ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ společnosti SMTC, a.s.
Vážení klienti, zaměstnanci, obchodní partneři, návštěvníci, dovolujeme si Vás prostřednictvím tohoto materiálu informovat, v jakém rozsahu, jakými způsoby a dle jakých principů společnost SMTC, a.s. zpracovává Vaše osobní údaje, tj. jaké jsou zásady zpracování osobních údajů společnosti SMTC, a.s., IČO 25261266, se sídlem Koutníkova 272/39, Plotiště nad Labem, 503 01 Hradec Králové, zapsané u Krajského soudu v Hradci Králové, spisová značka B, vložka 1554 (dále jako „správce“, „společnost“ nebo „SMTC“). SMTC prostřednictvím těchto zásad plní své povinnosti, vyplývající pro ni z nařízení EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně osobních údajů (dále jako „nařízení GDPR“), jakož i ze zákona č. 110/2019 Sb., o zpracování osobních údajů, v platném znění.
1. Výklady některých základních pojmů
- Osobní údaj – veškeré informace o identifikované nebo identifikovatelné fyzické osobě – identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
- Citlivý osobní údaj – osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zpracování genetických a biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
- Subjekt údajů – žijící fyzická osoba (nikoliv právnická osoba). Subjektem údajů SMTC rozumí své zaměstnance, klienty (členy klubu), obchodní partnery – podnikající fyzické osoby a návštěvníky klubu. Subjektem údajů není zesnulá fyzická osoba.
- Kategorie osobních údajů – osobní údaje se člení do různých kategorií, např.: popisné, identifikační (jméno, příjmení, datum narození, fotografie, apod.), kontaktní (adresa bydliště, telefon, e-mail), apod.
- Zpracování – zpracováním se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
- Správce osobních údajů – společnost SMTC, a.s.
- Souhlas se zpracováním – svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nijak nucen.
2. Správce osobních údajů
Správcem osobních údajů je společnost SMTC, a.s., IČO 25261266, se sídlem Koutníkova 272/39, Plotiště nad Labem, 503 01 Hradec Králové, zapsaná u Krajského soudu v Hradci Králové, spisová značka B, vložka 1554.
3. Kontaktní adresa správce
SMTC, a.s., IČO 25261266, se sídlem Koutníkova 272/39, Plotiště nad Labem, 503 01 Hradec Králové, e-mail info@smtc.cz, webové stránky SMTC: https://www.smtc.cz, sekce Ochrana osobních údajů.
4. Právní důvody zpracování
Společnost SMTC osobní údaje zpracovává vždy a výhradně pouze na základě některého z těchto právních důvodů (právních titulů):
- splnění právní povinnosti,
- plnění smlouvy,
- ochrana životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
- splnění úkolu prováděného ve veřejném zájmu,
- zpracování je nezbytné pro účely oprávněných zájmů společnosti SMTC či třetí strany,
- udělení souhlasu subjektu údajů se zpracováním osobních údajů.
Pouze zpracování, prováděného na základě jednoho z výše uvedených právních důvodů, je zákonné a v souladu s nařízením GDPR.
5. Zpracovávané osobní údaje společností SMTC
Společnosti SMTC zpracovává osobní údaje svých klientů, zaměstnanců, obchodních partnerů – fyzických osobo podnikatelů a případných návštěvníků společnosti SMTC.
5.1 Klienti společnosti SMTC:
5.1.1 Zpracovávané osobní údaje:
- identifikační – jméno, příjmení, datum narození, adresa bydliště,
- kontaktní – telefon, e-mail,
- potřebné pro reklamu a marketing – jméno, příjmení, telefon, e-mail, nároky na slevy,
- potřebné pro zajištěné ochrany života, zdraví a majetku klienta – fotografie, obrazové záznamy (kamerový systém).
