Základní principy zpracování osobních údajů

Základní principy zpracování osobních údajů

IN Catering se při zpracovávání osobních údajů řídí následujícími principy:

  • Veškeré osobní údaje IN Catering zpracovává vždy zákonně, korektně, spravedlivě, transparentně a odpovědně;

  • Zpracování je účelově omezené, což znamená, že IN Catering zpracovává osobní údaje pouze pro určité, výslovně vyjádřené a legitimní účely, přičemž osobní údaje nejsou dále zpracovávány způsobem, který je s těmito účely neslučitelný;

  • V rámci minimalizace údajů IN Catering zpracovává přiměřené, relevantní a omezené osobní údaje na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány;

  • IN Catering zpracovává přesné a aktualizované osobní údaje. Pokud jsou osobní údaje nepřesné, IN Catering zajistí jejich opravu či případně výmaz, k čemuž může požadovat nezbytnou součinnost;

  • IN Catering ukládá osobní údaje ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány, v souladu s ustanoveními daňových, legislativních či jinak právně platných předpisů.

  • IN Catering zpracovává osobní údaje způsobem, který zajistí náležité zabezpečení a ochranu osobních údajů.

Aby bylo zpracování zákonné, musí IN Catering zpracovávat osobní údaje na základě některého z právních titulů nařízení GDPR a pouze v odpovídajícím rozsahu pro stanovený účel zpracování. Pro pracovně právní a obchodní činnosti jsou relevantní zejména právní základy zpracování nezbytné pro plnění smluvní či zákonné povinnosti, zpracování nezbytné pro účely oprávněného zájmu, anebo zpracování na základě souhlasu subjektu údajů.

IN Catering transparentně informuje subjekt údajů, které osobní údaje o něm zpracovává, v jakém rozsahu a jakým způsobem, jaká práva má v souvislosti se zpracováním těchto osobních údajů, a napomáhá výkonu těchto jeho práv. Subjekt údajů by měl být dále informován o provádění automatizovaného rozhodování a o jeho důsledcích. IN Catering upozorní subjekt údajů na rizika, pravidla a záruky zpracování osobních údajů a na práva subjektu údajů, která je možno v této souvislosti uplatnit. Všechny informace určené subjektu údajů poskytuje IN Catering stručně, snadno přístupným způsobem a srozumitelně.

IN Catering odpovídá za dodržení principů při zpracování osobních údajů a je schopen soulad s nimi doložit. Za účelem dodržení principu odpovědnosti IN Catering zavede vhodná opatření. Mezi tato opatření patří mimo jiné:

  • vytvoření a uplatňování interní koncepce v oblasti ochrany osobních údajů,

  • vytvoření a aktualizace přehledu o rozsahu zpracovávaných dat,

  • a vytvoření mechanismu zjišťování a ohlašování případů porušení zabezpečení osobních údajů.

IN Catering jako správce osobních údajů je odpovědný za újmu, kterou působí zpracováním, jež je v rozporu s GDPR. Zpracovává-li IN Catering osobní údaje v pozici zpracovatele, je za újmu způsobenou zpracováním odpovědná pouze v případě, že nesplní povinnosti stanovené právními předpisy pro zpracovatele, nebo pokud jednala nad rámec zákonných pokynů správce či v rozporu s nimi. IN Catering může být odpovědnosti za újmu zproštěn, pokud prokáže, že nenese žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.

Pro řádný výkon podnikatelské činnosti je podstatné, aby IN Catering disponoval aktuální osobními údaji subjektů údajů. Objeví-li se při nebo po uzavření smlouvy konkrétní indikace, že byly poskytnuty nepřesné či nekompletní osobní údaje, nebo došlo k jejich změně, IN Catering učiní nezbytný výmaz nebo opravu za účelem odstranění nedostatků. K tomuto IN Catering může vyžadovat maximální součinnost subjektu údajů.

Základní kategorie zpracovávaných osobních údajů

V rámci podnikatelské činnosti IN Catering zpracovává různé kategorie osobních údajů, na základě kterých by bylo možné identifikovat daný subjekt údajů. Těmito kategoriemi jsou:

  • Identifikační a kontaktní údaje (např. jméno, příjmení, telefon, adresa, datum narození, rodné číslo);

  • Osobní údaje týkající se rozsudků v trestních věcech a trestných činů,

  • Údaje vztahující se k předmětu obchodního zájmu

  • Údaje pro zjištění potřeb a požadavků zákazníka;

  • Citlivé údaje (údaje spadající do zvláštní kategorie osobních údajů, např. údaje o zdravotním stavu, biometrické údaje);

  • Údaje z monitoringu (např. údaje získané na základě záznamů z jednání, záznamů telefonických hovorů, záznamů o využívání online služeb).

