřístupnění, výmazu nebo předání takových informací nebo údajů. Uvedené platí přiměřeně i ve vztahu k opatřením a prostředkům určeným k zabezpečení takových údajů a informací.
- Ve vztahu k naplnění účelu podle odst. 1 až 3 tohoto článku přijme poskytovatel potřebná bezpečnostní a technicko-organizační opatření.
- Součástí řádného zabezpečení a plnění povinností podle odst. 1 až 4 je i pravidelné prověřování efektivity a dostatečnosti přijatých bezpečnostních opatření, školení zaměstnanců a osob zapojených do činnosti pro příjemce a ověřování jejich znalostí, správného chápání fungování bezpečnostních pravidel a dodržování stanovených opatření a postupů.
Článek IV.
Další opatření k zabezpečení
- Bezpečnostní opatření poskytovatel provede na základě řádného zhodnocení rizik, jejich pravděpodobnosti a možných negativních důsledků z nich plynoucích pro práva a svobody dotčených osob. Primárním cílem musí být eliminovat rizika, tam kde to není možné pak rizika minimalizovat, a kde není ani to možné, eliminovat nebo alespoň minimalizovat možné negativní důsledky pro práva a svobody dotčených osob.
- Poskytovatel krom jiného zavede a bude garantovat mj. tato pravidla a principy určené k zajištění bezpečnosti:
- povinnost počínat si tak, aby nedošlo ke ztrátě, zničení či neoprávněné změně anebo zpřístupnění údajů a informací podle čl. III. odst. 1 a 2. V případě, že bezprostředně hrozí nebezpečí ztráty, neoprávněného zničení, změny či zpřístupnění takových informací nebo jejich nosičů, povinnost v nezbytném rozsahu přiměřeným způsobem zakročit. O provedeném zákroku, jeho důvodech, průběhu a důsledcích bez zbytečného odkladu informovat příjemce;
- každý je povinen obratem zprávou elektronické pošty nebo písemně zpravit určenou odpovědnou osobu o každé závadě v podmínkách či jednotlivých parametrech zpracování, resp. zabezpečení;
- zajistí se i další vhodná a potřebná bezpečnostní opatření, například pravidelnou vynucenou změnu přístupových hesel;
- v maximální možné míře využívat technických a jiných možností zabezpečení, kterými jsou opatřeny pracovní a jiné prostředky, kterých se využívá při činnosti pro příjemce, zejména se zajistí povinnost zaměstnanců:
- uzamykání místností, skříní a jiných prostor, v nichž jsou uloženy nosiče osobních údajů, není-li v prostorech přítomen nikdo oprávněný přistoupit k předmětným osobním údajům a jejich nosičům;
- při skončení práce s technickým či multimediálním zařízením anebo aplikacemi odhlášení z tohoto zařízení, prostředí či aplikace;
- důsledné utajování hesel a přihlašovacích kódů pro přístup do zařízení, multimediálního prostředí či do jednotlivých aplikací;
- volit bezpečná hesla, tj. hesla sestávající se nejméně z 8 alfanumerických i nealfanumerických znaků, kdy každé heslo musí obsahovat velká i malá písmena;
- v případě mobilních telefonů a jiných obdobných zařízení vždy zvolit zabezpečení pro spuštění a přihlášení do zařízení, stejně jako pro jeho odemčení, alespoň prostřednictvím zadáním čtyřmístného PIN; je-li to možné, zvolí se vždy i vyšší způsob zabezpečení;
- na multimediální zařízení a výpočetní techniku, která byla zaměstnanci svěřena k plnění pracovních úkolů, bez svolení a asistence odpovědné osoby neinstalovat jakýkoli software, či neprovádět jakékoli změny, zejména pak vyřazovat antivirové a či jiné obdobné programy určené k zajištění bezpečnosti zpracovávaných osobních údajů;
- je-li zaměstnanci svěřen mobilní telefon nebo služební PC, či jiné obdobné multimediální zařízení či zařízení výpočetní techniky, zejména má-li zaměstnanec možnost disponovat s ním i mimo prostory zaměstnavatele, aby dotyčný přijal a důsledně provedl taková opatření, aby zcela vyloučil přístup a dispozice s těmito prostředky ze strany jakékoli třetí osoby, stejně tak jako opatření k tomu, aby předešel zničení či poškození takových zařízení.
Článek V.
Komunikace
- Komunikace (telefonem, elektronickou poštou, běžnou poštou) související s činností poskytovatele pro příjemce, ať již je činěna v rámci jedné ze stran nebo mezi nimi či vůči třetím osobám (smluvním partnerům, klientům, státním úřadům atd.), se realizuje vždy maximálně bezpečně a diskrétně, tj. tak, aby se s obsahem zprávy, včetně předávaných informací a údajů, neměl možnost seznámit nikdo jiný než její oprávněný adresát.
- K předávání zpráv obsahující informace podle čl. III. odst. 1 a 2 slouží: datová schránka, zpráva el. pošty, úložní el. služby, nebo doručování prostřednictvím poskytovatele poštovních služeb, příp. jiný obdobný způsob doručování, kdy dochází k fyzickému předání nosiče osobních údajů adresátovi (služby messengera atp.).
