Zásady ochrany a zpracování osobních údajů

Zajištění informační povinnosti správce osobních údajů

Zásady ochrany a zpracování osobních údajů firmy DSP Přerov, spol. s r.o., se sídlem Kojetínská 2900/51, Přerov I-Město, 750 02 Přerov, IČ: 25823558, zaps. u KS v Ostravě, oddíl C, vložka 19533, (dále jen „společnost“) jsou vydány v souladu se zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů a s Nařízením Evropského Parlamentu a Rady č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů („nařízení“ nebo „GDPR“) za účelem zajištění informační povinnosti správce osobních údajů dle čl. 13 GDPR. Zpracování osobních údajů ve Společnosti musí být prováděno takovým způsobem, aby byla zajištěna co možná nejvyšší míra informovanosti subjektů údajů.

Rozsah a kategorie osobních údajů

Společností (jako správcem osobních údajů) může dojít za splnění níže uvedených podmínek ke zpracování následujících kategorií osobních údajů.

1. Osobní identifikační údaje a adresní údaje

Takovými údaji jsou zejména titul, jméno a příjmení, adresa trvalého pobytu, adresa sídla nebo místa podnikání, název obchodní firmy, datum narození, rodné číslo, IČ, DIČ, fakturační adresa, čísla předložených identifikačních dokladů a jejich kopie (veškeré údaje, které nelze kopírovat, jsou na kopiích dokladů začerněny), bankovní spojení, podpis.

2. Kontaktní údaje

Takovými údaji jsou zejména kontaktní e-mail, telefonní číslo.

3. Ostatní údaje

Jsou to zejména údaje, které subjekt osobních údajů poskytne správci osobních údajů na základě souhlasu, údaje dostupné z regulérně provozovaných registrů.

4. Provozní údaje

Jedná se o údaje zpracovávané zejména pro mzdovou agendu a pracovněprávní agendu, pro řešení případných sporů plynoucích z konkrétních kontraktů, údaje vznikající při přímé komunikaci mezi společností a subjektem údajů a pro potřeby účtování a plnění zákonných povinností společnosti. U případných kopií dokumentů jsou veškeré údaje, které nelze kopírovat, na kopiích dokladů začerněny.

5. Údaje zpracované na základě souhlasu subjektu údajů

Jedná se o zpracování osobních údajů, které není nezbytně nutné k plnění smlouvy, zákonných povinností správce či ochranu oprávněných zájmů správce. Účelem jejich zpracování, zvláště pak při zpracování na základě případného Souhlasu pro obchodní účely, je zlepšení, zrychlení a zvýšení kvality vzájemné komunikace a spolupráce. Tyto údaje jsou zpracovány jen v případě udělení souhlasu a mohou být zpracovány jen po dobu platnosti tohoto souhlasu. Udělení souhlasu je kdykoliv odvolatelné.

6. Kamerový systém

Za účelem ochrany vlastního majetku a výlučně z bezpečnostních důvodů může společnost používat kamerový systém. Provozování kamerového systému podléhá přísně stanoveným pravidlům a je prováděno pouze v nezbytně nutném rozsahu tak, aby nadměrně nezasahovalo do soukromí osob. Toto případné zpracování osobních údajů je nezbytné pro účely ochrany oprávněných zájmů správce a proto ke zpracování těchto osobních údajů správce nepotřebuje souhlas daného subjektu údajů.

7. Biometrické údaje

Takovými údaji jsou údaje technického charakteru zpracování fyzických či fyziologických znaků fyzické osoby, které umožňují jedinečnou identifikaci. Případné zpracování biometrických údajů se týká vlastnoručního podpisu.

8. Cookies

S nezbytnými funkčními cookies může správce osobních údajů pracovat na základě právních předpisů. S případnými analytickými a marketingovými a preferenčními cookies může správce osobních údajů pracovat jen na základě souhlasu subjektu osobních údajů. Používá-li správce osobních údajů při zpracování cookies nástroje poskytované třetími stranami, jejich poskytovatelé jsou v pozici zpracovatelů osobních údajů.

9. Citlivé údaje

Správce osobních údajů zpracovává v nezbytné míře pouze zdravotní údaje ohledně zdravotní způsobilosti a zdravotního stavu subjektů osobních údajů jako zaměstnanců společnosti, zejména s ohledem na hygienické předpisy a BOZP.