 IN Catering vždy zpracovává takto požadované a získané osobní údaje v rámci výše uvedených kategorií pouze k vymezeným účelům zpracování na základě příslušných právních základů zpracování a v odpovídajícím rozsahu.

Právní základy zpracování

  • Zpracování je nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů

  • Zpracování je nezbytné pro plnění právní povinnosti, která se na správce vztahuje

  • Zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě

  • Subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů

Souhlas subjektu údajů je pouze jedním z právních základů použitelných pro zpracování osobních údajů. IN Catering využívá právní základ souhlasu pouze v případech, kdy nemůže využít žádný z dalších právních základů zpracování osobních údajů.

Zpracování nezbytné pro vyjednávání o obchodu, uzavření, splnění či zrušení smlouvy

IN Catering zpracovává osobní údaje již od doby primárního kontaktu s potencionálním zákazníkem a dále po celou dobu trvání obchodního vztahu.

Ke zpracování osobních údajů na základě tohoto právního základu tak dochází zejména v situacích:

  • Jednání o vyjednávání o obchodním případu, uzavření obchodní smlouvy, a to i opakovaně,

  • Zaznamenávání telefonických hovorů a elektronické komunikace pro účel uzavření smlouvy a plnění smluvních povinností z ní;

  • Šetření reklamací, stížností; poskytování náhradního plnění apod.

Pro účely plnění smlouvy IN Catering zpracovává zejména tyto kategorie údajů:

  • Identifikační a kontaktní údaje klienta (např. jméno, příjmení, rodné číslo, telefonní číslo, e-mail);

  • Osobní údaje vztahující se k danému předmětu souhlasu

  • Citlivé osobní údaje (např. biometrické údaje anebo údaje o zdravotním stavu), jejichž zpracování musí též naplnit podmínky čl. 9 GDPR (viz dále bod 1.5. Standardů);

  • Údaje pro účely underwritingu (např. povolání, vzdělání, provozované sporty a koníčky)

Poskytnuté osobní údaje na základě titulu plnění smlouvy nelze bez dalšího užívat k dalším účelům, pro něž nemá IN Catering příslušný právní základ.

Zpracování nezbytné pro splnění právní povinnosti

IN Catering při provozování své podnikatelské činnosti musí zpracovávat osobní údaje pro plnění právních povinností, které ji ukládají národní právní předpisy. V obecné rovině je specifická potřeba zpracování osobních údajů.

Mezi zpracování osobních údajů na základě plnění právních povinností patří:

  • Zjišťování požadavků a potřeb zákazníka a finančních údajů pro účely poskytování doporučení a rady;

  • Uchovávání dokumentů a záznamů z jednání;

  • Poskytování součinnosti České národní bance, soudům, orgánům činným v trestním řízení, exekutorům, notářům, insolvenčním správcům a dalším orgánům veřejné moci dle příslušných právních předpisů;

  • Uplatňování opatření proti legalizaci výnosů z trestné činnosti a financování terorismu za účelem zabránění zneužívání finančního systému;

  • Plnění povinností vyplývajících z uplatňování mezinárodních sankcí;

  • Vedení zákonných evidencí údajů a související předávání Českému statistickému úřadu, apod.

  • Shromažďování informací týkajících se osob, na které se v jiném státě vztahují daňové povinnosti, a předávání těchto údajů příslušným orgánům finanční správy.

Zpracování nezbytné pro účely oprávněných zájmů

IN Catering zpracovává osobní údaje na právním základě oprávněného zájmu společnosti či třetí strany zejména v následujících situacích:

Zpracování údajů nesmluvních stran - IN Catering zpracovává na tomto právním základě osobní údaje osob, které nejsou stranou obchodní smlouvy. Jedná se zejména o subdodavatele, koordinátory či jinak na zajištění smlouvy nezbytné osoby, jejichž osobní údaje jsou nezbytné k naplnění obchodní činnosti.

Marketingové aktivity při naplnění podmínky, že subjekt údajů takové zpracování může vzhledem k okolnostem důvodně předpokládat - Zpracování osobních údajů pro účely přímého marketingu je považováno za zpracování prováděné z důvodu oprávněného zájmu. Přímý marketing zahrnuje nabízení produktů IN Cateringu, jíž je subjekt údajů klientem.

