Prohlášení o zpracování osobních údajů

Prohlášení o zpracování osobních údajů dle nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a poučení subjektů údajů (dále jen „GDPR“)

Správce osobních údajů: Legito s. r. o., IČO: 02649659, sídlo: Pod Lipami 19, Zeměchy, 278 01 Kralupy nad Vltavou, Vás tímto v souladu s čl. 12 GDPR informuje o zpracování Vašich osobních údajů a o Vašich právech.

Rozsah zpracování osobních údajů

Osobní údaje jsou zpracovány v rozsahu, v jakém je příslušný subjekt údajů správci poskytl, a to v souvislosti s uzavřením smluvního či jiného právního vztahu se správcem, nebo které správce shromáždil jinak a zpracovává je v souladu s platnými právními předpisy či k plnění zákonných povinností správce.

Zdroje osobních údajů

  • přímo od subjektů údajů (e-maily, telefon, webové stránky, kontaktní formulář na webu, vizitky aj.),
  • veřejně přístupné rejstříky, seznamy a evidence (např. obchodní rejstřík, živnostenský rejstřík, katastr nemovitostí, apod.) za účelem vytváření účetních dokladů a kontroly správnosti informací

Kategorie osobních údajů, které jsou předmětem zpracování

  • adresní a identifikační údaje sloužící k jednoznačné a nezaměnitelné identifikaci subjektu údajů (např. jméno, příjmení, titul, příp. rodné číslo, datum narození, adresa trvalého pobytu, IČ, DIČ) a údaje umožňující kontakt se subjektem údajů (kontaktní údaje – např. kontaktní adresa, číslo telefonu, e-mailová adresa a jiné obdobné informace)
  • popisné údaje (např. bankovní spojení)
  • další údaje nezbytné pro plnění smlouvy
  • údaje poskytnuté nad rámec příslušných zákonů zpracovávané v rámci uděleného souhlasu ze strany subjektu údajů (zpracování fotografií, použití osobních údajů za účelem personálních řízení, za účelem posílání obchodních sdělení či informačních sdělení aj.)

Kategorie subjektů údajů

  • klient správce
  • zaměstnanec správce
  • dodavatel služby
  • jiná osoba, které je ve smluvním vztahu ke správci
  • uchazeč o zaměstnání

Kategorie příjemců osobních údajů

Správce nemá v úmyslu předat osobní údaje do třetí země mimo EU, správce má právo pověřit zpracováním osobních údajů zpracovatele, který se správcem uzavřel zpracovatelskou smlouvu a poskytuje dostatečné záruky ochrany Vašich osobních údajů. V opačném případě budou subjekty údajů o tomto předání bezvýhradně informovány. Kategorie příjemců tedy jsou:

  • finanční ústavy
  • veřejné ústavy
  • zpracovatel
  • státní a jiné orgány v rámci plnění zákonných povinností stanovených příslušnými právními předpisy

Účel zpracování osobních údajů

  • účely obsažené v rámci souhlasu subjektu údajů
  • jednání o smluvním vztahu
  • plnění smlouvy
  • ochrana práv správce, příjemce nebo jiných dotčených osob
  • archivnictví vedené na základě zákona
  • výběrová řízení na vypsané pracovní pozice
  • plnění zákonných povinností ze strany správce
  • ochrana životně důležitých zájmů subjektu údajů
  • předání obchodních sdělení či jiných informací v případě oprávněných zájmů správce

Způsob zpracování a ochrany osobních údajů

Zpracování osobních údajů provádí správce. Zpracování je prováděno v jeho provozovnách, pobočkách a sídle správce jednotlivými pověřenými zaměstnanci správce, příp. zpracovatelem. Ke zpracování dochází za dodržení všech bezpečnostních zásad pro správu a zpracování osobních údajů. Za tímto účelem přijal správce technické, organizační a právní opatření k zajištění ochrany osobních údajů, zejména opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Veškeré subjekty, kterým mohou být osobní údaje zpřístupněny, respektují právo subjektů údajů na ochranu soukromí a svobod a jsou povinny postupovat dle platných právních předpisů týkajících se ochrany osobních údajů.

Doba zpracování osobních údajů

V souladu se lhůtami uvedenými v příslušných smlouvách a souhlasech, lhůtami předepsanými pro nakládání v případě oprávněných zájmů správce či třetí strany, v příslušných právních předpisech jde o dobu nezbytně nutnou k zajištění práv a povinností plynoucích jak ze závazkového vztahu, tak i z příslušných právních předpisů.