Správce nezpracovává citlivé osobní údaje (čl. 9 Nařízení) jako údaje o rasovém a etnickém původu, politických názorech, náboženském vyznání, filozofickém přesvědčení, členství v odborech, genetické údaje apod.

10. Lokační údaje

Případné zpracování lokačních údajů (pouze ve vztahu ke svým zaměstnancům) by správce mohl stanovit ve své Interní směrnici.

Zdroje osobních údajů

Osobní údaje poskytuje subjekt osobních údajů správci osobních údajů pro stanovené účely na základě právních důvodů zpracování včetně souhlasu. Zdrojem osobních údajů jsou pro stanovené účely v nezbytné míře i údaje dostupné z regulérně provozovaných registrů, zejména obchodní rejstřík, živnostenský rejstřík, insolvenční rejstřík a centrální evidence exekucí.

Účely a právní důvody zpracování osobních údajů

Od účelu zpracování se odvíjí rozsah zpracovávaných údajů. Pro některé účely je možné zpracovávat údaje přímo na základě smlouvy nebo oprávněného zájmu správce či na základě zákona, a to vše bez souhlasu subjektu osobních údajů. Pro jiné účely může dojít ke zpracování osobních údajů pouze na základě souhlasu.

1. Zpracovávání z důvodu plnění smlouvy, plnění zákonných povinností a z důvodu oprávněných zájmů správce

Poskytnutí osobních údajů nutných pro plnění smlouvy, plnění zákonných povinností správce, , je povinné. Bez poskytnutí osobních údajů k těmto účelům by nebylo možné provádět kontraktaci, poskytovat služby ani řádně plnit zákonné povinnosti. Zpracování z důvodu plnění smlouvy a plnění zákonných povinností nelze odmítnout.

Jedná se zejména o tyto dílčí účely: plnění účetních a daňových povinností (plnění zákonných povinností), vyúčtování (plnění smlouvy), vymáhání pohledávek a ostatní zákaznické spory (oprávněný zájem), ochrana a správa majetku, zejména vedení evidencí, které je správce osobních údajů povinen vést k prokázání daňové uznatelnosti výdajů (oprávněný zájem), ochrana života a zdraví (oprávněný zájem), zajištění důkazů pro případ nutnosti obhajoby práv správce osobních údajů (oprávněný zájem), účely stanovené zvláštními zákony pro potřeby přestupkového, správního řízení, trestního řízení apod. a pro naplnění povinnosti součinnosti se státními orgány České republiky včetně Policie České republiky (plnění zákonných povinností).

2. Zpracovávání údajů na základě souhlasu subjektu údajů

Správce se souhlasem subjektu údajů může zpracovávat některé údaje nad rámec nutný k plnění smlouvy a taktéž pro obchodní účely, a to na základě Souhlasu pro obchodní účely, a to pro vytvoření vhodné nabídky služeb a produktů společnosti, pro zlepšení kvality služeb a pro případné zrychlení a zlepšení úrovně komunikace. Správce provádí pro tyto účely pouze nezbytně nutné zpracování. Poskytnutí souhlasu je dobrovolné a kdykoli odvolatelné. Pokud subjekt údajů svůj souhlas odvolá, není tím dotčeno zpracování jeho osobních údajů ze strany správce pro jiné účely a na základě jiných právních titulů, v souladu s těmito Zásadami ochrany a zpracování osobních údajů. Obchodní sdělení lze zasílat jednak na kontakty klientů z titulu oprávněného zájmu společnosti a to jen do doby vyslovení případného nesouhlasu klienta. Nebo na základě výslovného souhlasu se zpracováním osobních údajů pro obchodní účely. V případných zaslaných obchodních sděleních je odkaz na kontakt pro odmítnutí zasílání těchto sdělení.

Doby zpracování osobních údajů, lhůty

Osobní údaje pro činnosti správce jsou zpracovány v rozsahu nutném pro naplnění těchto činností a po dobu nutnou k jejich dosažení nebo po dobu přímo stanovenou právními předpisy. Poté jsou osobní údaje vymazány, likvidovány v řádných lhůtách.

U klientů správce je společnost oprávněna v případě, že mají splněny veškeré své závazky vůči ní, zpracovávat v databázi klientů jejich základní osobní, identifikační, adresní, kontaktní údaje i ostatní a provozní údaje po dobu 5 let ode dne ukončení poslední smlouvy se společností.

