I. Obecná ustanovení
Obchodní společnost FAVEX, s.r.o. se sídlem v Praze, Slezská 2210/128, IČ: 499 72 367, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, v oddíle C, č. vl. 65218 (dále také jen „FAVEX“), v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“), po provedení revize vlastních postupů nakládání s osobními údaji během výkonu své podnikatelské činnosti a jako výsledek sumarizace těchto postupů, tímto deklaruje svá základní pravidla postupů souvisejících se zpracováním osobních údajů.
FAVEX je ve smyslu GDPR správcem osobních údajů, tj. shromažďuje, uchovává a využívá osobní údaje svých zákazníků, fyzických osob jednajících za korporátní zákazníky, dalších osob dotčených její podnikatelskou činností, popř. zájemců o obchodní spolupráci (společně také jen „subjekt údajů“), a to pro výkon své podnikatelské činnosti, která spočívá zejména v prodeji hutního materiálu a v poskytování služeb s tím souvisejících.
Tyto Zásady zpracování osobních údajů se vztahují na:
- zpracování osobních údajů prováděné FAVEX během komunikace se subjekty údajů, resp. smluvními partnery FAVEX prostřednictvím internetových stránek, e-mailu či telefonu,
- zpracování osobních údajů ze strany FAVEX během trvání smluvního vztahu mezi subjekty údajů, resp. smluvními partnery FAVEX a FAVEX a jejími zaměstnanci,
- zpracování osobních údajů při plnění právních povinností FAVEX,
- zpracování osobních údajů, jež je nezbytné pro účely ochrany oprávněných zájmů FAVEX.
Zásady zpracování osobních údajů popisují účely zpracování osobních údajů a způsoby jejich zpracování, informují o jednotlivých kategoriích zpracovávaných osobních údajů, jejich případných příjemcích, době uchování osobních údajů a o právech osob ve vztahu k ochraně osobních údajů.
FAVEX zajišťuje dodržování těchto zásad při zpracování osobních údajů advokátem, jeho spolupracovníky a v případě dodavatelů – externích zpracovatelů osobních údajů má smluvně zajištěny záruky odpovídající ochrany dle čl. 28 GDPR.
II. Totožnost a kontaktní údaje správce – FAVEX
Při uplatnění práv, popř. pokud bude subjekt údajů chtít některé informace blíže vysvětlit, může FAVEX kontaktovat prostřednictvím těchto údajů:
Písemný kontakt:
FAVEX s.r.o.
Hradišťská 98
687 08 Buchlovice
Elektronický kontakt:
III. Účely zpracování osobních údajů
FAVEX zpracovává osobní údaje výhradně v souladu s právními důvody stanovenými v čl. 6 GDPR, pouze v nezbytném rozsahu a po nezbytnou dobu. Účely zpracování osobních údajů a dobu jejich zpracování eviduje FAVEX pro jednotlivé agendy v záznamech o činnostech zpracování podle čl. 30 GDPR.
K osobním údajům mají přístup pouze osoby, které s nimi potřebují nakládat při plnění svých úkolů a povinností pro FAVEX. Tyto osoby zachovávají o osobních údajích s nimiž se seznamují mlčenlivost, tato povinnost je smluvně garantována.
Osobní údaje mohou být FAVEX zpracovávány pro tyto účely: A/ Účely, k nimž není vyžadován souhlas subjektu údajů, a to:
- Plnění smlouvy (jednání o uzavření smlouvy či její změně, uzavření smlouvy kupní či jiné smlouvy, realizace smluvního vztahu, provádění evidence a aktualizace smluv, uchovávání dat v systémech FAVEX),
- Plnění právních povinností (zejména povinností ve smyslu účetní a daňové legislativy, tedy předávání osobních údajů orgánům finanční správy, případně dalším orgánům veřejné moci v souladu s příslušnými právními předpisy; uchovávání a archivování údajů dle zákonných požadavků),
- Ochrana oprávněného zájmu FAVEX (ochrana práv a právem chráněných zájmů FAVEX, například vymáhání právních nároků a pohledávek, provádění marketingových činností ohledně produktů a služeb FAVEX, vnitřní potřeby FAVEX týkající se zejména sledování spokojenosti subjektu údajů, zjišťování kvality služeb, zvyšování kvality poskytovaných služeb, vývoj nových služeb apod.),
- Ochrana oprávněného zájmu třetích osob (zejména subjektu údajů, resp. smluvních partnerů FAVEX) v souladu s pravidly upravujícími podnikatelskou činnost a hospodářskou soutěž.