Naopak se právní základ oprávněného zájmu neuplatní na předávání osobních údajů třetím stranám za účelem zasílání marketingových sdělení, s kterými nemá subjekt údajů relevantní existující vztah, zde je potřeba souhlas subjektu údajů s tímto účelem zpracování. Subjekt údajů má právo vznést námitku proti zpracování osobních údajů pro účely přímého marketingu. Pokud tuto námitku vznese, nebudou již jeho osobní údaje pro tyto účely zpracovávány. Na toto právo je subjekt údajů IN Cateringem upozorněn.

Záznamy systému jsou uloženy a chráněny způsobem, jenž zajišťuje, že nejsou dostupné neoprávněným osobám.

Kamerové systémy, fyzická a IT bezpečnost -  Společnost může využívat bezpečnostní kamerové systémy. IN Catering využívá kamerovou ostrahu, a zpracovává osobní údaje ze záznamů z kamerových systémů k následujícím účelům:

  • Bezpečnost a ochrana budov a prostor patřících IN Cateringu, nebo v pronajatých prostorách

  • Ochrana majetku a osob v těchto budovách;

  • Ochrana dat;

  • Zajištění zájmů společnosti, bezpečnosti a zájmů zaměstnanců, klientů a třetích osob;

  • Prevence, odhalování a vyšetřování trestné činnosti nebo porušení vnitřních pravidel společnosti

IN Catering vždy zvažuje rozsah kamerové ostrahy, tak, aby nepokrýval větší prostor nebo větší množství osob než je vyžadováno pro výše uvedené účely.

Zpracování na základě souhlasu subjektu údajů

Souhlas je pouze jedním z právních základů zpracování osobních údajů. Souhlas se zpracováním osobních údajů je IN Cateringem vyžadován pouze v situacích, kdy není možné provádět zpracování osobních údajů na základě jiného právního základu.

IN Catering vyžaduje souhlas se zpracováním osobních údajů zejména pro:

  • Zpracování osobních údajů pro účely jiného než tzv. přímého marketingu

  • Zaznamenávání hovorů a elektronické komunikace za účelem hodnocení kvality poskytovaných služeb a její následné zvyšování a za účelem školení a koučování zaměstnanců;

  • Použití online sledovacích nástrojů (cookies, aplikace, gps).

Účely zpracování v IN Cateringu

IN Catering zpracovává osobní údaje a jejich kategorie pro účely vyplývající z její činnosti. IN Catering se zavazuje stanovit účely zpracování osobních údajů v souladu s právními předpisy a takto stanovené účely respektovat.

IN Catering zpracovává osobní údaje pro různé účely, jejichž obecný přehled je uveden dále, přičemž pro každý účel potřebuje právní základ zpracování osobních údajů. IN Catering může osobní údaje či kategorii osobních údajů zpracovávat pro různé účely. IN Catering stanoví již v okamžiku shromažďování nebo nakládání s osobními údaji konkrétní, jednoznačné a legitimní účely, pro které budou osobní údaje zpracovávány.

  • V souladu s principem minimalizace údajů IN Catering zpracovává osobní údaje pouze v rozsahu přiměřeném, relevantním a omezeném na to, co je nezbytné z hlediska účelů jejich zpracování.

  • IN Catering zpracovává osobní údaje výhradně na území České republiky a pro stanovený účel/účely. Pokud IN Catering zjistí, že potřebuje zpracovávat osobní údaje i pro jiné účely než jsou ty, pro které osobní údaje původně shromáždila, může tak učinit pouze, (i) pokud to umožněné právní předpis EU nebo ČR, (ii) byl-li k tomu udělen souhlas subjektu údajů, anebo (iii) je zpracování pro jiný účel slučitelné s účely, pro které byly osobní údaje shromážděny. V takovém případě IN Catering vždy mimo jiné zohlední jakoukoli vazbu mezi těmito účely, povahu osobních údajů (zejména, zda se nejedná o citlivé údaje), okolnosti, za nichž byly údaje shromážděny, možné důsledky zamýšleného dalšího zpracování pro subjekty údajů a existenci vhodných záruk.

 Před uvedeným dalším zpracováním IN Catering poskytne subjektu údajů informace o tomto jiném účelu a jeho právech, ledaže již subjekt údajů takové informace má.