- Je-li to s ohledem na povahu adresáta a poskytované služby možné, použije se ke komunikaci přednostně systém datových schránek.
- Není-li možné k předání údajů využít systému datových schránek, lze využít, žádá-li si to to povaha předávaných informací a jejich zabezpečení, el. poštu nebo poskytovatele poštovních služeb, příp. jinou obdobnou službu, kdy dochází k fyzickému předání nosiče údajů (služba messengera atp.). V těchto případech je třeba vždy určit konkrétního adresáta a využít služby potvrzení doručení, resp. doručení do vlastních rukou.
- Předání informací prostřednictvím zprávy el. pošty je v případech podle odst. 4 možné jedině při řádném zabezpečení předávaných informací. Zabezpečením se míní nejméně komprimace předávaného souboru do formátu *.zip nebo podobného formátu a kódování předmětného souboru prostřednictvím bezpečného hesla. Bezpečným heslem se míní heslo nejméně o 8 znacích, které obsahuje alfanumerické (velká i malá písmena a číslice) i nealfanumerické znaky. Heslo musí být s adresátem dohodnuto předem. Heslo musí být bezpečně předáno – bezpečným předáním není předání hesla v otevřené zprávě el. pošty; stejné platí o pro změnu hesla.
- Dohodnuté heslo si diskrétně sdělí odpovědní zástupci smluvních stran.
Článek VI.
Bezpečnostní incident
- Dozví-li se poskytovatel o bezpečnostním incidentu, je povinen jej bezodkladně oznámit příjemci. Stejné platí i o důvodném podezření na bezpečnostní incident.
- Předpokladem oznámení ve smyslu tohoto článku je vždy:
- poctivost na straně oznamovatele;
- přesvědčení oznamovatele o pravdivosti oznámení;
- přesvědčení oznamovatele o legálnosti jednání/oznámení;
- ověření oznamovaných informací.ředpokladem oznámení ve smyslu tohoto článku je vždy:
Jiná oznámení (neověřená, nepoctivá – vedená úmyslem někoho poškodit) mohou zakládat povinnosti nahradit újmu (hmotnou nebo nehmotnou).
- Bezpečnostní incident se diskrétně oznamuje příjemce určené osobě.
- Poskytovatel zajistí, aby oznamovatel vždy oznamoval tak, dotýká-li se oznámení některého se spoluzaměstnanců nebo členů poskytovatele nebo jiné osoby, kdy taková osoba má mít postavení porušitele právních povinností, aby se o oznámení nedozvěděl oznamovaný.
- Oznámení se podává písemně nebo prostřednictvím zprávy el. pošty.
- V oznámení se uvede (bude-li to z povahy věci možné):
- jméno a příjmení, pracovní zařazení a kontaktní údaje oznamovatele;
- vše, co o oznamovaném bezpečnostním incidentu oznamovatel a třetí osoby ví (popis bezpečnostního incidentu);
- jména a příjmení všech osob, které se bezpečnostního incidentu účastnili, včetně jejich pracovního zařazení nebo instituce, ve které působí a identifikace oznamovaného;
- jména a příjmení osob, včetně jejich kontaktních údajů, které mají informace o bezpečnostním incidentu;
- informaci o tom, jak a případně od koho se o bezpečnostním incidentu oznamovatel dozvěděl;
- informaci o tom, jak pravdivost zjištěných informací oznamovatel a zpracovatel ověřili;
- zpracování osobních údajů, zpracovatelské operace a osobní údaje, kterých se bezpečnostní incident týká, včetně rozsah dotčených subjektů údajů;
- možná rizika, která z bezpečnostního incidentu plynou vůči právům a svobodám subjektů údajů, správci, zpracovateli nebo třetím osobám.
K oznámení se připojí všechny důkazní prostředky, jimiž poskytovatel disponuje, které jej prokazují.
- Oznámení se podává v českém jazyce.
Ochrana osobních údajů
Na této stránce se dozvíte vše o zpracování osobních údajů, které realizujeme. Zpracováváme-li Vaše osobní údaje, získáte zde podrobné informace o Vašich právech a o způsobu, jak je uplatnit. Bližší informace o jednotlivých zpracováních, o Vašich právech a tom, jak je uplatnit, naleznete pod odkazy – označeními jednotlivých skupin osob, jejichž osobní údaje zpracováváme, resp. označeními jednotlivých zpracování.
I. Zákazníci a případně jejich zástupci, včetně spotřebitelů
II. Dodavatelé zboží a služeb a jejich zástupci
Základní charakteristika jednotlivých zpracování
I. Zákazníci a případně jejich zástupci, včetně spotřebitelů – zpracování osobních údajů zákazníka za účelem uzavření a plnění smlouvy se zákazníkem, příp. zpracování údajů zástupců zákazníka (např. kontaktních osob) za účelem uzavření a plnění smlouvy se zákazníkem.
