Ochrana soukromí
Zásady zpracování a ochrany osobních údajů
1. Informace o společnosti
1.1. Zásady zpracování a ochrany osobních údajů ve společnosti Aspena, s.r.o., IČ: 607 51 185, se sídlem Brno, Veveří, Gorkého 64/15, PSČ 602 00, zapsané v obchodním rejstříku pod sp. zn. C 19243, vedenou u Krajského soudu v Brně (dále jen „Společnost“), upravují pravidla pro nakládání s osobními údaji následujících fyzických osob (dále také „Subjekty“):
- návštěvníků webových stránek www.aspena.cz,
- zákazníků Společnosti,
- dodavatelů Společnosti,
- uchazečů o zaměstnání a zaměstnanců ve Společnosti,
- případných třetích osob.
1.2. Společnost postupuje při zpracování osobních údajů fyzických osob v souladu s Nařízením Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů – GDPR, dále také „Nařízení GDPR“), popř. v souladu s dalšími právními předpisy v oblasti ochrany osobních údajů.
1.3. Společnost působí při zpracování osobních údajů zásadně jako správce, který sám stanoví účely a prostředky zpracování osobních údajů fyzických osob nebo kterému jsou určité operace zpracování osobních údajů uloženy právním předpisem.
1.4. Společnost působí jako zpracovatel osobních údajů fyzických osob v případě, že zpracovává osobní údaje fyzických osob pro jiného správce podle jeho pokynů.
1.5. Společnost není povinna jmenovat pověřence pro ochranu osobních údajů.
1.6. Kontaktní údaje Společnosti: Aspena, s.r.o., Gorkého 64/15, 602 00 Brno, e‑mail: gdpr@aspena.cz.
2. Jaké zásady při zpracování Vašich osobních údajů dodržujeme?
2.1. Osobní údaje zpracováváme zákonným způsobem v souladu s Nařízením GDPR, a to na základě alespoň jednoho z právních titulů.
2.2. Osobní údaje zpracováváme pouze pro určité a legitimní účely. Dbáme na to, aby osobní údaje shromážděné k různým účelům byly uchovávány odděleně a nebyly bez dalšího využity pro jiné účely.
2.3. Osobní údaje zpracováváme přiměřeným způsobem, vždy pouze v nezbytném rozsahu vzhledem k danému účelu.
2.4. Osobní údaje uchováváme pouze po dobu nezbytně nutnou k dosažení daného účelu. Osobní údaje, u nichž uplynula zákonná lhůta k jejich uchovávání a které již nepotřebujeme, jsou bez zbytečného odkladu bezpečně zlikvidovány nebo anonymizovány.
2.5. Osobní údaje udržujeme přesné a v případě potřeby aktualizované. Máme nastavena vhodná opatření pro opravu nebo výmaz nepřesných osobních údajů.
2.6. Osobní údaje zpracováváme korektně a zcela transparentně. Subjekty osobních údajů, tedy fyzické osoby, jejichž osobní údaje získáme, vždy řádně informujeme v souladu s Nařízením GDPR zejména o tom, kdo jsme, za jakým účelem a z jakého právního titulu osobní údaje zpracováváme, jak dlouho je uchováváme a jaká práva mohou ve vztahu ke svým osobním údajům uplatňovat.
2.7. Osobní údaje náležitě zabezpečujeme před neoprávněným nebo protiprávním zpracováním a před náhodnou ztrátou, poškozením nebo zničením. Osobní údaje zpřístupňujeme pouze oprávněným osobám a institucím.
3. Jaké právní tituly při zpracování osobních údajů využíváme?
Při zpracování osobních údajů využíváme zejména následující právní důvody (právní tituly):
- plníme právní povinnost, která se na Společnost vztahuje, nebo
- plníme smlouvu, jejíž smluvní stranou je Subjekt údajů, nebo provádíme opatření přijatá před uzavřením smlouvy na žádost tohoto Subjektu údajů, nebo
- realizujeme oprávněný zájem Společnosti, nebo
- nelze‑li využít žádný z předcházejících právních titulů, požádáme o souhlas se zpracováním osobních údajů. Souhlas je možné kdykoli odvolat, odvolání souhlasu ovšem nepůsobí zpětně.