Jsou-li vystavovány správcem údajů faktury dle zákona o dani z přidané hodnoty, jsou v souladu s § 35 zákona č. 235/2004 Sb., o dani z přidané hodnoty archivovány po dobu 10 let od jejich vystavení. Z důvodu nutnosti doložit právní důvod pro vystavení faktur jsou návazně po dobu 10 let ode dne ukončení smlouvy archivovány i příslušné smlouvy.

Případné záznamy pořízené kamerovým systémem jsou průběžně mazány z příslušného datového úložiště, kdy dochází k nahrazení těchto dat aktuálně pořizovaným záznamem. Delší doba archivace záznamů z kamerového systému je přípustná pouze tehdy, vyplynulo-li by ze záznamů, že došlo k protiprávnímu zásahu do majetku či jiných práv a chráněných zájmů společnosti.

Režim osobních údajů poskytnutých v rámci jednání, které nevedlo k uzavření smlouvy

V případě jednání mezi společností a potenciálním zájemcem o uzavření smlouvy, které nebylo zakončeno uzavřením smlouvy, je společnost oprávněna zpracovávat poskytnuté osobní údaje po dobu 3 měsíců od ukončení příslušného jednání.

Ostatní příjemci osobních údajů

Společnost při plnění svých závazků a povinností ze smluv využívá odborné služby jiných subjektů. Pokud tito dodavatelé zpracovávají osobní údaje předané od společnosti, mají postavení zpracovatelů osobních údajů. Zpracovávají osobní údaje pouze v rámci pokynů udělených společností. Může jít zejména o činnost daňového poradce, správce IT systému apod.

Se všemi takovými subjekty uzavírá správce smlouvu o zpracování osobních údajů, ve které má zpracovatel stanoveny povinnosti k ochraně a zabezpečení osobních údajů, včetně povinnosti hlášení bezpečnostních incidentů. Vše odpovídající evropskému standardu.

Společnost

v rámci plnění svých zákonných povinností předává osobní údaje správním orgánům a úřadům stanoveným platnou legislativou.

Pro realizaci své činnosti využívá správce osobních údajů spolupráci s externími partnery, kteří mohou být v postavení správce osobních údajů nebo/i zpracovatele osobních údajů. Těmto subjektům může správce osobních údajů předávat osobní údaje pouze v nezbytně nutném rozsahu, určeném účelem dané agendy a po předchozím prověření zajištění ochrany osobních údajů na úrovni evropských standardů ze strany těchto subjektů.

Kategorie zpracovatelů, správců a dalších příjemců osobních údajů

Správce osobních údajů vede aktuální seznam jednotlivých kategorií zpracovatelů, správců a dalších příjemců osobních údajů, u kterých může dojít ke zpracování osobních údajů subjektů údajů. Může se jednat zejména o poskytovatele účetních, daňových, finančních a právních služeb a poradenství, IT služeb, servisních a technických služeb, poštovních služeb, případné zplnomocněné subjekty a orgány státní správy.

Předávání osobních údajů

Písemnosti a jiné listiny obsahující osobní údaje subjektů osobních údajů, mohou být předávány pouze schváleným externím zpracovatelům, orgánům státní správy, a jiným schváleným správcům, a to pouze za podmínek uvedených v těchto Zásadách ochrany a zpracování osobních údajů.

Předávání osobních údajů do jiných států v rámci EU

Správce nepředává osobní údaje do další země v rámci EU.

Předávání osobních údajů do třetích zemí

Správce nepředává osobní údaje do třetí země ani mezinárodní organizaci mimo rámec EU.

Způsoby zpracování osobních údajů

Společnost zpracovává osobní údaje manuálním způsobem i automatizovaně a vede řádnou evidenci takových činností, při kterých dochází ke zpracování osobních údajů.

Informace o právech subjektů údajů

Správce osobních údajů dbá na plnění informačních povinností vůči subjektům údajům. Zejména dbá na plnění informační povinnosti vůči subjektům dle článku 12, 13 a  14 Nařízení. Agendu plnění informační povinnosti vůči subjektům údajů má na starosti odpovědná osoba.