5.1.2 Účely zpracování:
- uzavření smlouvy o poskytování služeb a naplňování jejího účelu, plnění zákonných povinností, reklama a propagace, zajištění dodávky zboží, zajištění logistiky evidence a vymáhání pohledávek.
5.1.3 Právní tituly:
- plnění smlouvy, splnění právní povinnosti, oprávněný zájem společnosti SMTC.
5.2 Zaměstnanci:
5.1.4 Zpracovávané osobní údaje:
- identifikační – jméno, příjmení, datum narození, adresa bydliště,
- kontaktní osobní údaje – telefon, e-mail.
5.1.5 Účely zpracování:
- uzavření obchodní smlouvy a naplňování jejího účelu, plnění zákonných povinností, reklama a propagace, evidence a vymáhání pohledávek.
5.1.6 Právní tituly:
- plnění smlouvy, splnění právní povinnosti, oprávněný zájem společnosti SMTC.
5.3 Obchodní partneři – fyzické osoby podnikatelé:
5.1.7 Zpracovávané osobní údaje:
- identifikační – jméno, příjmení, IČO, DIČ, sídlo,
- kontaktní osobní údaje – telefon, e-mail, webové stránky, platební údaje,
- pro marketingové a reklamní účely – jméno, příjmení, telefon, e-mail, údaje o dosavadní obchodní spolupráci.
5.1.8 Účely zpracování:
- uzavření obchodní smlouvy a naplňování jejího účelu, plnění zákonných povinností, reklama a propagace, evidence a vymáhání pohledávek.
5.1.9 Právní tituly:
- plnění smlouvy, splnění právní povinnosti, oprávněný zájem společnosti SMTC.
5.4 Návštěvy společnosti SMTC:
5.1.10 Zpracovávané osobní údaje:
- identifikační – záznamy z kamerového systému.
5.1.11 Účely zpracování:
- ochrana života, zdraví a majetku zaměstnanců, obchodních partnerů a návštěv, předcházení trestné činnosti.
5.1.12 Právní tituly:
- oprávněný zájem společnosti SMTC.
6. Předávání osobních údajů do zahraničí
Společnost SMTC nepředává osobních do ostatních členských států Evropské unie, ani do jakýchkoliv jiných států mimo Evropskou unii.
7. Sdílení zpracovávaných osobních údajů
SMTC osobní údaje subjektu údajů sdílí s jinými správci osobních údajů pouze v případě, že na základě právního předpisu mají stanovenu povinnost či jsou k tomu oprávněni nebo pokud k tomuto úkonu subjekt údajů udělil písemný souhlas.
7.1 Zákonná povinnost poskytovat osobní údaje
Zákonná povinnost poskytování osobních údajů se vztahuje především na tyto subjekty:
- státní instituce – Policie ČR, soudy, orgány činné v trestním řízení, orgány sociálního zabezpečení, Úřady práce, obecní úřady, apod.),
- exekutoři,
- insolvenční správci,
- zdravotní pojišťovny.
7.2 Třetí osoby, kterým jsou osobní údaje poskytovány
SMTC využívá externí poskytovatele služeb, kteří zajišťují zejména právní služby, správu pohledávek, účetnictví, výkaznictví, marketing a propagaci, IT, dopravu a logistiku. Aby tyto subjekty mohli plnit své účely a povinnosti, musí být jim být od společnosti SMTC předány určité osobní údaje zaměstnanců, klientů, obchodních partnerů či návštěv.
Výše uvedené subjekty jsou vždy společností SMTC prověřeni a poskytují dostatečné záruky s ohledem na důvěrnost a ochranu osobních údajů zaměstnanců, klientů, obchodních partnerů či návštěv. Se všemi těmito poskytovateli společnosti SMTC uzavřela písemné smlouvy o zpracování osobních údajů, v nichž se poskytovatelé zavázali k ochraně osobních údajů a dodržování standardů společnosti SMTC pro zabezpečení osobních údajů.