Komplexní informace o zpracování, včetně podrobné informace o Vašich právech a o podmínkách pro jejich uplatnění, stejně jako o způsobu, kterým lze práva uplatnit, jsou dostupné ZDE.
II. Kontaktní údajů dodavatelů služeb nebo zboží, případně jejich zástupců – uchování kontaktních údajů kvůli uzavření smluvního vztahu a údaje nezbytné pro realizaci smluvních vztahů s dodavatelem služeb nebo zboží. Případně uchování kontaktní údajů zástupců (zaměstnanců, statutárních zástupců nebo jiných určených osob) dodavatelů.
Komplexní informace o zpracování, včetně podrobné informace o Vašich právech a o podmínkách pro jejich uplatnění, stejně jako o způsobu, kterým lze práva uplatnit, jsou dostupné ZDE.
Konkrétní parametry zpracování osobních údajů
I. ÚDAJE O ZÁKAZNÍCÍCH, PŘÍP. ÚDAJE O JEJICH ZÁSTUPCÍCH, VČETNĚ SPOTŘEBITELŮ
-
- SPRÁVCE
Správcem osobních údajů je ŠMÍDOVÁ LANDSCAPE ARCHITECTS s.r.o. se sídlem Křižíkova 213/44, Praha 8. 186 00, zapsaná v obchodním rejstříku u Městského soudu v Praze, oddíl C, vložka 273033, IČ: 05919878 (dále jen „Správce“).
- VAŠE PRÁVA
Ve vztahu k danému zpracování Vám svědčí právo na:
- PŘÍSTUP – právo na informaci, zda jsou či nejsou Vaše osobní údaje zpracovávány. Jsou-li osobní údaje zpracovávány dále právo na informace o zpracování v předepsaném rozsahu a právo za určitých podmínek získat kopii zpracovávaných údajů;
- OPRAVU – právo požadovat provedení opravy, jsou-li zpracovávané osobní údaje nepřesné. Případně právo požadovat doplnění, nejsou-li údaje úplné;
- VÝMAZ (právo být zapomenut) – právo žádat za právními předpisy stanovených podmínek (odvolání souhlasu, skončení smlouvy, protiprávnost zpracování) vymazání údajů;
- OMEZENÍ ZPRACOVÁNÍ – právo požadovat označení a případné omezení (pozastavení) zpracování do doby ověření přesnosti údajů, zákonnosti zpracování, vyřízení námitky nebo kvůli ochraně Vašich zájmů (uplatnění nebo ochrana či obrana práv a právních zájmů);
- STÍŽNOST – právo obrátit se na Úřad pro ochranu osobních údajů se stížností vůči Správci, zpracování či podmínkám uplatňování práv. Kontaktní a další údaje o úřadu viz www.uoou.cz;
Dále Vám svědčí právo na:
– NÁMITKU – právo požadovat, aby dále nebyly zpracovávány Vaše osobní údaje kvůli oprávněným zájmům Správce.
K jednotlivým právům, jejich podrobné charakteristice, podmínkám jejich vzniku a uplatnění viz příslušný odkaz. K postupu, jak práva uplatnit, ZDE.
U Správce není ustanoven POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ.
- ÚČEL ZPRACOVÁNÍ
Správce zpracovává osobní údaje za účelem plnění smlouvy a z důvodu oprávněného zájmu správce: uzavření smlouvy a případné následné plnění smlouvy s odběratelem služby nebo zboží.
- PRÁVNÍ PODKLAD ZPRACOVÁNÍ
Právním podkladem zpracování osobních údajů je:
– plnění smlouvy, je-li zákazníkem fyzická osoba (čl. 6 odst. b) obecného nařízen) – v takovém případě je zákazník subjektem údajů.
– oprávněný zájem Správce, je-li zákazníkem právnická osoba nebo jiný subjekt, který pro účely uzavření smlouvy a plnění smlouvy určuje kontaktní a související nezbytné údaje – v takovém případě jsou subjekty údajů lidé, kteří jsou určeni ke komunikaci.
- ROZSAH ÚDAJŮ, který je zpracováván
Správce zpracovává za shora uvedeným účelem tyto osobní údaje:
Identifikační a kontaktní údaje subjektu údajů
– je-li subjektem údajů zákazník – identifikační a kontaktní údaje, údaje o poskytnutém produktu a službách;
– je-li subjektem údajů zástupce zákazníka – identifikační a kontaktní údaje do zaměstnání, včetně informace o pracovní pozici.
- POSKYTNUTÍ ÚDAJŮ JE NEZBYTNÉ.
Poskytování osobních údajů je nezbytné pro uzavření a případně plnění smlouvy.
- DOBA, po kterou jsou osobní údaje ukládány a zpracovávány
Správce zpracovává osobní údaje: smluvní dokumenty nutné pro plnění závazkového vztahu po dobu plnění smlouvy a dále ve skartační plynoucí z právních předpisů (primárně předpisů daňových). Ostatní evidence a komunikace ve skartační lhůtě 5 let.
- MÍSTO, kde budou osobní údaje zpracovávány
Místem zpracování osobních údajů je: provozovna Správce a sídlo Správce.
