GDPR

Zásady nakládání s osobními údaji a jejich ochrana

 

a) Právní základ, identifikace správce, zpracovatele a dozorového úřadu

1. Nakládání s osobními údaji a jejich ochrana osobních údajů se řídí zejména zákonem č. 101/2000 Sb. a nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení“).
2. Správcem a zpracovatelem je Prospectum s.r.o., se sídlem Poděbradova 869, 547 01 Náchod, IČ 01775243 (dále jen „správce“). Správce nejmenoval pověřence pro ochranu osobních údajů.
3. Dozorovým úřadem je Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7.
4. Subjektem údajů se rozumí zákazník (objednatel), který se správcem uzavřel příslušnou smlouvu (zejména smlouvu o poskytování služeb a užívání Nemovitosti) a v souladu s touto smlouvou a sjednaným plněním poskytl své osobní údaje.

 

b) Zpracovávané informace a důvod jejich zpracování

1. Správce získává, zpracovává a nakládá s osobními údaji subjektu údajů, v souladu s čl. 6 odst. 1 písm. b) Nařízení, pouze z důvodu nezbytnosti plnění smlouvy, případně pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů.
2. Osobní údaje jsou zpracovávány pouze pro účel uzavření smlouvy a plnění ze smlouvy se subjektem údajů. To znamená, že jsou zpracovávány za účelem výslovně uvedené ve smlouvě. Zejména se jedná o plnění činností uvedených v čl. II smlouvy o poskytování služeb a užívání Nemovitosti, tj.: poskytování prostor v Nemovitosti k umístění sídla nebo místa podnikání, vedení účetnictví, resp. daňové evidence, pro subjekt údajů podle platných právních předpisů, vyřizování korespondence subjektu údajů, zastupování subjektu údajů před příslušnými orgány státní moci, státní správy, místní samosprávy, včetně zdravotních pojišťoven a Českou Správou Sociálního Zabezpečení, zřízení zákaznického účtu na webových stránkách poskytovatele, dle platných všeobecných obchodních podmínek, poskytování prostor v Nemovitosti - pronájem konferenční místnosti, pronájem apartmánu, umožnění dočasného pobytu, telefonicky a elektronickou formou (prostřednictvím e-mailů) poskytovaná obsluha klientů subjektu údajů, umožnění přihlášení k dočasnému pobytu v Nemovitosti, případně za účelem zajištění plnění dalších služeb na základě individuálních objednávek subjektu údajů.
3. Správce zpracovává jen údaje poskytnuté subjektem údajů a v souladu s výše uvedenou smlouvou získané. Správce nezískává osobní údaje jiným způsobem.

 

c) Zpracovávání a poskytování osobních údajů

1. Správce provádí zpracování osobních údajů výhradně sám. Příjemcem osobních údajů jsou v souladu se smlouvou pouze orgány státní správy, další subjekty, u nichž o to výslovně požádá subjekt údajů (zejména se jedná o případy zajištění korespondence a vyřizování telefonických hovorů a zastupování subjektu údajů před správními orgány) a přepravce, který zajišťuje přepravu pošty, balíků a účetních dokladů subjektu údajů na jím zadanou adresu. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.
2. Správce neposkytuje, s výjimkou v předchozím odstavci uvedených subjektů, osobní údaje žádné jiné třetí osobě. Správce nemá v úmyslu předat osobní údaje do třetí země nebo mezinárodní organizaci. Tímto není dotčena případná zákonná povinnost správce předat údaje v zákoně uvedeným subjektům nebo subjektům určeným rozhodnutím mocenských orgánů.
3. Správce z osobních údajů zpracovává jméno, příjmení, případně firmu a identifikační číslo, bydliště (sídlo), adresu elektronické pošty (e-mail), číslo účtu a telefonní číslo. Další, výslovně nevyjmenované údaje spravuje správce při výkonu své smluvní povinnosti vyřizování korespondence subjektu údajů a při jeho zastupování před správními orgány. Jiné nevyjmenované osobní údaje subjektu údajů správce zpracovává, pouze pokud mu je subjekt údajů předá osobně nebo je zadá v zákaznickém účtu a požádá o jejich správu.
4. Pro uzavření a plnění smlouvy jsou nezbytné všechny výše výslovně vyjmenované uvedené osobní údaje.
5. Správce prohlašuje, že přijal veškerá vhodná technická a organizační opatření k zabezpečení osobních údajů.
6. Správce přijal technická opatření k zabezpečení datových úložišť a úložišť osobních údajů v listinné podobě, zejména šifrováním datového úložiště, chránění přístupu k datovému úložišti heslem a uchováváním listin v uzamykatelné místnosti.
7. Správce prohlašuje, že k osobním údajům mají přístup pouze jím pověřené osoby. Správce je smluvně vázán mlčenlivostí o všech údajích (včetně osobních) o který se od subjektu údajů dozví. Jakékoliv údaje předává nebo poskytuje pouze se souhlasem subjektu údajů.