B/ Účely, pro které lze osobní údaje zpracovávat jen na základě souhlasu subjektu údajů:
- Poskytnutí takového souhlasu je zcela na rozhodnutí subjektu údajů. Souhlas je třeba k provádění marketingu FAVEX (v určitém rozsahu je v těchto případech FAVEX oprávněna nabízet produkty a služby zákazníkům též bez získání jejich souhlasu). Bez ohledu na to, zda je nabízení produktů a služeb realizováno na základě zákona či souhlasu, vždy má subjekt údajů právo vyjádřit s ním nesouhlas, a to úkonem adresovaným FAVEX v jakékoliv podobě. Dodatečně je taktéž možné odvolat souhlas s poskytnutím kopie osobního dokladu.
IV. Zpracovávané osobní údaje
FAVEX je oprávněna zpracovávat následující osobní údaje dle účelu zpracování:
Údaje subjektů údajů | Účely zpracování |
---|---|
Jméno a příjmení | Plnění smlouvy, Plnění právních povinností, Ochrana oprávněného zájmu FAVEX, Poskytnutí souhlasu |
Kontaktní adresa, sídlo, místo podnikání | Plnění smlouvy, Plnění právních povinností, Ochrana oprávněného zájmu FAVEX, Poskytnutí souhlasu |
Plnění smlouvy, Plnění právních povinností, Ochrana oprávněného zájmu FAVEX, Poskytnutí souhlasu | |
Telefonní číslo | Plnění smlouvy, Plnění právních povinností, Ochrana oprávněného zájmu FAVEX, Poskytnutí souhlasu |
Číslo účtu a jiné transakční údaje | Plnění smlouvy, Plnění právních povinností, Ochrana oprávněného zájmu FAVEX, Poskytnutí souhlasu |
IČO, DIČ | Plnění smlouvy, Plnění právních povinností, Ochrana oprávněného zájmu FAVEX, Poskytnutí souhlasu |
Rodné číslo | Plnění právních povinností |
Datum narození | Plnění smlouvy, Plnění právních povinností |
Jakékoliv další informace týkající se klienta či třetích osob | Plnění smlouvy, Plnění právních povinností, Ochrana oprávněného zájmu třetích osob |
FAVEX zpracovává osobní údaje manuálně či automatizovaným způsobem a zabezpečeně je uchovává jak v listinné, tak v elektronické podobě. Ke zpracování osobních údajů dochází zejména pro účely plnění smluvního vztahu. V návaznosti na účel zpracování jsou osobní údaje subjektů údajů vedeny v evidencích odběratelů FAVEX, v evidencích dodavatelů FAVEX a v účetním systému.
FAVEX prohlašuje, že osobní údaje, které zpracovává, jsou pod stálou kontrolou a FAVEX disponuje moderními kontrolními, technickými a bezpečnostními mechanismy zajišťujícími ochranu zpracovávaných údajů před neoprávněným přístupem nebo přenosem, před jejich ztrátou nebo zničením, jakož i před jiným možným zneužitím. Veškeré osoby, které s osobními údaji subjektů údajů přicházejí do styku v rámci plnění svých pracovních či smluvně převzatých povinností, jsou vázány zákonnou nebo smluvní povinností mlčenlivosti. V případě, že jsou osobní údaje předávány dalším subjektům, FAVEX se zpracovateli dat uzavřel příslušnou smlouvu, kterou tyto subjekty garantují dodržování povinností vztahujících se ke zpracování osobních údajů dle českého právního řádu.
V. Příjemci osobních údajů
FAVEX osobní údaje zpřístupňuje pouze oprávněným zaměstnancům či jednotlivým zpracovatelům osobních údajů smluvně sjednaným FAVEX, případně dalším správcům, vždy však pouze v míře nezbytné pro naplnění jednotlivých účelů zpracování a na základě odpovídajícího právního titulu pro zpracování osobních údajů.
FAVEX je v zákonem stanovených případech oprávněna, resp. povinna některé osobní údaje předat na základě platných právních předpisů například orgánům činným v trestním řízení či dalším orgánům veřejné moci.