- PŘÍJEMCI, kterým mohou být osobní údaje poskytnuty
Osobní údaje jsou poskytovány těmto příjemcům (kategorií příjemců): žádní příjemci.
- TŘETÍ ZEMĚ
V rámci zpracování NEJSOU osobní údaje předávány mimo EU.
- ZPRACOVATEL
Na zpracování osobních údajů může participovat zpracovatel osobních údajů ve smyslu čl. 4 bodu 8 obecného nařízení o ochraně osobních údajů, nebo třetí Správcem pověřená osoba ke zpracování osobních údajů. V takových případech Správce minimalizuje riziko neoprávněného zpřístupnění, zničení, zpracování, či ztráty osobních údajů.
- AUTOMATIZOVANÉ ROZHODOVÁNÍ A PROFILOVÁNÍ
Automatizovaným rozhodováním se rozumí rozhodování technologickými prostředky nebo na základě výsledků činnosti technologických prostředků bez ingerence/volního rozhodování člověka
Profilováním se rozumí užití osobních údajů k hodnocení některých osobních aspektů člověka, například odhad jeho pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti atd.
V souvislosti se zpracováním osobních údajů NEDOCHÁZÍ k automatizovanému rozhodování.
V souvislosti se zpracováním osobních údajů NEDOCHÁZÍ k profilování.
II. KONTAKTNÍ ÚDAJE DODAVATELŮ ZBOŽÍ A SLUŽEB, PŘÍP. JEJICH ZÁSTUPCŮ
-
- SPRÁVCE
Správcem osobních údajů j je ŠMÍDOVÁ LANDSCAPE ARCHITECTS s.r.o. se sídlem Křižíkova 213/44, Praha 8. 186 00, zapsaná v obchodním rejstříku u, oddíl C, vložka 273033, IČ: 05919878 (dále jen „Správce“).
- VAŠE PRÁVA
Ve vztahu k danému zpracování Vám svědčí právo na:
- PŘÍSTUP – právo na informaci, zda jsou či nejsou Vaše osobní údaje zpracovávány. Jsou-li osobní údaje zpracovávány dále právo na informace o zpracování v předepsaném rozsahu a právo za určitých podmínek získat kopii zpracovávaných údajů;
- OPRAVU – právo požadovat provedení opravy, jsou-li zpracovávané osobní údaje nepřesné. Případně právo požadovat doplnění, nejsou-li údaje úplné;
- VÝMAZ (právo být zapomenut) – právo žádat za právními předpisy stanovených podmínek (odvolání souhlasu, skončení smlouvy, protiprávnost zpracování) vymazání údajů;
- OMEZENÍ ZPRACOVÁNÍ – právo požadovat označení a případné omezení (pozastavení) zpracování do doby ověření přesnosti údajů, zákonnosti zpracování, vyřízení námitky nebo kvůli ochraně Vašich zájmů (uplatnění nebo ochrana či obrana práv a právních zájmů);
- STÍŽNOST – právo obrátit se na Úřad pro ochranu osobních údajů se stížností vůči Správci, zpracování či podmínkám uplatňování práv. Kontaktní a další údaje o úřadu viz www.uoou.cz;
Dále Vám svědčí právo na:
– NÁMITKU – právo požadovat, aby dále nebyly zpracovávány Vaše osobní údaje kvůli oprávněným zájmům Správce.
K jednotlivým právům, jejich podrobné charakteristice, podmínkám jejich vzniku a uplatnění viz příslušný odkaz. K postupu, jak práva uplatnit, ZDE.
U Správce není ustanoven POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ.
-
- ÚČEL ZPRACOVÁNÍ
Správce zpracovává osobní údaje za účelem plnění smlouvy a kvůli svým oprávněným zájmům:
– evidence identifikačních a kontaktních údajů potenciálních dodavatelů zboží nebo služeb za účelem případného jednání o smlouvě,
– evidence komunikace týkající se jednání o smlouvě s dodavatelem kvůli prokázání obsahu smlouvy, příp. v souvislosti s předsmluvní odpovědnostní atd.,
– uzavření a plnění smlouvy s dodavatelem. V souvislosti s plněním smlouvy se jedná o dokumentaci a korespondenci týkající se realizace smluvního závazku za účelem prokázání způsobu plnění smlouvy a ochrany a uplatnění práv.Není-li smluvní stranou dodavatel sám, jsou evidovány údaje jeho zaměstnanců, statutárních zástupců nebo jiných osob určených k jednání o smlouvě, uzavření smlouvy, příp. zajištění plnění smlouvy.