Jednotlivé právní normy stanoví, za jakých podmínek mohou tyto osoby žádat poskytnutí údajů a v jakém rozsahu.
7.3 Právní vztah se zpracovateli osobních údajů
Pro sdílení osobních údajů se zpracovateli osobních údajů není souhlas subjektu údajů vyžadován. Subjekty, které se mají stát zpracovateli osobních údajů, jsou smluvně (tzv. smlouvou o zpracování) zavázány tyto údaje náležitě chránit.
S každým subjektem, který by se v rámci své činnosti pro společnost SMTC mohl dostat do role zpracovatele osobních údajů, které společnost SMTC jakožto správce spravuje, je uzavřena písemná smlouva o zpracování osobních údajů a tento zpracovatel je s osobními údaji subjektu údajů oprávněn nakládat pouze v rozsahu nezbytně nutném pro splnění jeho úkolu, pro účely splnění jeho úkolu a po sjednanou dobu.
Zároveň je subjekt, vystupující v roli zpracovatele osobních údajů pro společnost SMTC, povinen osobním údajům poskytovat stejnou ochranu, jako společnost SMTC.
8. Zabezpečení zpracovávaných osobních údajů
Společnost SMTC dlouhodobě vyvíjí maximální možné úsilí k zajištění důvěrnosti, integrity a dostupnosti jí zpracovaných osobních údajů. Společnost SMTC zavedla a nadále udržuje a zdokonaluje vhodná technická, bezpečnostní a organizační opatření proti nezákonnému nebo neoprávněnému zpracování osobních údajů a proti náhodné ztrátě či poškození osobních údajů.
Přístup k osobním údajům mají pouze individuálně určené osoby, které jsou řádně proškoleny v oblasti problematiky zpracování a ochrany osobních údajů, a které jsou vázány zákonnou či smluvní mlčenlivostí.
9. Doba uložení zpracovávaných osobních údajů
Doba uchovávání (zpracování) osobních údajů ve společnosti SMTC se vztahuje k jednotlivým účelům zpracování a vyplývá ze zákonných povinností, smluvních vztahů, oprávněného zájmu, vědeckovýzkumné činnosti nebo uděleného souhlasu. Společnost SMTC vychází z těchto právních pramenů:
- nařízení GDPR,
- zákona č. 110/2019 Sb., o zpracování osobních údajů, v platném znění,
- zákona č. 563/1991 Sb., o účetnictví, v platném znění.
Osobní údaje, které společnost SMTC zpracovává na základě souhlasu subjektu pro stanovený účel, jsou zpracovávány po dobu, po kterou je souhlas platný, resp. do jeho odvolání.
V souladu se zásadou minimalizace dat je záměrem společnosti SMTC zpracovávat pouze ty osobní údaje, které společnost SMTC nezbytně potřebuje pro daný účel a jejich uchovávání je nastaveno tak, aby byly ponechány po nezbytně nutnou dobu k zajištění zájmů subjektu údajů nebo ochrany jeho práv či práv na ochranu zájmů společnosti SMTC. Jakmile daná doba uplyne nebo pozbyly důvody uchování, jsou osobní údaje vymazány, resp. anonymizovány.
10. Provozování kamerového systému
Společnost SMTC ve svých prostorách provozuje kamerový systém se záznamem. Místa snímaná kamerovým systémem jsou vždy označena piktogramem kamery s textem o provádění kamerového záznamu se záznamem, včetně kontaktu na společnost SMTC jakožto správce osobních údajů a telefonního kontaktu na další informace.
Zpracování osobních údajů prostřednictvím kamerových záznamů je ve společnosti SMTC prováděno výhradně za účelem ochrany života a zdraví zaměstnanců společnosti SMTC, klientů, obchodních partnerů, včetně případných třetích osob, a dále za účelem ochrany majetku společnosti SMTC a jejich zaměstnanců, včetně případných třetích osob.