4. Jaké osobní údaje a za jakým účelem zpracováváme?
V souvislosti s poskytováním svých služeb zpracováváme za podmínek a v mezích stanovených platnou právní úpravou, zejména Nařízením GDPR a souvisejícími právními předpisy, zejména osobní údaje následujících Subjektů:
4.1. Osobní údaje poskytnuté potenciálními či stávajícími zákazníky Společnosti, obvykle v rozsahu identifikační a kontaktní údaje (např. jméno, příjmení, adresa, e‑mailová adresa, telefonní číslo, IČO, DIČ), ostatní provozní údaje (např. platební údaje, údaje získané plněním smlouvy):
- za účelem uzavření a následného plnění smlouvy se zákazníkem,
- za účelem plnění zákonných povinností dle příslušných právních předpisů (zejména účetnictví, finanční a daňové záležitosti),
- za účelem realizace oprávněných zájmů Společnosti (zejména přímý marketing, soudní i mimosoudní vymáhání pohledávek apod.).
4.2. Osobní údaje poskytnuté potenciálními či stávajícími dodavateli Společnosti, obvykle v rozsahu identifikační a kontaktní údaje (např. jméno, příjmení, adresa, e‑mailová adresa, telefonní číslo, IČO, DIČ), ostatní provozní údaje (např. platební údaje, údaje získané plněním smlouvy):
- za účelem uzavření a následného plnění smlouvy s dodavatelem,
- za účelem plnění zákonných povinností dle příslušných právních předpisů (zejména účetnictví, finanční a daňové záležitosti),
- za účelem realizace oprávněných zájmů Společnosti (zejména přímý marketing, soudní i mimosoudní vymáhání pohledávek apod.).
4.3. Osobní údaje poskytnuté uchazečem o zaměstnání ve Společnosti, obvykle v rozsahu identifikační a kontaktní údaje (např. jméno, příjmení, datum narození, RČ, adresa, telefonní číslo, e‑mailová adresa), a dále ostatní provozní údaje nezbytné vzhledem k dané pracovní pozici (např. dosažené vzdělání a praxe, potvrzení o způsobilosti k práci):
- za účelem realizace výběrového řízení na příslušnou pracovní pozici,
- za účelem vedení v evidenci kandidátů na jiné pracovní pozice ve Společnosti po omezenou dobu.
4.4. Rozsah a účely zpracování osobních údajů zaměstnanců Společnosti jsou upraveny samostatně.
4.5. Údaje poskytnuté návštěvníky webových stránek v podobě ukládání cookies, které obsahují informace o návštěvě webových stránek a další aktivitě návštěvníka na webových stránkách. Společnost k tomuto účelu využívá nástroj Google Analytics s anonymizací dat a není schopna identifikovat jednotlivé návštěvníky webových stránek. Získané informace jsou proto údaji anonymními a nejedná se o zpracování osobních údajů podléhající Nařízení GDPR.
4.6. Zvláštní kategorie osobních údajů zákazníků či dodavatelů (citlivé údaje) Společnost nezpracovává.
5. Jak dlouho budeme zpracovávat osobní údaje?
5.1. Osobní údaje budeme zpracovávat pouze po dobu nezbytně nutnou k dosažení účelu, pro který byly získány – například od okamžiku poskytnutí osobních údajů zákazníkem v rámci předsmluvních ujednání se Společností, po dobu trvání smluvního vztahu až do okamžiku ukončení smluvních závazků, resp. do uplynutí posledního z právních důvodů (právních titulů), které Společnost ke zpracování opravňovaly.
5.2. Jakmile pomine účel zpracování či Společnost nebude disponovat žádným právním důvodem pro další zpracování osobních údajů, osobní údaje budou bezpečně vymazány a zlikvidovány.
6. Komu můžeme předat osobní údaje?
Společnost si vyhrazuje právo poskytnout osobní údaje:
- dodavatelům, kteří na základě zpracovatelské smlouvy poskytují Společnosti účetní, IT, personální a marketingové služby,
- dodavatelům, kteří na základě zpracovatelské smlouvy poskytují Společnosti služby v oblasti překladů, tlumočení a grafického zpracování dat,
- státním orgánům a jiným orgánům veřejné správy na základě zákonné povinnosti poskytnout tyto osobní údaje.
7. Jaká máte práva ke svým osobním údajům?
7.1. V souladu se zásadou transparentnosti máte právo na informace o zpracování Vašich osobních údajů. Společnost poskytuje informace o zpracování osobních údajů bez žádosti formou informačních oznámení pro jednotlivé skupiny Subjektů a tato informační povinnost zahrnuje zejména údaje o tom, kdo jsme, za jakým účelem, z jakého právního titulu a po jak dlouhou dobu budeme osobní údaje zpracovávat, dále komu hodláme osobní údaje předávat a jaká práva můžete ve vztahu ke svým osobním údajům uplatnit. Obecné informace o činnostech zpracování osobních údajů jsou rovněž obsaženy v těchto zásadách. Úplný výčet poskytovaných informací najdete v ustanovení čl. 13 a 14 Nařízení GDPR.