- PRÁVNÍ PODKLAD ZPRACOVÁNÍ
Právním podkladem zpracování osobních údajů je:
– je-li dodavatelem fyzická osoba, ve vztahu k evidenci potenciálních dodavatelů oprávněný zájem Správce (čl. 6 odst. 1 písm. f) obecného nařízení), ve fázi uzavírání a plnění smlouvy opatření nezbytná před uzavřením smlouvy a plnění smlouvy se subjektem údajů (čl. 6 odst. 1 písm. b)
– je-li dodavatelem právnická osoba, ve vztahu k evidenci dodavatelů, vyjednávání a plnění smlouvy, kdy jsou předmětem zpracování osobní údaje o zástupcích dodavatelem, je právním titulem oprávněný zájem Správce (čl. 6 odst. 1 písm. f) obecného nařízení)
- ROZSAH ÚDAJŮ, který je zpracováván
Správce zpracovává za shora uvedeným účelem tyto osobní údaje:
– je-li dodavatelem fyzická osoba – identifikační a kontaktní údaje, tj. jméno, příjmení, akademických titul, předmět podnikání, místo podnikání a dále údaje týkající se smluvního závazku, včetně související komunikace týkající se vyjednávání o smlouvě a plnění smlouvy;
– je-li dodavatelem právnická osoba – identifikační a kontaktní údaje zástupce takové osoby (kontaktní údaje do zaměstnání), pracovní pozice, komunikace související s vyjednáváním o smlouvě se zaměstnavatelem a realizací smlouvy se zaměstnavatelem.
- POSKYTNUTÍ ÚDAJŮ JE NEZBYTNÉ
Poskytování osobních údajů, je-li v souvislosti s uzavíráním smlouvy a jejím plněním, je nezbytné. Bez údajů není možné smlouvu uzavřít a následně plnit.
- DOBA, po kterou jsou osobní údaje ukládány a zpracovávány
Správce zpracovává osobní údaje: po nezbytně nutnou dobu, tj. po celou dobu spolupráce, příp. potenciální spolupráce s dotyčným subjektem. V případě smluvních závazků do splnění závazku a dále po dobu běhu zákonných lhůt, včetně například lhůt k vytknutí vad, promlčecích či prekluzivních lhůt ve vztahu k možným nárokům plynoucím ze závazkového vztahu. Dále mohou být předepsané údaje a dokumenty uchovávány po předepsanou dobu, stanoví-li tak právní předpis (například daňová evidence atp.).
- MÍSTO, kde budou osobní údaje zpracovávány
Místem zpracování osobních údajů je: provozovna Správce a sídlo Správce.
- PŘÍJEMCI, kterým mohou být osobní údaje poskytnuty
Osobní údaje jsou poskytnuty těmto příjemcům (kategorií příjemců): NEBUDOU ŽÁDNÍ PŘÍJEMCI.
- TŘETÍ ZEMĚ
V rámci zpracování NEJSOU osobní údaje předávány mimo EU.
- ZPRACOVATEL
Na zpracování osobních údajů může participovat zpracovatel osobních údajů ve smyslu čl. 4 bodu 8 obecného nařízení o ochraně osobních údajů, nebo třetí Správcem pověřená osoba ke zpracování osobních údajů. V takových případech Správce minimalizuje riziko neoprávněného zpřístupnění, zničení, zpracování, či ztráty osobních údajů.
- AUTOMATIZOVANÉ ROZHODOVÁNÍ A PROFILOVÁNÍ
Automatizovaným rozhodováním se rozumí rozhodování technologickými prostředky nebo na základě výsledků činnosti technologických prostředků bez ingerence/volního rozhodování člověka
Profilováním se rozumí užití osobních údajů k hodnocení některých osobních aspektů člověka, například odhad jeho pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti atd.
V souvislosti se zpracováním osobních údajů NEDOCHÁZÍ k automatizovanému rozhodování.
V souvislosti se zpracováním osobních údajů NEDOCHÁZÍ k profilování.
Práva a jejich uplatnění
Článek I.
OBECNĚ K UPLATŇOVÁNÍ PRÁV
1. KANÁLY K UPLATNĚNÍ PRÁV
Práva lze za níže uvedených podmínek uplatnit:
-
- prostřednictvím adresy el. pošty: info@landscape.archi
- prostřednictvím písemného podání na adresu: Křižíkova 213/44, Praha 8, 186 00
- osobně na adrese: Křižíkova 213/44, Praha 8, 186 00
2. IDENTIFIKACE A BEZPEČNÁ KOMUNIKACE
Uplatněním práv nesmí dojít újmy práva a svobody třetích osob. Z tohoto důvodu má Správce právo a povinnost v nezbytných případech žadatele o uplatnění práv identifikovat. Z uvedených důvodů musí Správce volit bezpečnou a spolehlivou komunikaci. Za spolehlivou komunikaci, při níž není třeba dále ověřovat totožnost adresáta, se vždy považuje komunikace prostřednictvím právy el. pošty, která je opatřena ověřeným elektronickým podpisem, komunikace prostřednictvím datové schránky, komunikace prostřednictvím poskytovatele poštovních služeb, kdy je písemnost podepsána a podpis jednajícího byl úředně ověřen nebo je odpověď zasílána do vlastních rukou.
3. ÚSTNÍ UPLATNĚNÍ PRÁV
Výjimečně, vyžádá-li si to oprávněný, je možné poskytnout informace, příp. umožnit uplatnění práv ústně. O ústním poskytnutí informace, příp. o ústním uplatnění práv ze strany se pořídí písemný záznam. Podmínkou ústního uplatnění práv, není-li dotyčný osobně znám, je ověření jeho totožnosti prostřednictvím občanského průkazu, cestovního pasu, řidičského průkazu nebo jiného dokladu, z nějž lze seznat, že práva uplatňuje osoba, které náleží.