VI. Osobní údaje třetích osob
Osobní údaje třetích osob, jimiž se rozumí osobní údaje zaměstnanců a zákazníků smluvních partnerů FAVEX a dalších fyzických osob podílejících se na spolupráci s FAVEX, popř. jiné údaje, které FAVEX obdrží od smluvního partnera v souvislosti s uzavřením či plněním smlouvy, budou zpracovány v souladu s platnými právními předpisy v oblasti ochrany osobních údajů. Tyto osobní údaje použije FAVEX za účelem plnění smluv se smluvními partnery. FAVEX bude zpracovávat osobní údaje třetích osob po dobu trvání smluvního vztahu a dále po dobu stanovenou zvláštními právními předpisy, jsou-li takové. Po delší dobu budou pak uchovávány, pokud vznikne v odůvodněném případě potřeba uchovávat údaje v souvislosti s konkrétním případem.
VII. Doba uchování osobních údajů
Osobní údaje FAVEX zpracovává a uchovává po dobu nezbytně nutnou k zajištění všech práv a povinností plynoucích z příslušného smluvního vztahu a dále po dobu, po kterou je FAVEX jakožto správce osobních údajů povinna osobní údaje uchovávat podle obecně závazných právních předpisů, nebo na kterou byl FAVEX ke zpracování udělen souhlas. V ostatních případech vyplývá doba zpracování z účelu zpracování, kterému musí být přiměřená, anebo je dána právními předpisy v oblasti ochrany osobních údajů.
FAVEX dbá na řádné plnění povinností podle předpisů upravujících archivnictví, dodržuje zákonné lhůty pro ukládání dokumentů a archivaci, a dále včas a řádně provádí skartační řízení.
Osobní údaje zpracováváme dle účelu jejich zpracování po zde uvedenou dobu:
Účel zpracování | Doba uchování |
---|---|
Plnění smlouvy | po dobu trvání smluvního vztahu a po dobu 10 let od ukončení smluvního vztahu |
Plnění právních povinností | po dobu stanovenou příslušným právním předpisem |
Ochrana oprávněného zájmu FAVEX nebo třetích osob | maximálně po dobu 3 let od doby počátku zpracování údajů, nestanoví-li zvláštní právní předpisy jinak, anebo pokud v odůvodněném případě nevznikne potřeba uchovávat údaje po dobu delší v souvislosti s konkrétním případem |
Poskytnutí souhlasu | po dobu 3 let od jejich poskytnutí, nepožádá-li subjekt údajů o její prodloužení |
VIII. Práva subjektů údajů
FAVEX naplňuje veškerá práva subjektů údajů. Subjekt údajů na základě žádosti obdrží od FAVEX veškeré zákonem stanovené informace o zpracování jeho údajů, a to stručným, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků.
FAVEX dále zejména:
- a) vede záznamy o činnostech zpracování podle čl. 30 GDPR,
- b) zajišťuje informování subjektů údajů podle čl. 12 až 14 GDPR,
- c) naplňuje další práva subjektů údajů podle čl. 15 až 22 GDPR,
- d) provádí ohlašování a oznámení porušení zabezpečení osobních údajů podle čl. 33 a 34 GDPR.
Návrhy záznamů, informací, vyřízení žádostí/stížností a ohlášení a oznámení jsou uloženy v FAVEX. Subjekty údajů mohou svoje žádosti/stížnosti pro uplatnění práv uplatnit u FAVEX, zejména zasláním prostřednictvím emailové adresy FAVEX či písemně na adresu provozovny FAVEX viz. výše.
Subjekt údajů má v souvislosti se zpracováním osobních údajů práva, která vyplývají z právních předpisů a která může kdykoliv uplatnit. Jedná se o právo:
- na přístup k osobním údajům,
- na opravu nepřesných a doplnění neúplných osobních údajů,
- na výmaz osobních údajů, nejsou-li již osobní údaje potřebné pro účely, pro které byly shromážděny či jinak zpracovány, anebo zjistí-li se, že byly zpracovávány protiprávně,
- na omezení zpracování osobních údajů,
- na přenositelnost údajů,
- právo vznést námitku, po níž zpracování osobních údajů bude ukončeno, neprokáže-li se, že existují závažné oprávněné důvody pro zpracování, jež převažují nad zájmy nebo právy a svobodami subjektu údajů, zejména je-li důvodem případné vymáhání právních nároků, a
- právo obrátit se na Úřad pro ochranu osobních údajů.
- Právo na přístup k osobním údajům: Subjekt údajů má právo získat informace o tom, jestli jsou jeho osobní údaje zpracovávány, a pokud tomu tak je, má také právo k jeho osobním údajům získat přístup. V případě nedůvodných, nepřiměřených nebo opakovaných žádostí bude FAVEX oprávněna za kopii poskytnutých osobních údajů účtovat přiměřený poplatek anebo žádost odmítnout (uvedené platí obdobně pro uplatňování níže uvedených práv).