7.2. Další práva dle ustanovení čl. 15–22 Nařízení GDPR můžete uplatnit formou žádosti, a to:
- Právo na potvrzení, zda jsou či nejsou ze strany Společnosti Vaše osobní údaje zpracovávány, a pokud zpracovávány jsou, máte právo získat ke svým osobním údajům přístup včetně poskytnutí dalších informací o jejich zpracování.
- Právo na opravu nepřesných osobních údajů, případně s přihlédnutím k účelům zpracování, právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.
- Právo na výmaz osobních údajů, pokud již Vaše osobní údaje nejsou dále potřebné pro účel zpracování, odvolali jste souhlas k jejich zpracovávání, vznesli námitku proti zpracování osobních údajů a neexistují žádné převažující oprávněné důvody pro zpracování.
- Právo na omezení zpracování osobních údajů, pokud jste vznesli námitku nebo popíráte přesnost osobních údajů, a to na dobu nezbytnou k ověření správnosti osobních údajů, dále pokud Společnost již Vaše osobní údaje dále nepotřebuje pro účel zpracování, ale Vy je požadujete pro určení, výkon nebo obhajobu právních nároků.
- Právo na přenositelnost automatizovaně zpracovávaných osobních údajů získaných Společností přímo od Vás na základě souhlasu nebo plnění smlouvy, kdy Společnost předá osobní údaje Vám nebo jinému správci dle Vaší volby v běžně používaném a strojově čitelném formátu.
- Právo vznést námitku proti zpracování Vašich osobních údajů, pokud je zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřena Společnost, zpracování je nezbytné pro účely oprávněných zájmů Společnosti či třetí strany, pro účely přímého marketingu anebo pro účely vědeckého či historického výzkumu nebo pro statistické účely.
- Právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování s právními účinky pro Subjekt, v opačném případě máte právo na lidský zásah ze strany Společnosti (přezkoumání rozhodnutí člověkem), právo vyjádřit svůj názor nebo právo napadnout rozhodnutí.
7.3. Je‑li zpracování osobních údajů založeno na souhlasu, máte právo souhlas kdykoli odvolat písemnou formou na adrese Společnosti nebo elektronicky na e‑mailu gdpr@aspena.cz. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu před jeho odvoláním.
7.4. Mimo výše uvedená oprávnění máte právo podat stížnost u příslušného dozorového úřadu, pokud se domníváte, že zpracování osobních údajů ze strany Společnosti je v rozporu s právními předpisy. Příslušným dozorovým úřadem je v České republice Úřad pro ochranu osobních údajů.
8. Jak chráníme osobní údaje?
8.1. Nakládání s osobními údaji probíhá plně v souladu s platnými právními předpisy, včetně Nařízení GDPR. Osobní údaje Subjektů jsou ze strany Společnosti zabezpečeny prostřednictvím nastavených organizačních a technických opatření.
8.2. Veškeré osobní údaje v listinné formě jsou uloženy na uzamčených místech, kam mají přístup pouze oprávněné osoby, které potřebují s osobními údaji bezprostředně nakládat pro účely uvedené v těchto zásadách, a to pouze v nezbytném rozsahu. Přístup k těmto osobním údajům je chráněn pomocí fyzických a elektronických prostředků zabezpečení.
8.3. Veškeré osobní údaje v elektronické formě jsou uloženy v databázích a systémech, k nimž mají přístup pouze oprávněné osoby, které potřebují s osobními údaji bezprostředně nakládat pro účely uvedené v těchto zásadách, a to pouze v nezbytném rozsahu. Přístup k těmto osobním údajům je chráněn pomocí fyzických a elektronických prostředků zabezpečení výpočetní techniky.
8.4. Zaměstnanci a dodavatelé Společnosti, kteří zpracovávají osobní údaje, jsou povinni zachovávat mlčenlivost o osobních údajích Subjektů a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Tato mlčenlivost trvá i po skončení závazkových vztahů se Společností.
9. Máte další dotazy?
S případnými dotazy v souvislosti s ochranou svých osobních údajů a jejich zpracováním ve Společnosti, jakož i za účelem uplatnění svých práv, se můžete obracet na e‑mail gdpr@aspena.cz.
10. Účinnost
Tyto zásady zpracování a ochrany osobních údajů ve Společnosti nabývají účinnosti dnem 25. 5. 2018.