4. ŽÁDOST V EL. FORMĚ
Je-li žádost podána, resp. jsou-li práva uplatněna prostřednictvím elektronického podání, odpověď se taktéž vypraví v elektronické formě, nepožádal-li dotyčný o jiný způsob.
5. NÁKLADY
Informace poskytované subjektům údajů, poskytování kopií subjektům údajů, veškerá sdělení a veškeré úkony související s uplatněním práv subjekt údajů se činí bezplatně.
6. ODMÍTNUTÍ A POPLATEK
Je-li žádost (uplatnění práva) subjektu údajů zjevně nedůvodná nebo nepřiměřená, zejména protože se jedná o totožnou nebo v převážné části totožnou žádost nebo o žádost nepřiměřeně rozsáhlou, kterou není možné vyřídit v zákonné lhůtě,
-
- podmíní se vyřízení žádosti složením zálohy na úhradu administrativních nákladů spojených s poskytnutím požadované informace nebo se sdělením nebo s učiněním požadovaných úkonů – zálohu lze žádat až do výše předpokládaných nákladů s tím, že informace, sdělení atp. se subjektu údajů poskytne až po úplné náhradě vynaložených nákladů, nebo
- se žádosti nevyhoví, resp. uplatnění práva se písemně s odůvodněním odmítne.
7. LHŮTA K VYŘÍZENÍ
Žádosti subjektu údajů a odpovědi na uplatnění práv subjektu údajů se vyřizují neprodleně. Odpověď, obsahující požadované informace, příp. popisující provedená opatření v návaznosti na žádost subjektu údajů, atd., musí být subjektu údajů doručena nejpozději do 30 dní ode dne doručení žádosti. Není-li z vážných důvodů možné ve stanovené lhůtě věc vyřídit, nejpozději do konce této lhůty se subjekt údajů písemně nebo zprávou el. pošty vyrozumí o tom, že lhůta dodržena nebude a o důvodech, které jsou příčinou, a oznámí se lhůta, ve které bude věc vyřízena; lhůta nesmí být prodloužena více jak o 60 dní.
Článek II.
PRÁVO NA PŘÍSTUP A KOPII
1. Požádá-li o to subjekt údajů, poskytne se mu potvrzení o tom, zda dochází, nebo nedochází ke zpracování jeho osobních údajů.
2. Jsou-li osobní údaje subjektu údajů zpracovávány, poskytne se subjektu údajů informace o:
-
- účelech zpracování a o právním základu/titulu pro zpracování osobních údajů, včetně odkazu na ustanovení právního předpisu, a o rozsahu a důsledcích zpracování;
- případném příjemci nebo kategorii příjemců osobních údajů;
- předávání osobních údajů do třetích zemí, má-li se realizovat, včetně informací o vhodných zárukách pro bezpečnost předávaných dat do třetí země;
- době, po kterou budou osobní údaje uloženy, a není-li možné takovou dobu určit, o kritériích pro stanovení doby uložení;
- právu požadovat přístup k osobním údajům týkajících se subjektu údajů, o právu požadovat jejich opravu nebo výmaz, o právo požadovat omezení zpracování, o právu vznést námitku proti zpracování osobních údajů a o podmínkách vzniku jednotlivých práv a způsobem jejich uplatnění – subjektu údajů se poskytne vždy jen informace o těch právech, jejichž uplatnění přichází v souvislosti s předmětným zpracováním osobních údajů v úvahu;
- právu na přenositelnost údajů, o podmínkách jeho vzniku a o podmínkách jeho uplatnění – přichází-li uplatnění tohoto práva s ohledem na charakter zpracování osobních údajů v úvahu;
- skutečnosti, zda dochází k automatizovanému rozhodování, a o právech subjektu údajů spojených s automatizovaným rozhodováním;
- zdroji osobních údajů, a případně o tom, že osobní údaje pocházejí z veřejně dostupných zdrojů;
- právu podat stížnost u dozorového úřadu (Úřadu pro ochranu osobních údajů);
- skutečnosti, zda dochází k automatizovanému rozhodování ve formě profilování a o významu a předpokládaných důsledcích takového zpracování pro subjekt údajů, je-li realizováno.
3. Subjektu údajů náleží právo žádat si kopii zpracovávaných osobních údajů. První poskytnutí kopie je zdarma. Další kopie se zpoplatní. Článek I. odst. 6 platí i zde.
4. Pokud poskytnutím kopie mohlo dojít k poškození práv a svobod třetích osob (např. kopie obsahuje osobní údaje třetích osob, ve vztahu k jejichž zpřístupnění nesvědčí subjektu údajů, který si kopii žádá, žádný právní důvod), kopie se odpovídajícím způsobem anonymizuje. Není-li anonymizace možná, nebo ztratila-li by požadovaná informace provedením odpovídající anonymizace vypovídací hodnotu, kopie se neposkytne.