Poučení

Správce zpracovává údaje se souhlasem subjektu údajů s výjimkou zákonem stanovených případů, kdy zpracování osobních údajů nevyžaduje souhlas subjektu údajů, tedy když pro účel zpracování existuje jiný právní základ. V souladu se čl. 6 odst. 1 GDPR může správce bez souhlasu subjektu údajů zpracovávat tyto údaje:

  • zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
  • zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.

Směrnice o ochraně osobních údajů

Čl. 1

Předmět směrnice

1.    Cílem této směrnice o ochraně osobních údajů (dále jen „Směrnice“) je stanovení vnitřních pravidel za účelem zajištění ochrany osobních údajů při činnostech vykonávaných společností Legito s.r.o., IČO: 02649659, sídlo: Pod Lipami 19, Zeměchy, 278 01 Kralupy nad Vltavou (dále jen „Společnost“).

2.    Odpovědným za správné provádění postupů uvedených v této Směrnici je jednatel Společnosti, tj. v době vydání této směrnice pan Ondřej Materna.

3.    Ustanovení této Směrnice jsou závazná pro všechny zaměstnance Společnosti, kteří nakládají s osobními údaji na základě uzavřené smlouvy nebo jiného právního vztahu se Společností.

Čl. 2

Osobní údaje a jejich zpracovávání pověřenými osobami

1.    Zpracovávat osobní údaje a seznamovat se s nimi mohou v rozsahu podle následujících ustanovení pouze pověřené osoby, kterými jsou všechny osoby zajišťující technický provoz aplikace, marketingové kampaně a analýzy trhu, a dále všechny osoby poskytující technickou podporu (dále jen „Pověřené osoby“).

Čl. 3

Bezpečnost informací

Zabezpečení písemností, záznamových médií a dat v osobních počítačích, noteboocích a dalších elektronických zařízeních obsahujících osobní údaje

1.    Osobní údaje musí být zabezpečeny před neoprávněným nebo nahodilým přístupem k nim, proti jejich změně, zničení či ztrátě, neoprávněným přenosům, proti jejich jinému neoprávněnému zpracování, jakož i proti jinému zneužití.

2.    K dodržení předchozího odstavce se stanovují zejména následující povinnosti:

  • písemnosti a digitální záznamová média, které obsahují osobní údaje, musí být v nepřítomnosti Pověřených osob zabezpečeny v uzamčených skříních, popř. na jiných místech, kde je možno zajistit jejich ochranu;
  • data obsahující osobní údaje, která jsou uložena v osobních počítačích, noteboocích a jiných elektronických zařízeních, musí být vhodným způsobem zabezpečena před volným přístupem neoprávněných osob k nim, před změnou, zničením, ztrátou, neoprávněnými přenosy, jiným neoprávněným zpracováním, jakož i jiným zneužitím.

3.    Za plnění povinností podle předchozích odstavců tohoto článku odpovídá jednatel Společnosti, tj. v době vydání této směrnice pan Ondřej Materna.

Čl. 4

Způsob zpracování

1.    Osobní údaje jsou uchovávány na uzamykatelném místě nebo na zabezpečeném centrálním úložišti dat.

2.    Přístup k osobním údajům mají pouze Pověřené osoby.

3.    Jednatel Společnosti, tj. v době vydání této směrnice pan Ondřej Materna, v rámci své odpovědnosti dohlíží, aby byly shromažďovány pouze aktuální dokumenty nebo dokumenty a záznamy obsahující aktuální údaje.

4.    Pokud je odvolán souhlas se zpracováním osobních údajů, je nutno dokumenty obsahující osobní údaje skartovat, nejde-li o listiny, které je nutno podle zvláštních předpisů dále archivovat. Vzor odvolání souhlasu tvoří přílohu č. 1. této Směrnice.