Účelem zpracování osobních údajů je identifikace osob vstupujících do záběru kamer nebo monitorování procesů a dějů, a to zejména pro účely:
- zvýšení ochrany majetku (krádež, vloupání, vandalismus, přírodní pohromy, havárie),
- zvýšení bezpečnosti osob (napadení, loupež, krádež, jiná fyzická újma) ochrana života a zdraví osob.
Společnost SMTC a.s. provozuje v prostorách svého areálu vlastní kamerový systém čítající 45 kamer, které monitorují nepřetržitě vnější i vnitřní prostory areálu. Záznamy se uchovávají po dobu 5 kalendářních dnů, přičemž po uplynutí této doby se záznamy automaticky přemazávají. Režim kamer je nepřetržitý.
Výstupní monitory jsou osazeny ve všech kancelářích společnosti SMTC a.s. Disková jednotka s kontinuálně pořizovaným video-záznamem je pak uložena ve zvláštní zabezpečené místnosti sousedící s kancelářemi SMTC a případné zpracování monitorovaných dat smí provádět pouze pověřený pracovník společnosti.
Společnost SMTC provozuje kamerový systém tak, aby zpracování osobních údajů bylo co nejvíce minimalizované, tj. společnost SMTC:
- definovala počet a umístění kamer,
- zajistila individuální nastavení záběru kamer,
- definovala režim kamerového záznamu,
- zajistila deaktivování některých funkcí kamer a dalších součástí kamerového systému (pohyb/otáčení kamer, použití transfokátoru, rádiový přenos dat, pořizování zvukových záznamů, pořizování biometrických charakteristik),
- definovala dobu uložení kamerového záznamu (5 kalendářních dnů).
11. Práva vyplývající z nařízení GDPR
Zaměstnancům, klientům, obchodním partnerům – fyzickým osobám podnikatelům, případně třetím osobám společnosti SMTC náležejí ve smyslu ustanovení článků 12 až 21 nařízení GDPR níže uvedená práva. Pokud zaměstnanec tato práva vůči SMTC uplatní, je společnost SMTC povinna zaměstnancem uplatněná práva realizovat. Jedná se o tato práva:
11.1 Právo na informace
Základní právo subjektu údajů, naplňující zásadu transparentnosti zpracování osobních údajů, které subjektu údajů zaručuje řádnou informovanost o zpracování jeho osobních údajů.
11.2 Právo na přístup k osobním údajům
Subjekt údajů má právo získat od společnosti SMTC potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:
- účel zpracování,
- kategorie dotčených osobních údajů,
- příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích,
- plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby,
- existence práva požadovat od správce opravu nebo výmaz osobních údajů, týkajících se subjektu údajů nebo omezení jejich zpracování, anebo vznést námitku proti tomuto zpracování,
- právo podat stížnost u dozorového úřadu,
- veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
- skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v článku 22 odst. 1 a 4 nařízení GDPR, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
11.3 Právo na opravu a doplnění
Subjekt údajů má právo na to, aby společnost SMTC bez zbytečného odkladu opravila nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.
Pokud společnost SMTC tuto žádost subjektu údajů obdrží, je povinna vyvinout adekvátní činnost, aby žádost prověřila a případně toto právo vykonala ve formě opravy či doplnění.
Společnost SMTC není povinna aktivně vyhledávat nepřesné osobní údaje subjektu údajů.
11.4 Právo na výmaz („právo být zapomenut“)
Subjekt údajů má právo na to, aby správce (SMTC) bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají a správce (SMTC) má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
- osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
- subjekt údajů odvolá souhlas, na jehož základě byly údaje podle článku 6 odst. 1 písm. a) nebo článku 9 odst. 2 písm. a) nařízení GDPR zpracovány, a neexistuje žádný další právní důvod pro zpracování;
- subjekt údajů vznese námitky proti zpracování podle článku 21 odst. 1 nařízení GDPR a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle článku 21 odst. 2 nařízení GDPR;
- osobní údaje byly zpracovány protiprávně;
- osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;
- osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1. a 2. nařízení GDPR.