Článek III.
PRÁVO NA OPRAVU
1. Subjektu údajů náleží právo na opravu zpracovávaných osobních údajů, jsou-li zpracovávané osobní údaje nepřesné z hlediska účelu zpracování nebo jsou-li z hlediska účelu zpracování osobních údajů neúplné. Subjekt údajů může požadovat opravu (včetně doplnění) zpracovávaných osobních údajů nebo jejich doplnění.
2. Uplatní-li subjekt údajů právo na opravu zpracovávaných osobních údajů, provede Správce neprodleně kontrolu zpracování osobních údajů, vůči němuž je právo na opravu uplatňováno.
3. Dojde-li Správce k závěru, že je námitka, byť jen částečně, důvodná, zajistí neprodleně zjednání nápravy, tj. opravu zpracovávaných osobních údajů nebo jejich doplnění.
4. O výsledku šetření a provedených opatřeních se subjekt údajů vyrozumí písemně nebo zprávou el. pošty.
Článek IV.
PRÁVO NA VÝMAZ
1. Subjektu údajů náleží vůči správci osobních údajů právo na výmaz osobních údajů, které se ho týkají, pouze:
-
- nejsou-li osobní údaje potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
- subjekt údajů odvolá souhlas se zpracováním osobních údajů a není-li zde jiný právní podklad (titul) pro zpracování osobních údajů;
- subjekt údajů vznesl relevantní námitku vůči zpracování osobních údajů;
- osobní údaje byly zpracovávány protiprávně, zejména bez právního podkladu (titulu) pro zpracování osobních údajů;
- vymazání osobních údajů si žádá splnění právní povinnosti, jak plyne z právního předpis či z rozhodnutí vydaného na základě právního předpisu;
- osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1 obecného nařízení.
2. Výmazem osobních údajů se rozumí fyzické zničení nosiče osobních údajů (např. zničení listin), nebo jejich vymazání (z multimediálních nosičů) či jiné trvalé vyloučení z dalšího zpracování osobních údajů.
3. Uplatní-li subjekt údajů právo na výmaz, přezkoumá Správce žádost subjektu údajů. V případě, že je žádost subjektu údajů, byť jen částečně, oprávněná, provede se výmaz v nezbytném rozsahu. Článek I. odst. 7 této části platí i zde.
4. Do doby vyřízení žádosti subjektu údajů se osobní údaje, vůči nimž bylo uplatněno právo na výmaz, označí.
5. Osobní údaje nemohou být vymazány, pokud je jejich zpracování nezbytné:
-
- pro splnění právní povinnosti plynoucí z právních předpisů;
- z důvodů veřejného zájmu v oblasti veřejného zdraví (čl. 9 odst. 2 písm. h) a i) a čl. 9 odst. 3 obecného nařízení);
- pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely,
- pokud je pravděpodobné, že by výmaz znemožnil nebo vážně ohrozil splnění cílů uvedeného zpracování;
- určení, uplatnění a výkon práv Správce.
Článek V.
PRÁVO NA OMEZENÍ ZPRACOVÁNÍ
1. Uplatní-li subjekt údajů právo na omezení zpracování vůči konkrétnímu zpracování osobních údajů, Správce neprodleně posoudí relevanci žádosti subjektu údajů, primárně z hlediska naplnění podmínek pro uplatnění práva na omezení zpracování, přičemž při posuzování žádosti vychází jak z obsahu žádosti, tak z dalších okolností a skutečností týkajících se předmětného zpracování osobních údajů.
2. Právo na omezení zpracování osobních údajů subjektu údajů náleží v těchto případech:
-
- subjekt údajů popírá přesnost osobních údajů;
- zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
- Správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
- subjekt údajů vznesl námitku proti zpracování.
3. Osobní údaje, kterých se týká omezení zpracování, se označí.
4. Pokud bylo zpracování omezeno, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu.
5. Před zrušením omezení zpracování osobních údajů se subjekt údajů o zrušení omezení vyrozumí písemně nebo zprávou el. pošty. Ve sdělení se uvedeno okamžik, kdy bude omezení zpracování osobních údajů zrušeno a důvod, pro který bude zrušeno.
Článek VI.
PRÁVO NA PŘENOSITELNOST
1. Jsou-li předmětem zpracování osobních údajů osobní údaje získané od subjektu údajů (buďto jím přímo předané údaje, nebo údaje získané o jeho činnosti atp.), které se týkají tohoto subjektu údajů, svědčí subjektu údajů právo na přenositelnost těchto údajů, pakliže je zpracování založeno na souhlasu dotyčného subjektu údajů nebo se jedná o zpracování založené smlouvu se subjektem údajů a realizuje-li se automatizovaně. Právo na přenositelnost nezahrnuje údaje a informace vytvořené Správcem na základě údajů získaných od subjektu údajů (např. profilace předpokládaného spotřebitelského chování subjektu údajů na základě údajů získaných od subjektu údajů atp.).