Čl. 5

Povinnosti Pověřených osob

1.    Nakládat s osobními údaji zpracovávanými Společností jsou oprávněny pouze Pověřené osoby.

2.    Pověřená osoba je povinna:

  • vést přehled osobních údajů zpracovávaných ve své působnosti v souladu s přílohou č. 2 této Směrnice a pravidelně, nejméně jednou za kalendářní rok, tento přehled aktualizovat a kopii vždy předat na základě pokynu jednatele Společnosti, tj. v době vydání této směrnice pana Ondřeje Materny;
  • dohlížet, aby nebyly zpracovávány osobní údaje bez souhlasu subjektu údajů, pokud je tento souhlas nezbytný, a zajistit uložení poskytnutých souhlasů subjektu údajů po celou dobu zpracovávání daných osobních údajů;
  • přijímat opatření, aby nemohlo dojít při zpracovávání osobních údajů k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, zneužití, zabezpečovat provádění přijatých opatření a tato přijatá a provedená opatření dokumentovat;
  • zabezpečovat skartaci osobních údajů, jestliže pominul účel jejich zpracování;
  • průběžně kontrolovat zpracovávání osobních údajů;
  • nakládat s osobními údaji pouze za účelem plnění svých pracovních úkolů a/nebo povinností vyplývajících z jiné uzavřené smlouvy a v souladu s povinnostmi stanovenými zákonem, touto Směrnicí a pokyny jednatele Společnosti;
  • chránit osobní údaje před neoprávněnou změnou, zničením, ztrátou, neoprávněnými přenosy, jiným neoprávněným zpracováním, zneužitím;
  • informovat o všech skutečnostech, které mají vliv na zabezpečení a aktuálnost evidence zpracovávaných osobních údajů;
  • vést řádně přehledy o zpracování osobních údajů.

3.    Pověřená osoba má zakázáno osobní údaje zpřístupňovat třetím osobám.

4.    Zaměstnanci, kteří technicky zabezpečují provoz informačních systémů, jsou povinni zajistit řádné plnění povinností zaměstnavatele při ochraně osobních údajů uložených na serverech, v osobních počítačích včetně přenosných a dalších elektronických zařízeních tak, aby ochrana uložených dat byla zajištěna v souladu s aktuálními požadavky na počítačovou bezpečnost.

5.    Pověřené osoby oznamují nové zpracování osobních údajů jednateli Společnosti.

Čl. 6

Zajištění práva subjektu údajů

1.    Subjektem údajů se rozumí žadatel, k němuž se osobní údaje vztahují (dále jen „subjekt údajů“).

2.    Pověřené osoby jsou povinny zajistit v co nejširší možné míře uplatnění práv subjektů údajů, zejména pak práva na přístup k osobním údajům, jejich opravu či doplnění a jejich výmaz.

3.    Pověřené osoby jsou povinny přijímat žádosti subjektu údajů o poskytnutí informací o osobních údajích. Pověřené osoby jsou povinny zkontrolovat formální náležitosti žádosti (zejména kdo žádost činí, zda se jedná o osobu oprávněnou k této žádosti, jaké věci se žádost týká apod.) a bezodkladně žádost vyřídit nejpozději do 15 dnů od jejího obdržení.

4.    Informace dle čl. 6 odst. 2 této Směrnice jsou poskytovány bez zbytečného odkladu. Informace jsou žadateli (subjektu údajů) poskytovány zpravidla písemně, není-li dohodnut jiný způsob poskytnutí.

5.    Pověřená osoba vede záznamy o poskytnutí informací dle tohoto článku, a to minimálně v rozsahu dle přílohy č. 3 této Směrnice, a nejméně jednou za kalendářní rok tuto evidenci předává jednateli Společnosti na základě pokynu.

6.    Společnost zajišťuje komunikační vztah se subjekty údajů, a to zejména prostřednictvím e-mailu: support@legito.com.

7.    Pověřené osoby zodpovídají veškeré dotazy týkající se problematiky osobních údajů a evidují případné námitky.

Čl. 7

Oprava a doplnění osobních údajů

1.    Pověřené osoby přijímají žádosti k opravě či doplnění osobních údajů. Vzor tvoří přílohu č. 4 této Směrnice.

2.    Pověřené osoby vyřídí žádost o opravu nebo doplnění osobních údajů neprodleně po obdržení žádosti, nejpozději však do 15 dnů. Vzor tvoří přílohu č. 5. této Směrnice.

3.    Na základě žádosti Pověřená osoba:

  • ověří, že se skutečně jedná o subjekt údajů (osobu, o jejíž data se jedná),
  • vyzve osobu, která žádost učinila, aby doložila tvrzené údaje či odstranila vady, pakliže je žádost neúplná či nepřesná,
  • provede opravu evidovaných osobních údajů nebo
  • provede doplnění evidovaných osobních údajů nebo
  • v případě nedoložení tvrzených údajů opravu nebo doplnění neprovede.

4.    O způsobu vyřízení podnětu je Pověřená osoba povinna vést záznamy dle čl. 6 odst. 5 této Směrnice.

5.    Pověřená osoba informuje žadatele o způsobu vyřízení žádosti, a to zpravidla písemně, není-li sjednán jiný způsob komunikace.