11.5 Právo na omezení zpracování
Subjekt údajů má právo na to, aby správce (SMTC) omezil zpracování, v kterémkoli z těchto případů:
- subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce (SMTC) mohl přesnost osobních údajů ověřit;
- zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
- správce (SMTC) již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
- subjekt údajů vznesl námitku proti zpracování podle článku 21 odst. 1 nařízení GDPR, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.
Omezením zpracování se rozumí označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu. Podstatným znakem omezení zpracování je dočasnost tohoto opatření (tím se liší od likvidace osobních údajů).
Příkladem uplatnění tohoto práva je situace, kdy z důvodu nepřesného zadání e-mailové adresy jsou např. výpisy o používání služby zasílány jiné osobě a tato osoba namítá nepřesnost osobních údajů (e-mailové adresy). Správce je povinen do doby, než se nepřesnost odstraní, omezit zpracování nepřesné e-mailové adresy a nezasílat nesprávnému příjemci údaje jiné fyzické osoby.
11.6 Právo na přenositelnost údajů
Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci (SMTC), ve strukturovaném, běžně používaném a strojově čitelném formátu (např. CSV, XML, JSON, ZIP, apod.) a právo předat tyto údaje jinému správci, aniž by tomu správce (SMTC), kterému byly osobní údaje poskytnuty, bránil. Toto právo subjektu údajů lze realizovat pouze za kumulativního splnění 2 podmínek:
- zpracování založeno na souhlasu nebo smlouvě
- a jedná se o automatizované zpracování.
11.7 Právo vznést námitku
Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, avšak jedině pokud je zpracování osobních údajů založeno na základě článku 6 odst. 1 nařízení GDPR:
- písmenu e. – zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
- písmenu f. – zpracování je nezbytné pro účely oprávněných zájmů správce (SMTC) či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě, včetně profilování založeného na těchto ustanoveních.
Správce (SMTC) osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
11.8 Právo odvolat souhlas se zpracováním osobních údajů
Subjekt údajů právo kdykoliv odvolat správci (SMTC) udělený souhlas se zpracováním jeho osobních údajů. Odvoláním není dotčena zákonnost zpracování osobních údajů vycházejícího ze souhlasu, který byl dán před jeho odvoláním, tj. nemá retroaktivní účinky.
V případě uplatnění tohoto práva je správce (SMTC) povinen od okamžiku přijetí odvolání souhlasu okamžitě přestat se zpracováním těch osobních údajů subjektu údajů, které na základě takového souhlasu dosud zpracovával.
11.9 Právo podat stížnost
Bude-li se subjekt údajů domnívat, že zpracováváním jeho osobních údajů ve společnosti SMTC dochází k porušení nařízení GDPR, má právo podat stížnost u dozorového úřadu, kterým je v České republice Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7, webové stránky https://www.uoou.cz, e-mail posta@uoou.cz, telefon +420 234 665 111 (Ústředna), případně u dozorového úřadu jiného členského státu.
Subjekt údajů může stížnost podat u dozorového úřadu v místě svého obvyklého bydliště nebo místě výkonu zaměstnání nebo v místě, kde došlo k údajnému porušení. V podobnostech viz webové stránky dozorového úřadu.
Na výše uvedená práva je SMTC povinna reagovat ve lhůtě do jednoho měsíce. Ve výjimečných případech je možné tuto lhůtu prodloužit, vždy však za neprodleného informování subjektu údajů.
Žádost může subjekt údajů podat jedním z těchto způsobů:
- písemně na adresu společnosti SMTC, a.s., Koutníkova 272/39, Plotiště nad Labem, 503 01 Hradec Králové,
- osobně v sídle společnosti SMTC, a.s.,
- elektronicky na e-mail info@smtc.cz či do datové schránky ID xyhgckx.
SMTC, a. s.