IN Catering zpracovává osobní údaje zejména za následujícími účely:

1. Výkon obchodní činnosti a činností z ní vyplývajících. Výkon těchto činností zahrnuje:

  • Jednání o smluvním vztahu, které se týká kromě samotného uzavření obchodní smlouvy i přípravy modelací a návrhů;

  • Zjišťování potřeb a požadavků klienta a další údaje potřebné pro test vhodnosti; tyto údaje jsou nezbytné pro splnění zákonné povinnosti poskytnout doporučení, resp. radu zákazníkovi, aby se mohl řádně rozhodnout, zda sjedná, změní nebo zruší obchodní smlouvu

  • Plnění závazků z obchodní smlouvy, šetření stížností a reklamací, poskytování náhradních či doplňkových plnění apod.

  • Příprava statistik a ostatních nezbytných studií pro potřebu cenotvorby;

  • Hodnocení a řízení rizik daného klienta různými metodami zjišťování;

2. Plnění požadavků dozorových a jiných státních orgánů a plnění zákonných povinností vyplývajících ze zvláštních právních předpisů;

3. Ochrana práv a právem chráněných zájmů společnosti

4. Prevence a odhalování obchodních podvodů a jiných protiprávních jednání;

5. Interní potřeby společnosti, tedy vnitřní administrativní potřeby

6. Řízení lidských zdrojů, tedy:

  • Hodnocení uchazečů o zaměstnání a náborový proces;

  • Vznik, správa a ukončení pracovněprávních vztahů se zaměstnanci;

7. Vznik, správa a ukončení vztahů se zprostředkovateli a obchodními partnery;

8. Nabízení vlastních služeb (přímý marketing);

9. Oslovování potencionálních zákazníků;

10. Nabízení výrobků a služeb třetích stran a předávání osobních údajů třetím stranám (zejména v rámci skupiny podniků) pro tento účel;

11. Předávání osobních údajů v rámci skupiny podniků pro vnitřní administrativní účely, včetně zpracování osobních údajů zákazníků či zaměstnanců.

Specifická zpracování

Online komunikace

V případě, že si prohlížíte naše webové stránky nebo používáte mobilní aplikaci, zpracováváme údaje o průběhu tzv. elektronické cesty (tj. jak jste se na  naše stránky dostali). Prostřednictvím tzv. cookies, k jejichž užití jste udělil/a samostatný souhlas v souladu s platnou legislativou, uložíme ve Vašem zařízení informace (např. Vámi preferovaný jazyk, velikost písma nebo vyplněné údaje ve formuláři). Tyto informace usnadňují vzájemnou komunikace a pomáhají zkvalitnit naše online služby.

Telefonická komunikace

V případě telefonické komunikace náš společný hovor můžeme nahrát pouze s Vaším souhlasem. Po uplynutí jednoho měsíce je hovor buď smazán, nebo archivován společně s ostatními smluvními dokomenty. 

Propojení informací

Společnost IN Catering sdružuje informace o klientech v interním systému. Tyto informace budou propojeny také s Vašimi dalšími údaji, které jste nám poskytli již dříve. Tímto je zaručena aktuálnost všech dat.

Doba archivace osobních údajů může být v souladu se zákonem a archivačními a skartovacími pravidly společnosti IN Catering až 10 let.

Informace o bezpečnostních incidentech

Pokud by nastala situace ohrožující Vaše práva a svobody, budeme Vás o tom neprodleně informovat. Bezpečnostní incident Vám nemusíme oznámit, pokud (i) jsme zavedli náležitá technická a organizační opatření, díky nimž jsou Vaše osobní údaje nesrozumitelné pro třetí osoby;  (ii) jsme přijali následná opatření, která zajistí, že vysoké riziko se již pravděpodobně neprojeví; (iii) by to vyžadovalo nepřiměřené úsilí.

VÝTAH Z PŘÍRUČKY PRO PŘÍPRAVU MALÝCH A STŘEDNÍCH FIREM NA GDPR, VYDANÉ MINISTERSTVEM PRŮMYSLU A OBCHODU ZE DNE ( I. VYDÁNÍ, DUBEN 2018, ISBN: 978-80-906942-3-1)

Co znamená Váš souhlas se zpracováním osobních údajů

Souhlas je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen.

Souhlas je jedním z právních důvodů, na základě kterého může správce osobní údaje zpracovávat a nastupuje tehdy, pokud zpracování nelze podřadit pod účely, pro které není nutné souhlas vyžadovat.

Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát. 