2. V rámci práva na přenositelnost si subjekt údajů může žádat:
-
- předání osobních údajů, které jsou předmětem práva na přenositelnost, ve strukturovaném, běžně používaném a strojově čitelném formátu, zejména nesmí být užit formát, který vyžaduje zvláštní úplatné licence, či formát vylučující další editaci či jiné dispozice (zpracování) s osobními údaji (např. *.pdf), k rukám subjektu údajů;
- předání osobních údajů, které jsou předmětem práva na přenositelnost, ve strukturovaném, běžně používaném a strojově čitelném formátu, zejména nesmí být užit formát, který vyžaduje zvláštní úplatné licence, či formátu vylučující další editaci či jiné dispozice (zpracování) s osobními údaji (např. *.pdf), k rukám jiného správce osobních údajů, kterého subjekt údajů označí v žádosti o přenesení osobních údajů.
3. Žádosti subjektu údajů se krom jiného (čl. I. odst. 6) nevyhoví, pokud by vyhověním žádosti subjektu údajů došla újmy práva a svobody jiných osob (subjektů údajů).
4. Žádosti, jejímž předmětem je přenositelnost údajů podle odst. 2 písm. b), se taktéž nevyhoví, pokud nebude předání technicky proveditelné, přičemž za technicky neproveditelné předání se považuje i takové předání, které není možné adekvátním způsobem s ohledem k dostupným technologickým možnostem přiměřeně povaze předávaných osobních údajů a souvisejících rizik zabezpečit.
5. K předávaným osobním údajům bude připojena informace o účelu zpracování osobních údajů a bude-li si to žádat subjekt údajů, dále informace o zpracování osobních údajů v rozsahu čl. 13 obecného nařízení o ochraně osobních údajů.
Článek VII.
AUTOMATIZOVANÉ INDIVIDUÁLNÍ ROZHODOVÁNÍ, VČETNĚ PROFILOVÁNÍ
1. Rozhodnutí vůči subjektu údajů, právní jednání vůči subjektu údajů nebo jiné opatření či postup, v jehož důsledku vyplynou subjektu údajů nepříznivé právní důsledky, či by se jej takový akt jinak obdobně dotkl (např. automatizované zamítnutí on-line žádosti o úvěr, elektronické vyhledávání uchazečů o zaměstnání bez účasti člověka a přezkoumání negativních rozhodnutí elektronického systému), není možné založit na automatizovaném individuálním rozhodnutí, včetně profilování, ledaže je rozhodnutí
-
- nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů;
- povoleno právními předpisy, které stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů; nebo
- založeno na výslovném souhlasu subjektu údajů.
2. V případech podle odst. 1 písm. a) a c) Správce zajistí provedení vhodných opatření k zajištění ochrany práv a svobod a oprávněných zájmů subjektu údajů před negativními důsledky automatizovaného individuálního rozhodování. Takovými opatřeními se míní nejméně zajištění možnosti subjektu údajů vyjádřit před provedením aktu s nepříznivými důsledky svůj názor a možnost přezkumu rozhodnutí ze strany Správce určené osoby a dále lidský zásah, jímž se míní například pravidelné přezkoumávání funkčnosti systému automatizovaného rozhodování a nastavování jeho podmínek funkčnosti tak, aby byly vyloučeny nedůvodné nepříznivé zásahy do práv a svobod subjektu údajů, resp. do jeho oprávněných zájmů.
3. Jsou-li předmětem zpracování citlivé údaje, resp. mají-li se individuální rozhodnutí ve smyslu odst. 1 zakládat na citlivých údajích, je možné postupovat podle odst. 2 pouze tehdy, jsou-li zajištěny dostatečné garance ve smyslu odst. 2 tohoto článku a za předpokladu, že právním důvodem zpracování osobních údajů je výslovný souhlas subjektu údajů ve smyslu čl. 9 odst. 2 písm. a) obecného nařízení, příp. se jedná o zpracování nezbytné z důvodu významného veřejného zájmu plynoucího z právních předpisů, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů.
Článek VIII.
PRÁVO NA NÁMITKU
1. Je-li právní základem zpracování osobních údajů právní titul podle čl. 6 odst. 1 písm. e) obecného nařízení (splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterou byl pověřen správce) nebo právní titul podle čl. 6 odst. 1 písm. f) obecného nařízení (zpracování nezbytné pro ochranu práv a právem chráněných zájmů správce), svědčí subjektu údajů právo na námitku vůči předmětnému zpracování osobních údajů.
2. Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.
3. Uplatní-li subjekt údajů právo na námitku, Správce námitku bez odkladu prověří.
4. Do vyřízení námitky subjektu údajů se dotčené osobní údaje, resp. zpracování osobních údajů označí.
5. Osobní údaje, vůči nimž byla vznesena oprávněná námitka, nelze dále zpracovávat, ledaže by:
-
- pro další zpracování svědčili vážné oprávněné důvody, které by převažovaly nad zájmy nebo právy a svobodami subjektu údajů, nebo
- další zpracování bylo nezbytné pro určení, výkon nebo obhajobu/obranu práv Správce.