Čl. 8

Odvolání souhlasu a výmaz osobních údajů

1.    Pověřené osoby přijímají žádosti o výmaz osobních údajů. Vzor tvoří přílohu č. 6 této Směrnice.

2.    Pověřené osoby vyřídí žádost o výmaz osobních údajů neprodleně po obdržení žádosti, nejpozději však do 15 dnů ve smyslu čl. 7 odst. 2 Směrnice.

3.    Na základě žádosti Pověřená osoba:

  • ověří, že se skutečně jedná o subjekt údajů (osobu, o jejíž data se jedná),
  • vyzve osobu, která žádost učinila, aby doložila tvrzené údaje či odstranila vady, pakliže je žádost neúplná či nepřesná,
  • provede výmaz osobních údajů z evidence.

4.    Pověřená osoba výmaz osobních údajů neprovede, jestliže zpracování osobních údajů Společností je zákonné. Stejně tak výmaz neprovede, nedoloží-li žadatel tvrzené údaje (resp. neodstraní vady žádosti).

5.    O způsobu vyřízení žádosti je Pověřená osoba povinna vést záznamy dle čl. 6 odst. 5 této Směrnice.

6.    Pověřená osoba zajistí odstranění osobních údajů ze všech dílčích dostupných evidencí, pokud to povaha evidence umožňuje.

7.    Pověřená osoba informuje žadatele o způsobu vyřízení žádosti, a to zpravidla písemně, není-li sjednán jiný způsob komunikace.


Příloha č. 1

Vzor odvolání souhlasu subjektu údajů se zpracováním osobních údajů

Já, níže podepsaná/ý …………………………………………………………….., tímto prohlášením odvolávám svůj výslovný souhlas se zpracováním osobních údajů ve smyslu nařízení Evropského parlamentu a Rady č. 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES a žádám, aby správce osobních údajů, Legito s.r.o. IČO: 02649659, sídlo: Pod Lipami 19, Zeměchy, 278 01 Kralupy nad Vltavou nadále nezpracovával a neuchovával mé osobní údaje. Současně žádám, aby veškeré osobní údaje, kterými uvedený správce disponuje, byly vymazány či jinak odstraněny ze všech jeho evidencí.

V ………………… dne ………………….


Příloha č. 2

Vzor žádosti subjektu údajů o opravu osobních údajů

Já, níže podepsaný …………………………………………………………………………………………………,

adresou …………………………………………………………………………………………………………………,

tímto ve smyslu příslušných ustanovení nařízení Evropského parlamentu a Rady č. 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES

žádám,

aby správce osobních údajů, Legito s.r.o. IČO: 02649659, sídlo: Pod Lipami 19, Zeměchy, 278 01 Kralupy nad Vltavou, postupem dle ust. čl. 16 shora citovaného nařízení opravil/doplnil osobní údaje vztahující se k mé osobě, neboť tyto údaje jsou neúplné/nesprávné.

Výslovně žádám, aby správce provedl následující opravu/doplnění:

  • stávající neúplné/nesprávné údaje:
    • telefonní číslo ……………..
    • e-mail ………………………....
    • …………………………………....
  • úplné/správné údaje:
    • telefonní číslo ……………..
    • e-mail ………………………....
    • …………………………………....

V souvislosti s výše uvedeným žádám, aby mě správce informoval o způsobu vyřízení této žádosti a o přijatých opatřeních, a to písemně, na shora uvedenou adresu.

V ………………… dne ………………….


Příloha č. 3

Vzor žádosti subjektu údajů o výmaz osobních údajů

Já, níže podepsaný …………………………………………………………………………………………………,

adresou …………………………………………………………………………………………………………………,

tímto ve smyslu příslušných ustanovení nařízení Evropského parlamentu a Rady č. 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES

žádám,

aby správce osobních údajů Legito s.r.o. IČO: 02649659, sídlo: Pod Lipami 19, Zeměchy, 278 01 Kralupy nad Vltavou, postupem dle ust. čl. 17 shora citovaného nařízení vymazal osobní údaje vztahující se k mé osobě, neboť jsem dne ……………………… odvolal výslovný souhlas se zpracováním osobních údajů a správce nemá jiný právní důvod k jejich dalšímu zpracování.

V souvislosti s výše uvedeným žádám, aby mě správce informoval o způsobu vyřízení této žádosti a o přijatých opatřeních, a to písemně, na shora uvedenou adresu.

V ………………… dne ………………….