- Právo na opravu nepřesných a doplnění neúplných osobních údajů: V případě, že subjekt údajů nabude přesvědčení, že o něm FAVEX zpracovává nepřesné či neúplné osobní údaje, má právo požadovat jejich opravu a doplnění. FAVEX provede opravu či doplnění údajů bez zbytečného odkladu, vždy však s ohledem na technické možnosti.
- Právo na výmaz: V případě, že subjekt údajů požádá o výmaz osobních údajů, FAVEX vymaže jeho osobní údaje, pokud (i) již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, (ii) zpracování je protiprávní, (iii) subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování jeho osobních údajů, nebo (iv) odpadla zákonná povinnost ke zpracování stanovená právem Evropské unie nebo vnitrostátními právními předpisy.
- Právo na omezení zpracování osobních údajů: V případě, že subjekt údajů požádá o omezení zpracování, FAVEX osobní údaje znepřístupní, dočasně odstraní či uchová anebo provede jiné úkony zpracování, které budou potřebné pro řádný výkon uplatněného práva. 6
- Právo na přenositelnost údajů: V případě, že subjekt údajů požaduje, aby FAVEX osobní údaje, které o subjektu údajů v elektronické formě zpracovává na základě smlouvy nebo souhlasu, předala třetímu subjektu, může subjekt údajů využít svého práva na přenositelnost údajů. V případě, že by výkonem tohoto práva byly nepříznivě dotčeny práva a svobody jiných osob, FAVEX žádosti nevyhoví.
- Právo vznést námitku: Subjekt údajů má právo vznést námitku proti zpracování osobních údajů, které jsou zpracovávány pro účely splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci nebo pro účely ochrany oprávněných zájmů FAVEX. V případě, že FAVEX neprokáže, že existuje závažný oprávněný důvod pro zpracování, který převažuje nad zájmem nebo právy a svobodami klienta, zpracování na základě námitky ukončí bez zbytečného odkladu. V případě opakovaných či zjevně nedůvodných žádostí o uplatnění výše uvedených práv bude FAVEX oprávněna za realizaci daného práva účtovat přiměřený poplatek, popřípadě jeho realizaci odmítne. O takovém postupu bude vždy subjekt údajů náležitě informovat.
IX. Předávání osobních údajů do třetích zemí
Osobní údaje zpracovává FAVEX pouze v České republice, případně v členských státech EU. Do třetích zemí mimo EU osobní údaje nepředáváme.
X. Závěrečná ustanovení
FAVEX provedla analýzu rizik zpracování osobních údajů a přijala přiměřená technická a organizační opatření pro zabezpečení zpracování, jak jsou popsána výše. Analýza rizik obsahovala následující závěr: zpracování osobních údajů nepředstavují vysoká rizika pro práva a svobody dotčených subjektů údajů, a tedy není nutné vypracovat posouzení vlivu na ochranu osobních údajů („DPIA“).
FAVEX provedla posouzení zpracování osobních údajů z pohledu čl. 37 GDPR. FAVEX nenaplňuje podmínky pro jmenování pověřence pro ochranu osobních údajů (dále jen „DPO“) v souladu s recitálem 91 GDPR a nemá povinnost DPO jmenovat. DPO proto nebyl u FAVEX jmenován.
FAVEX kromě záznamů o činnostech zpracování dle čl. 30 GDPR vede evidenci případných souhlasů se zpracováním osobních údajů, pokud pro zpracování osobních údajů neexistuje jiný právní titul a evidenci případů porušení zabezpečení osobních údajů.
FAVEX pravidelně, nejméně jednou ročně, vyhodnocuje plnění pravidel ochrany osobních údajů, vč. technických a organizačních opatření a přijímá opatření k nápravě, příp. dle potřeby aktualizuje interní dokumentaci související s ochranou osobních údajů.
Na ochranu soukromí a osobních údajů dohlíží Úřad pro ochranu osobních údajů.
adresa: Pplk. Sochora 27
170 00 Praha 7
tel.: 234 665 111
web: www.uoou.cz
Tyto Zásady zpracování osobních údajů jsou účinné od 26.10.2020 a budou pravidelně aktualizovány. Platná verze bude vždy k dispozici na sekretariátu FAVEX.