Souhlas je odvolatelný. Nikoli vždy odvolání souhlasu znamená povinnost správce osobní údaje zlikvidovat, jelikož odvolání souhlasu se děje k určitému účelu, pro který jsou osobní údaje zpracovávány, přičemž správce může osobní údaje zpracovávat pro jiné účely, pro které využije jiný právní důvod zpracování než souhlas subjektu údajů. Jinými slovy, v případě odvolání souhlasu je správce povinen přestat zpracovávat osobní údaje pro účely definované v souhlasu. Pokud souhlas byl jediným právním důvodem zpracování, bude zpravidla následovat i likvidace osobních údajů.

V případě, kdy je zpracování nezbytné pro plnění smlouvy se subjektem údajů či k plnění právní povinnosti se souhlas se zpracováním osobních údajů nevyžaduje. Souhlas se nevyžaduje ani k dalším účelům zpracování, které jsou uvedeny výše (vyjma prvního bodu). V případě zpracování pro účely, které nelze podřadit pod výše uvedené účely, je nutné zpracování provádět na základě souhlasu subjektu údajů.

Souhlas subjektu údajů není vyžadován pro účely zpracování nezbytné např. pro dodání zboží v rámci objednávky v e-shopu nebo pro zpracování osobních údajů zaměstnanců pro pracovněprávní účely (pro plnění pracovní smlouvy či plnění zákonem stanovených povinností ze strany zaměstnavatele).

Jaké jsou podmínky udělení souhlasu se zpracováním osobních údajů?

Aby bylo možné dosáhnout svobodnosti, konkrétnosti, informovanosti a jednoznačnosti projevu vůle subjektu údajů, stanovuje obecné nařízení. Zásadní je tzv. odlišitelnost souhlasu, což znamená, že souhlas musí být odlišen od jiných skutečností, ke kterým se subjekt údajů vyjadřuje. Pro názornost, souhlas tak musí být oddělený např. od smlouvy či obchodních podmínek, resp. již není možné, aby byl jejich nedílnou součástí. Zároveň nesmí být uzavření smlouvy (např. na poskytnutí služby) podmiňováno poskytnutím souhlasu se zpracováním osobních údajů. Je však samozřejmé, že v závislosti na službě či výrobku bude správce muset zpracovávat (bez souhlasu) určité množství osobních údajů subjektu údajů právě pro účely plnění smlouvy či plnění zákonem stanovené povinnosti, což činí bez souhlasu subjektu údajů.

Odvolatelnost souhlasu

Subjekt údajů má právo svůj souhlas kdykoli odvolat, na což by měl být správce připraven, a to i na jeho další kroky s odvoláním souhlasu spojené (např. provedení likvidace osobních údajů). Odvoláním není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Je nutné si uvědomit, že souhlas byl dáván k určitým účelům a odvolání souhlasu nemusí vždy představovat pro správce povinnost osobní údaje zlikvidovat, ale bude představovat pro správce pouze povinnost přestat osobní údaje zpracovávat pro určitý účel, ke kterému byl souhlas udělen. Stejně tak i v případě, kdy správce použil souhlas pro případy, kdy mu svědčí jiný právní důvod zpracování osobních údajů, neznamená odvolání souhlasu (tedy úkonu, který nebyl nezbytný pro zpracování) povinnost osobní údaje zlikvidovat či je přestat zpracovávat např., pokud osobní údaje musí mít pro zákonem stanovené účely.

Současné souhlasy pro aplikaci obecného nařízení.

Obecné nařízení  předpokládá přechod souhlasu, avšak s podmínkou, že souhlas byl udělen způsobem a v souladu s podmínkami obecného nařízení. To bude pro mnoho správců problematické, jelikož jimi získávaný souhlas nebude splňovat podmínky stanovené v článku 7 obecného nařízení, například podmínku odlišitelnosti souhlasu (souhlas nesmí být neoddělitelnou součástí obchodních podmínek) či podmínku nepodmiňovat poskytnutí služby vyžadováním udělení souhlasu se zpracováním osobních údajů. Presumovaný souhlas, který někteří správci využívali (typicky v oblasti finančních služeb, velcí poskytovatelé energií či telefonní operátoři), nepřejde do použitelnosti obecného nařízení. Na  poskytování služeb to však nemůže mít žádný vliv. Případné vyžadování udělení nového souhlasu nesmí být prezentováno jako povinnosti pro subjekt údajů.

číst dál

© 2018 In Catering