1. Právo na přístup k osobním údajům

Dle čl. 15 GDPR bude mít subjekt údajů právo na přístup k osobním údajům, které zahrnuje jednak právo získat od společnosti potvrzení o zpracování osobních údajů, právo na informace o účelech zpracování, kategoriích osobních údajů, jež jsou zpracovávány. Dále pak o příjemcích, kterým jsou osobní údaje zpřístupňovány a o době zpracování. Dále má subjekt údajů právo požadovat od správce opravu nebo výmaz osobních údajů týkajících, se subjektu údajů nebo omezení jejich zpracování nebo vznést námitku proti tomuto zpracování. Může si vyžádat kopii osobních údajů, přičemž v případě opakované žádosti bude společnost oprávněna za kopii osobních údajů účtovat přiměřený poplatek.

2. Právo na opravu

Dle čl. 16 GDPR bude mít subjekt údajů právo na opravu nepřesných osobních údajů, které o něm bude společnost zpracovávat. Subjekt osobních údajů má tak adekvátní povinnost oznamovat změny svých osobních údajů a doložit, že k takové změně došlo.

3. Právo na výmaz

Dle čl. 17 GDPR má subjekt údajů právo na výmaz osobních údajů, které se ho týkají, pokud společnost neprokáže oprávněné důvody pro zpracování těchto osobních údajů. Společnost má nastaveny mechanismy pro výmaz osobních údajů, kdy pominul účel, jež určoval rozsah a parametry zpracování osobních údajů.

4. Právo na omezení zpracování

Dle čl. 18 GDPR má subjekt údajů do doby vyřešení podnětu právo na omezení zpracování, pokud bude popírat přesnost osobních údajů, důvody jejich zpracování nebo pokud podá námitku proti jejich zpracování.

5. Právo na oznámení opravy, výmazu nebo omezení zpracování

Subjekt údajů má také dle čl. 19 GDPR právo na oznámení ze strany společnosti v případě opravy, výmazu nebo omezení zpracování osobních údajů.

6. Právo na přenositelnost osobních údajů

Čl. 20 GDPR přiznává subjektu údajů právo na přenositelnost údajů, které se ho týkají a které poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo požádat společnost o předání těchto údajů jinému správci. Žádosti nelze vyhovět, pokud by v konkrétním případě mohlo dojít k negativnímu dotčení práv a svobod třetích subjektů.

7. Právo vznést námitku proti zpracování osobních údajů

Dle čl. 21 GDPR má subjekt údajů právo vznést námitku proti zpracování jeho osobních údajů z důvodu oprávněného zájmu společnosti. Je na společnosti, aby prokázala existenci oprávněného důvodu pro zpracování, který převažuje nad zájmy nebo právy a svobodami subjektu údajů. V opačném případě společnost zpracování na základě námitky ukončí bez zbytečného odkladu.

8. Právo na odvolání souhlasu se zpracováním osobních údajů

Souhlas se zpracováním osobních údajů je kdykoli odvolatelný. Odvolání souhlasu je možné kdykoli, a to stejně jednoduchou formou, jakou byl udělen.

9. Právo nebýt předmětem automatizovaného rozhodování založeného výhradně na automatizovaném zpracování

Subjekt osobních údajů má právo nebýt předmětem rozhodování, založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro subjekt osobních údajů právní účinky.

Automatizované rozhodování

Společnost neprovádí automatizované rozhodování.

Profilování

Společnost neprovádí žádné profilování, jehož předmětem by byly citlivé osobní údaje nebo na základě kterého by prováděla automatizované rozhodování.

Právo obrátit se na Úřad pro ochranu osobních údajů

Subjekt údajů má právo obrátit se na Úřad pro ochranu osobních údajů www.UOOU.cz

Kontakt na osobu pro vedení agendy ochrany osobních údajů společnosti:

E-mail: hetychova@dspprerov.cz,  adresa správce osobních údajů (sídlo společnosti):

DSP Přerov, spol. s r.o., Kojetínská 2900/51, 750 02 Přerov I-Město

Odpovědná osoba je povinna skrze výše uvedené kontakty vyřizovat žádosti subjektů osobních údajů týkající se zpracování osobních údajů. Zejména je odpovědná osoba povinna vyřizovat žádosti subjektů údajů o poskytnutí informací (dle článku 12-14 Nařízení), žádosti na přístup k osobním údajům (dle článku 15 Nařízení), žádosti na opravu a výmaz (dle článku 16 a 17 Nařízení), žádosti na omezení zpracování (dle článku 18 Nařízení) a žádosti na přenositelnost osobních údajů (dle článku 20 Nařízení).

Tyto Zásady ochrany a zpracování osobních údajů nabývají účinnosti dnem zveřejnění, tj. 10. 6. 2025.