 

d) Doba uložení osobních údajů a jejich výmaz/skartace

1. Osobní údaje budou u správce, zejména z důvodu zajištění plnění ze smlouvy, odpovědnosti za případné vady plnění a z důvodu dalších případných nároků ze smlouvy, uloženy po dobu 5 let od jejího ukončení. Po uplynutí této doby budou uloženy pouze v případě, vyžadují-li tak právní normy – např. právní normy upravující vedení účetní evidence.
2. Po uplynutí doby uvedené v předchozích odstavcích budou data vedená v elektronické podobě vymazána, listiny skartovány.

 

e) Základní práva subjektu údajů

Subjekt údajů má v souladu s podmínkami uvedenými v Nařízení zejména následující práva:

• právo odvolat souhlas se zpracováním písemně nebo elektronicky na adresu nebo email správce
• právo na přístup ke svým osobním údajům dle čl. 15 Nařízení;
• právo na opravu osobních údajů dle čl. 16 Nařízení;
• právo na výmaz osobních údajů („právo být zapomenut“) dle čl. 17 Nařízení;
• právo na omezení zpracování osobních údajů dle čl. 18 Nařízení;
• právo na oznámení ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování dle čl. 19 Nařízení;
• právo na přenositelnost údajů dle čl. 20 Nařízení;
• právo vznést námitku dle čl. 21 Nařízení;
• právo nebýt předmětem rozhodnutí založeném výhradně na automatickém zpracování, včetně profilování dle čl. 22 Nařízení;
• právo na oznámení případů porušení zabezpečení osobních údajů dle čl. 34 Nařízení.

Některá práva subjektu údajů jsou podrobněji upravena níže. Subjektu údajů náleží plná práva uvedená v Nařízení, zejména v případech, kdy jsou v Nařízení upravena v širším rozsahu nebo v jiném znění, než je uvedeno níže (odlišná úprava v Nařízení má vždy přednost před úpravou v tomto dokumentu).

 

f) právo na přístup k informacím, odvolání souhlasu, stížnost

1. Subjekt údajů je oprávněn od správce požadovat přístup k osobním údajům, jež se ho týkají. Dále je oprávněn požadovat na správci opravu osobních údajů nebo jejich výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů.
2. Subjekt údajů je oprávněn podat stížnost na správce k dozorovému úřadu, domnívá-li se, že je s jeho osobními údaji nakládáno v rozporu s právní úpravou. Tuto možnost má zejména, pokud správce nepřijme opatření, o něž subjekt údajů požádal; v tomto případě má dále možnost žádat i soudní ochranu.
3. Osobní údaje nejsou zpracovávány automaticky (nedochází ani k automatickému rozhodování) a nejsou ani profilovány.

 

g) Právo subjektu údajů na přístup k osobním údajům

1. Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:
   a) účely zpracování;
   b) kategorie dotčených osobních údajů;
   c) příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;
   d) plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;
   e) existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování a nebo vznést námitku proti tomuto zpracování;
   f) právo podat stížnost u dozorového úřadu;
   g) veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;
   h) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 Nařízení, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
2. Správce na žádost subjektu údajů poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.
3. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

 

h) Právo na výmaz osobních údajů („právo být zapomenut“)

1. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
   a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
   b) subjekt údajů odvolá souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) Nařízení zpracovány, a neexistuje žádný další právní důvod pro zpracování;
   c) subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 Nařízení a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2 Nařízení;
   d) osobní údaje byly zpracovány protiprávně;
   e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;
   f) osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1. Nařízení
2. Uvedené v předchozích odstavcích tohoto článku se aplikuje s výhradou důvodů a okolností uvedených v Nařízení, zejména v čl. 17. odst. 3.

 

i) Právo na omezení zpracování a právo na přenositelnost údajů

1. Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:
   a) subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
   b) zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
   c) správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
   d) subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1 Nařízení, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.
2. Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.
3. Subjekt údajů, který dosáhl omezení zpracování podle odstavce 1, je správcem předem upozorněn na to, že bude omezení zpracování zrušeno.
4. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, za podmínek uvedených v Nařízení.

 

j) Právo vznést námitku

1. Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f) Nařízení, včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
2. Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.
3. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

 

k) Automatizované individuální rozhodování, včetně profilování

1. Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.
2. Odstavec 1 se nepoužije, pokud je rozhodnutí:
   a) nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů;
   b) povoleno právem Unie nebo členského státu, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů; nebo
   c) založeno na výslovném souhlasu subjektu údajů.
3. V případech uvedených v odst. 2 písm. a) a c) provede správce údajů vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů, alespoň práva na lidský zásah ze strany správce, práva vyjádřit svůj názor a práva napadnout rozhodnutí.

 

l) Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

1. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů způsobem a za podmínek upravených v Nařízení.

 

m) Souhlas subjektu údajů s podmínkami ochrany osobních údajů

1. Správce je oprávněn tyto podmínky změnit. Novou verzi podmínek ochrany osobních údajů zveřejní na svých internetových stránkách.

 

Tento dokument nabývá účinnosti dnem 25.5.2018.